'따릉이 해킹' 피의자 범행당시 중학생

2 hours ago 2

'따릉이 해킹' 피의자 범행당시 중학생

입력 : 2026.02.23 17:52

서울시 공공자전거 '따릉이' 서버에 침입해 개인정보 462만건을 유출한 피의자들은 범행 당시 중학교에 다니던 청소년들인 것으로 확인됐다.

23일 서울경찰청 사이버수사과는 서울시설공단에서 운영하는 '서울자전거 따릉이' 서버에서 대량의 개인정보를 빼낸 10대 피의자 A군과 B군을 정보통신망법 위반 등 혐의로 이날 불구속 송치했다고 밝혔다.

경찰에 따르면 이들은 2024년 6월 28일부터 29일까지 따릉이 서버에 침입해 아이디, 휴대전화번호, 이메일, 생년월일, 성별, 주소 등 가입자 정보 462만건을 해킹했다. 이들은 별도 인증 없이도 회원정보 조회가 가능했던 시스템 취약점을 악용한 것으로 조사됐다. 다만 유출된 정보에 성명과 주민등록번호는 포함되지 않았다. 경찰은 이들이 개인정보를 판매할 목적으로 빼냈는지 수사하고 있지만, 현재까지 제3자 유출 정황은 확인되지 않았다.

범행 당시 A군과 B군은 동갑내기 중학생이었던 것으로 파악됐다. 두 사람은 사회관계망서비스(SNS)에서 알게 돼 정보보안 등 정보기술(IT) 관련 내용을 독학하며 교류해왔는데, 실제 만난 적은 없는 것으로 조사됐다. B군이 서울시설공단 서버의 취약점을 인지하고 이를 A군에게 알린 것으로 파악된다. A군이 '역할을 나눈 후 전체 데이터를 내려받자'는 취지로 제안하며 범행을 주도한 것으로 조사됐다.

[이수민 기자]

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.

핵심요약 쏙
AI 요약은 OpenAI의 최신 기술을 활용해 핵심 내용을 빠르고 정확하게 제공합니다.
전체 맥락을 이해하려면 기사 본문을 함께 확인하는 것이 좋습니다

서울시 공공자전거 '따릉이' 서버에 침입해 462만건의 개인정보를 유출한 피의자들은 중학생인 10대 청소년인 것으로 확인됐다.

서울경찰청 사이버수사과는 이들이 정보통신망법 위반 등의 혐의로 불구속 송치되었다고 밝혔으며, 이들은 시스템 취약점을 악용해 대량의 정보를 해킹한 것으로 조사됐다.

현재 경찰은 이들이 정보를 판매할 목적이었는지 조사하고 있으나, 제3자 유출 정황은 확인되지 않고 있다.

AI 해설 기사
AI 해설은 뉴스의 풍부한 이해를 위한 콘텐츠로, 기사 본문과 표현에 차이가 있을 수 있습니다. 정확한 내용은 기사 본문을 함께 확인해 주시기 바랍니다.

'따릉이' 서버 해킹 범인은 중학생…462만 건 개인정보 유출, 2년 가까운 '늑장 대응' 드러나

Key Points

2026년 2월 23일, 서울경찰청은 서울시 공공자전거 '따릉이' 서버에 침입해 개인정보 462만 건을 유출한 10대 피의자 A군과 B군을 불구속 송치했다고 밝혔어요. 이들은 범행 당시 중학생이었던 것으로 밝혀졌어요. 💻
경찰 조사 결과, A군과 B군은 2024년 6월 28일부터 29일까지 따릉이 서버의 인증 없는 회원정보 조회 취약점을 악용해 아이디, 휴대전화번호, 이메일, 생년월일, 성별, 주소 등 가입자 정보를 빼낸 것으로 드러났어요. 📱
흥미롭게도, A군과 B군은 실제 만난 적 없이 SNS에서 IT 관련 내용을 독학하며 교류해왔으며, B군이 서버 취약점을 인지해 A군에게 알렸고 A군이 범행을 주도한 것으로 조사되었어요. 🤝
이 사건과 관련하여 2026년 1월 30일 처음 보도된 이후, 서울시설공단이 2024년 6월 해킹 당시 개인정보 유출 사실을 인지하고도 2년 가까이 신고나 별도 조치를 하지 않은 '늑장 대응' 정황이 2026년 2월 6일 보도를 통해 추가로 드러나고 있어요. ⏳

1. 사건 개요: 무슨 일이 있었나?

