서울자전거 따릉이

유출된 개인정보 항목

사고 경위

2024년 6월 28~29일, 10대 남성 피의자 2명이 서울 공공자전거 따릉이 시스템의 보안 취약점을 악용해 회원 462만 명의 개인정보를 해킹으로 유출했다. 피의자들은 가입자 인증 없이도 정보 조회가 가능했던 취약점을 이용했다. 유출된 항목은 아이디, 휴대전화번호, 이메일, 생년월일, 성별, 체중이며 가입자별로 유출 항목이 다를 수 있다. 성명, 주민등록번호, 결제정보는 포함되지 않은 것으로 확인됐다.

약 1년 6개월이 지난 2026년 1월 27일, 서울경찰청 사이버범죄수사대가 수사 중 피의자 PC에서 따릉이 회원정보 의심 파일을 발견하고 서울시설공단에 유선으로 통보했다. 공단은 사고 인지 직후 서울시와 합동으로 비상대응센터를 가동하고, 침입방지시스템(IPS) 및 웹방화벽(WAF) 차단 정책을 상향 조정하는 등 긴급 보안 조치를 취했다. 1월 30일 개인정보보호위원회에 신고(72시간 이내)를 완료하고 시민 공지와 보도자료를 배포했다.

2026년 2월 23일 경찰청 수사 결과 발표를 통해 유출 규모와 경위가 공식 확인됐다. 이후 디도스(DDoS) 대응 장비 도입, 앱 위·변조 방지 솔루션 적용, 정보보안 전문업체 보안 컨설팅 등 보안 강화 조치를 진행했다. 처분 결과는 개인정보보호위원회 및 경찰청 조사 진행 중으로 미정이다.