따릉이 462만 명 정보, 중학생에게 뚫렸다…공단은 2년간 방치했다

글자 크기 설정

미리보기

더 이상 어렵지 않은 법을 위한 인터넷 신문 로톡뉴스를 만나보세요. 법 전문가들의 다양한 생각과 가치를 생생히 전달합니다.

따릉이 462만 명 정보, 중학생에게 뚫렸다…공단은 2년간 방치했다

2026. 02. 24 13:47 작성2026. 02. 24 16:57 수정
조연지 기자의 썸네일 이미지
조연지 기자
yj.jo@lawtalknews.co.kr

글자 크기 설정

미리보기

더 이상 어렵지 않은 법을 위한 인터넷 신문 로톡뉴스를 만나보세요. 법 전문가들의 다양한 생각과 가치를 생생히 전달합니다.

호기심이 부른 대규모 유출 사고

'인증 절차'조차 없던 공공 서버

서울시 공공자전거 '따릉이' /연합뉴스

서울시 공공자전거 '따릉이'를 이용하는 시민 462만 명의 개인정보가 중학생들의 해킹에 의해 대규모로 유출되는 초유의 사태가 발생했다. 유출된 정보에는 아이디와 휴대전화 번호뿐만 아니라 생년월일, 주소, 심지어 '체중'까지 포함되어 충격을 더하고 있다.


더욱이 해당 기관이 유출 사실을 인지하고도 2년 가까이 아무런 조치를 취하지 않았다는 정황이 드러나며 법적 책임 공방이 거세질 전망이다.


중학생 '호기심'에 뚫린 462만 명의 일상... 구멍 뚫린 공공 보안

사건의 시작은 지난 2024년 6월로 거슬러 올라간다. 당시 중학생이었던 A군과 B군은 이틀에 걸쳐 서울시설공단의 따릉이 서버에 침입했다. 이들은 보안의 허점을 이용해 가입자 대부분인 약 462만 건의 계정 정보를 통째로 내려받았다. 조사 결과, B군은 "호기심과 과시욕 때문에 범행했다"고 진술했으며, 주범 격인 A군은 현재까지 묵비권을 행사하고 있다.


이들의 범행이 가능했던 이유는 따릉이 서버의 치명적인 보안 결함 때문이었다. 통상적으로 가입자 정보에 접근하려면 암호화된 '인증 토큰'이 필요하지만, 당시 따릉이 서버는 특정 호출만 하면 인증 절차 없이도 정보를 내주는 상태였다. 경찰 관계자가 "고난도 해킹이 아니다"라고 언급했을 만큼 기본적인 보안망조차 갖춰지지 않았던 셈이다.


이들의 덜미가 잡힌 것은 다른 사건을 수사하던 중이었다. 2024년 4월, 민간 공유 모빌리티 업체에 디도스(DDoS) 공격을 가한 혐의로 B군을 검거한 경찰은 그의 전자기기에서 따릉이 회원 정보 파일을 발견했다. 이후 텔레그램 대화 내용을 분석해 공범 A군까지 올해 1월 추가로 검거하며 사건의 전말이 드러났다.


"알고도 2년 숨겼나" 서울시설공단 향하는 수사 칼날

이번 사건에서 독자들이 가장 분노하는 지점은 서울시설공단의 대응이다. 서울시는 공단 측이 개인정보 유출 사실을 인지하고도 약 2년 동안 이를 알리지 않고 방치한 정황을 포착해 경찰에 수사를 의뢰했다.


현재 경찰은 공단 관계자들을 대상으로 입건 전 조사(내사)를 진행하며 보안 관리 부실과 조직적 은폐 여부를 집중적으로 들여다보고 있다.


해킹을 주도한 A군과 B군은 정보통신망법 위반 혐의로 검찰에 불구속 송치된 상태다. 다만 범행 당시 이들이 미성년자였던 점이 변수로 작용하고 있다. 검찰은 A군이 소년범이라는 점 등을 고려해 경찰이 신청한 구속영장을 반려하기도 했다.


'인증 토큰' 없는 서버는 무방비 상태... 법이 말하는 보안의 의무

법조계에서는 이번 사건의 핵심 쟁점으로 서울시설공단의 '안전조치 의무 위반'을 꼽는다. 개인정보 보호법 제29조에 따르면 개인정보처리자는 정보가 유출되지 않도록 기술적·관리적 조치를 해야 한다. 특히 대법원 판례(대법원 2015. 2. 12. 선고 2013다43994 판결)는 보안 조치 여부를 판단할 때 '사회통념상 합리적으로 기대 가능한 정도의 보호조치'를 다했는지를 기준으로 삼는다.