서울시 공공자전거 '따릉이' 서버를 해킹해 462만 건의 개인정보를 유출한 혐의를 받는 10대 청소년 2명이 결국 검찰에 넘겨졌어요. 🕵️‍♀️ 이 사건은 2026년 2월 23일에 보도되었는데, 피의자들은 범행 당시 중학생이었던 것으로 밝혀졌어요. 😮

이번 사건은 2024년 6월 28일부터 29일까지, 약 이틀에 걸쳐 발생했어요. 📅 이 기간 동안 피의자들은 별도의 인증 절차 없이도 회원 정보를 조회할 수 있었던 '따릉이' 서버의 취약점을 악용하여 아이디, 휴대전화 번호, 이메일, 생년월일, 성별, 주소 등 462만 건에 달하는 가입자 정보를 빼냈어요. 😱 다행히 이름과 주민등록번호는 유출되지 않았다고 해요. 현재 경찰은 이들이 개인정보를 판매하려 했는지 조사 중이지만, 아직 제3자에게 정보가 넘어간 정황은 확인되지 않았어요. 🤔

범행을 주도한 A군과 B군은 SNS를 통해 알게 되었고, 정보보안 등 IT 분야를 독학하며 교류해왔어요. 💻 실제로 만난 적은 없었지만, B군이 서버의 취약점을 먼저 인지하고 A군에게 알렸다고 해요. 이후 A군이 역할을 분담해 데이터를 내려받자고 제안하며 범행을 계획한 것으로 조사되었어요. ✍️ 이들은 2024년 4월쯤 다른 공유 모빌리티 업체에 디도스 공격을 감행한 혐의도 받고 있어요. 💥

2. 심층 분석: 이 뉴스는 왜 나왔나?

서울시 공공자전거 '따릉이' 서버가 해킹당해 462만 건의 개인정보가 유출된 사건은 여러 요인이 복합적으로 작용한 결과라고 볼 수 있어요. 🧐

**맥락:** 이 사건의 근본적인 배경에는 공공 서비스의 보안 관리 소홀이 자리하고 있어요. 2024년 6월, 따릉이 앱은 디도스 공격으로 전산 장애를 겪었는데요. 이때 보안업체 분석 보고서에서 이미 개인정보 유출 정황이 포착되었지만, 서울시설공단은 이를 무시하거나 제대로 보고하지 않은 것으로 드러났어요. 😥 무려 2년 가까이 이 사실을 방치했던 것으로 파악되고 있으며, 이는 개인정보 보호에 대한 책임감 부족을 보여주는 단적인 예시라고 할 수 있어요. 😓

**원인:** 이번 사건의 직접적인 원인은 '따릉이' 서버의 시스템 취약점이었어요. 피의자들은 별도의 회원 인증 없이도 개인정보 조회가 가능한 허점을 파고들어 범행을 저질렀어요. 💻 더 충격적인 것은 범행을 저지른 피의자들이 당시 중학생이었다는 점이에요. 이들은 SNS를 통해 알게 되었고, 정보 보안 관련 내용을 독학하며 IT 기술을 교류해왔다고 해요. 😮 이러한 취약점과 범행 당사자의 전문성이 맞물려 대규모 개인정보 유출이라는 결과로 이어진 거죠. 🤯

**영향:** 비록 유출된 정보에 성명이나 주민등록번호는 포함되지 않았지만, 아이디, 휴대전화번호, 이메일, 생년월일, 성별, 주소 등 민감한 개인정보가 대거 유출되면서 이용자들의 불안감이 커지고 있어요. 😥 또한, 공공 서비스에서 발생한 대규모 개인정보 유출 사고는 시민들의 신뢰를 저하시키고, 전반적인 사이버 보안에 대한 경각심을 높이는 계기가 되고 있어요. 🤔

