서울시 따릉이 개인정보 유출(공공 플랫폼의 기술적 취약점과 사후 대응 부재가 결합된 관리 실패)
- 3월 2일
- 1분 분량
서울시 따릉이 개인정보 약 462만 건 유출
2024년 6월 서울시설공단이 운영하는 공공자전거 ‘따릉이’ 서버에서 회원 개인정보 약 462만 건이 유출된 것으로 확인되었다.
인증 토큰 검증 부재라는 기본적 보안 취약점 악용
피의자들은 서버의 인증 토큰 검증 절차가 제대로 작동하지 않는 취약점을 이용해 가입자 정보를 무단으로 조회·다운로드했다.
공단의 유출 인지 후 1년 6개월간 보고·신고 누락
공단은 2024년 7월 보안업체 보고서를 통해 유출 정황을 인지했음에도 서울시 보고, 개인정보보호위원회 신고, 이용자 통지 등 법정 의무를 이행하지 않았다.
이용자 자기 보호 기회 상실과 2차 피해 우려
유출 사실이 신속히 공지되지 않아 이용자들은 비밀번호 변경, 계정 모니터링 등 보호 조치를 취할 기회를 잃었으며, 피싱·스팸·명의도용 등 잠재적 2차 피해 위험이 남아 있다.
공공 플랫폼 보안·감독 체계 개선 필요
대규모 개인정보를 보유한 공공 플랫폼은 정기 보안 점검, 외부 침투 테스트, 유출 신고 절차 자동화, 위탁 운영기관에 대한 상시 감독 체계를 강화해야 한다.