따릉이 서버처럼 기본적인 인증 절차인 '인증 토큰' 검증조차 없었던 것은 명백한 법 위반에 해당할 가능성이 높다. 또한 유출 사실을 알게 된 즉시 정보주체에게 알려야 하는 통지 의무(개인정보 보호법 제34조)를 2년이나 어긴 점은 과태료 처분을 넘어 민사상 손해배상액을 높이는 결정적인 요인이 될 수 있다.


"내 정보의 가치는 얼마?" 역대 판례로 본 배상금 전망

그렇다면 피해를 입은 시민들은 보상을 받을 수 있을까? 과거 대규모 유출 사고였던 '카드사 개인정보 유출 사건'(서울중앙지방법원 2016. 11. 24. 선고 2014가합528787 판결)에서 법원은 사측의 안전조치 의무 위반을 인정해 피해자들에게 각 10만 원의 위자료를 지급하라고 판결한 바 있다.


반면 '옥션'이나 '네이트' 사건처럼 해킹 기술이 매우 고도화되었고 기업이 법적 보안 기준을 준수했다고 판단된 경우에는 배상 책임이 부정되기도 했다. 하지만 이번 따릉이 사건은 '고난도 해킹이 아니었다'는 점과 '2년간의 은폐 정황'이 뚜렷하다는 점에서 공단의 책임을 피하기 어려울 것으로 보인다.


특히 개인정보 보호법 제39조의2에 따른 '법정손해배상' 제도를 통해 피해자들은 구체적인 손해액을 입증하지 않더라도 300만 원 이하의 범위에서 배상을 청구할 수 있는 길이 열려 있다.


462만 명이라는 대규모 인원이 집단 소송에 나설 경우, 서울시설공단이 짊어져야 할 법적·경제적 부담은 가늠하기 힘들 정도로 커질 전망이다.



#IT/개인정보#개인정보보호법#개인정보유출#고소/소송절차#따릉이해킹#서울시설공단

나만 모르는 일상 법률 상식, 매일 아침 배달해드려요!

로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.

공지사항

마이페이지

로톡상담

고객센터

회사소개
(주)로앤컴퍼니 | 사업자번호 : | 통신판매번호: | 대표자명: | 대표번호: | 이메일: | 주소: | 제호: 로톡뉴스 | 등록번호: 서울 아05068 | 등록연원일: 2018.04.03 | 발행인: 김본환 | 편집인: 엄보운 | 청소년보호책임자: 정재성 | 더 이상 어렵지 않은 법을 위한 인터넷 신문, 로톡뉴스의 모든 컨텐츠는 저작권법의 보호를 받습니다. 기사 내용에 대한 무단 복제 및 전재를 금합니다.
로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(주)로앤컴퍼니 | 사업자번호 : | 통신판매번호: | 대표자명: | 대표번호: | 이메일: | 주소: | 제호: 로톡뉴스 | 등록번호: 서울 아05068 | 등록연원일: 2018.04.03 | 발행인: 김본환 | 편집인: 엄보운 | 청소년보호책임자: 정재성 | 더 이상 어렵지 않은 법을 위한 인터넷 신문, 로톡뉴스의 모든 컨텐츠는 저작권법의 보호를 받습니다. 기사 내용에 대한 무단 복제 및 전재를 금합니다.
(주)로앤컴퍼니는 대한민국 법률시장의 정보비대칭과 불법 법조브로커를 해소하여 투명하고 공정한 법률시장을 만들기 위해 로톡(LawTalk) 서비스를 제공하고 있습니다. 로톡은 의뢰인회원의 법률상담 내용 및 상담 여부, 법률사건 내용 및 수임 여부, 변호사회원의 선택 등에 대해 일절 관여하지 않아 변호사법 및 기타 관련규정을 준수하고 있으며, 변호사회원이 의뢰인회원에게 제공하는 서비스의 내용과 질에 대해 어떠한 법적책임도 부담하지 않습니다. 또한 회원간의 예약 및 결제정보의 중개서비스 또는 통신판매중개 시스템을 제공할 뿐, 통신판매의 당사자가 아닙니다. 모든 법률상담은 각 변호사회원이 직접 수행하며, 모든 변호사회원은 각 소속 법률사무소, 로펌에서 독립적으로 법률업무를 수행합니다. 그리고 로톡에 가입한 변호사들 상호간에는 어떠한 조직적인 관계가 없음을 밝힙니다. 로톡에 표시된 변호사회원의 정보는 해당 변호사가 직접 제공한 것이며 무단으로 복제, 편집, 전시, 전송, 배포, 판매, 방송, 공연 등에 이용할 수 없습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.