3. 주요 경과: 지금까지의 흐름 (Timeline)

2024.04

따릉이 앱 운영사인 서울시설공단은 4월경 발생한 디도스 공격과 관련해 보안업체로부터 개인정보 유출 정황이 담긴 분석 보고서를 받은 것으로 파악됐어요. 하지만 당시에는 이 사실을 서울시에 보고하지 않고 서버 증설과 보안 강화만 진행했어요. 🛡️💻
2024.06.28 ~ 2024.06.29

해킹을 통해 따릉이 서버에 침입한 피의자 2명은 이틀간 아이디, 휴대전화 번호, 생년월일, 성별, 주소 등 가입자 정보 약 462만 건을 빼냈어요. 이들은 별도의 인증 없이 회원 정보 조회가 가능한 시스템 취약점을 이용했어요. 😱🔑
2024.07

2024년 6월 말 따릉이 앱의 전산 장애를 일으킨 디도스 공격 이후, 보안업체는 분석 보고서를 통해 개인정보 유출 정황을 파악했지만 서울시설공단은 이를 숨기고 별도 조치를 취하지 않았어요. 🤫
2025.07

경찰은 다른 사이버 범죄 수사 과정에서 압수한 전자기기를 분석하던 중 따릉이 개인정보로 추정되는 파일을 발견하고 수사를 확대했어요. 이를 통해 공범의 텔레그램 계정을 특정하며 수사가 진행되었어요. 🕵️‍♀️🔍
2026.01.30

서울경찰청 사이버수사대로부터 따릉이 회원 정보 유출이 의심된다는 내용을 전달받은 서울시설공단은 개인정보보호위원회와 한국인터넷진흥원에 신고했어요. 유출 규모와 범위, 피해에 대한 경찰 수사가 시작되었어요. 📰📢
2026.02.06

서울시는 내부 조사 결과, 서울시설공단이 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별다른 조치를 취하지 않아 초기 대응이 미흡했음을 밝혔어요. 관련자 징계와 수사 의뢰 방침을 세웠어요. 🏢⚖️
2026.02.23

따릉이 서버를 해킹해 개인정보 462만 건을 유출한 혐의로 피의자 2명이 불구속 송치되었어요. 범행 당시 이들은 중학생이었으며, 사회관계망서비스(SNS)에서 만나 IT 관련 내용을 독학하며 교류해온 것으로 밝혀졌어요. 🎓💻

4. 다각도 분석: 누구에게 어떤 영향을 미칠까? 🤔

[소비자/개인] [산업/기업] [정부/시장]

이번 '따릉이 해킹' 사건으로 인해 사용자들은 개인정보 유출에 대한 불안감을 느끼고 있어요. 😨 아이디, 휴대전화 번호, 이메일, 생년월일, 성별, 주소 등 민감한 정보가 포함되어 있어, 혹시 모를 명의 도용이나 사기 같은 2차 피해가 발생할까 걱정하는 목소리가 나오고 있답니다. 😟 특히 개인정보보호에 대한 경각심이 높아지면서, 앞으로 공공 서비스를 이용할 때 정보 보안에 더욱 신경 써야 할 필요성을 느끼고 있어요. 🛡️

이번 사건은 공공 서비스뿐만 아니라 민간 기업을 포함한 전반적인 IT 산업의 보안 시스템에 대한 경각심을 일깨우고 있어요. 🚨 기업들은 해킹 공격에 더욱 철저히 대비하고, 시스템 취약점을 미리 점검하며 보안 강화에 투자를 늘릴 것으로 예상돼요. 💻 또한, 개인정보 유출 사고가 발생했을 때의 파급력과 기업의 책임이 얼마나 큰지를 다시 한번 확인시켜주면서, 데이터 관리 및 보호 정책을 더욱 강화하게 될 거예요. 🔐

정부와 관련 기관은 이번 사건을 계기로 개인정보보호 관련 법규를 강화하고, 공공 시스템의 보안 수준을 높이는 데 집중할 것으로 보여요. ⚖️ 서울시설공단과 같이 공공 서비스를 운영하는 기관들의 관리·감독 체계를 점검하고, 유사 사고 재발 방지를 위한 정책 마련에 힘쓸 거예요. 📈 또한, 이번 사건으로 인해 공공 서비스의 신뢰도에 대한 논의가 활발해지면서, 정보 보안 관련 시장에도 변화의 바람이 불 것으로 예상됩니다. 💡

5. 핵심 시사점: 그래서 무엇이 달라지는가?

이번 '따릉이 해킹' 사건은 단순한 개인정보 유출 사고를 넘어, 공공 서비스의 보안 취약성과 운영 기관의 관리 부실이 결합된 복합적인 문제점을 드러냈다는 점에서 주목할 만해요. 🧐

**공공 서비스의 보안 위협 증대:** 이번 사건은 민간 기업뿐만 아니라 서울시와 같은 공공기관이 운영하는 서비스 역시 해킹의 위험에 노출되어 있음을 다시 한번 확인시켜 주었어요. 462만 건이라는 대규모 개인정보 유출은 시민들의 정보 주권에 대한 불안감을 키우는 동시에, 공공 서비스 시스템 전반의 보안 강화 필요성을 시사하고 있어요. 🔒

**운영 기관의 책임과 관리 감독 문제:** 서울시설공단이 2024년 6월 사이버 공격 당시 개인정보 유출 가능성을 인지하고도 약 2년 가까이 별다른 조치를 취하지 않았다는 점은 심각한 관리 소홀로 볼 수 있어요. 😨 이는 공공 서비스 운영 기관이 정보 유출 사고 발생 시 신속하고 투명하게 대응해야 할 의무를 다하지 않았음을 보여주며, 향후 유사 사고 발생 시 책임 소재와 관리 감독 체계 강화에 대한 논의를 불러일으킬 것으로 예상돼요. ⚖️

**청소년 범죄의 기술적 진화:** 범행을 저지른 피의자들이 범행 당시 중학생이었다는 사실은, 청소년들의 IT 기술 습득 속도가 매우 빠르고 이를 악용한 범죄의 가능성이 점점 높아지고 있음을 보여줘요. 🧑‍💻 독학으로 정보 보안 기술을 익힌 청소년들이 사회관계망서비스(SNS)를 통해 연결되어 범행을 모의하고 실행했다는 점은, 디지털 환경에서의 청소년 범죄 예방 및 교육의 중요성을 강조해요. 📚

**취약점 관리 및 신고 시스템 개선의 필요성:** 이번 사건은 '따릉이' 서버의 별도 인증 없이 회원 정보 조회가 가능한 시스템 취약점을 악용한 것으로 밝혀졌어요. 🛠️ 이는 공공 시스템의 주기적인 보안 점검과 취약점 개선이 얼마나 중요한지를 보여주는 사례예요. 또한, 정보 유출 사실을 인지했을 때 관계 기관에 신속하게 신고하고 투명하게 공개하는 시스템의 미비점도 드러났어요. 🚨 따라서 공공 시스템의 보안 감사 강화와 개인정보 유출 시 신고 절차 및 대응 체계의 전반적인 개선이 시급해 보여요.

6. 향후 전망: 시나리오별 예측

현 상태 유지 및 안착 시나리오

이번 사건을 계기로 따릉이 운영 주체인 서울시설공단의 개인정보 관리 시스템에 대한 전반적인 점검과 보완이 이루어질 것으로 보여요. 🛡️ 또한, 개인정보 유출 사고가 다시 발생하지 않도록 시스템 보안 강화 및 내부 통제 절차를 재정비하는 데 집중할 가능성이 높아요. 🔒 경찰 수사 결과에 따라 관련 책임자들에 대한 징계나 인사 조치가 뒤따를 수 있으며, 이를 통해 유사 사고 재발 방지를 위한 제도적 개선이 천천히 자리 잡을 것으로 예상해요. 🌱
영향력 확대 및 가속 시나리오

이번 사건이 단순한 기술적 해킹을 넘어, 공공 서비스의 보안 불감증과 관리 부실 문제를 드러냈다는 점에서 사회적 파장이 커질 수 있어요. 📢 시민들의 개인정보 보호에 대한 경각심이 더욱 높아지면서, 서울시와 서울시설공단은 물론 다른 공공기관들의 개인정보 관리 시스템 전반에 대한 감사와 투자가 확대될 수 있어요. 💻 또한, 이번 사건을 계기로 청소년들의 사이버 범죄에 대한 교육 강화 및 예방 시스템 구축에 대한 사회적 논의가 활발해질 수 있으며, 이는 관련 정책 변화로 이어질 가능성도 있어요. 🚀
변수 발생 및 흐름 반전 시나리오

가장 큰 변수는 역시 유출된 개인정보의 2차 피해 발생 여부예요. 만약 유출된 정보가 보이스피싱, 스팸 메일, 명의 도용 등 실제 범죄에 악용될 경우, 시민들의 불안감은 더욱 커지고 따릉이에 대한 불신이 확산될 수 있어요. 😨 또한, 서울시설공단의 초기 대응 미흡이나 은폐 의혹 등이 추가적으로 제기될 경우, 사건의 정치적, 행정적 책임 공방이 격화되면서 재발 방지 노력보다는 책임 소재를 가리는 데 에너지가 소모될 수 있어요. ⚖️ 이 경우, 근본적인 시스템 개선보다는 임시방편적인 대책 마련에 그칠 위험도 있어요.

[주요 용어 해설 (Glossary)]

공공자전거 '따릉이'

서울시에서 운영하는 대표적인 공공자전거 서비스로, 시민들이 편리하게 자전거를 대여하고 반납할 수 있도록 돕는 시스템이에요. 🚴‍♀️ 시민들의 이동 편의 증진과 환경 보호를 위해 운영되고 있으며, 많은 시민들이 이용하는 만큼 개인정보 보호에 대한 중요성도 강조되고 있답니다. 이번 사건은 이러한 공공 서비스의 보안 취약점을 보여주는 사례라고 할 수 있어요. 🌳
정보통신망법 위반

정보통신망을 이용해 발생하는 다양한 범죄 행위를 규율하는 법률이에요. 💻 개인정보 무단 수집, 유출, 해킹, 서비스 방해 등 정보통신망의 안전성과 신뢰성을 해치는 행위를 처벌하는 내용을 담고 있죠. 이번 따릉이 해킹 사건의 피의자들은 이 법에 따라 개인정보를 빼내고 서버에 침입한 혐의를 받고 있어요. ⚖️
시스템 취약점

컴퓨터 시스템이나 소프트웨어에 존재하는 약점이나 허점을 의미해요. 🔓 이러한 취약점은 외부 공격자가 시스템에 침입하거나 정보를 유출하는 통로가 될 수 있어요. 따릉이 서버의 경우, 별도의 인증 절차 없이 회원 정보 조회가 가능했던 점이 시스템 취약점으로 작용한 것으로 분석되었답니다. 💡 마치 문이 잠겨 있지 않은 집에 도둑이 쉽게 들어가는 것과 같은 상황이라고 볼 수 있어요.
분산서비스거부(DDoS) 공격

여러 대의 컴퓨터를 이용해 특정 서버나 네트워크에 동시에 대량의 데이터를 보내 서비스를 마비시키는 공격 방식이에요. 💥 마치 수많은 사람이 동시에 한 가게에 몰려들어 제대로 된 서비스를 제공할 수 없게 만드는 것과 비슷하죠. 이번 사건의 피의자 중 한 명은 과거에도 공유 모빌리티 업체에 이러한 DDoS 공격을 감행하여 업무를 방해한 혐의를 받고 있답니다. 🚨