서울시 공공자전거 ‘따릉이’ 서버에 침입해 이용자 462만 명의 개인정보를 빼낸 범인들은 독학으로 해킹을 익힌 중학생이었던 것으로 드러났다. 따릉이 서버를 운영하는 서울시설공단은 경찰의 통보 전까지 정확한 해킹 경로도 파악하지 못한 채 유출 사실을 알고도 제대로 된 초기 대응을 하지 않는 등 허술하게 운영해 온 것으로 나타났다.서울경찰청 사이버수사과는 23일 정보통신망법 위반 혐의로 10대 남성 2명을 불구속 송치했다고 밝혔다. 이들은 중학생이던 2024년 6월 서울시설공단이 운영하는 따릉이 서버에 무단으로 접근해 약 462만 건의 계정 정보를 유출한 혐의를 받는다. 유출 정보는 가입자의 계정 아이디, 생년월일, 휴대전화 번호, 주소, 몸무게 등이다. 이름과 주민등록번호는 유출되지 않은 것으로 조사됐다.이들은 서버 인증 절차의 구조적 취약점을 악용했다. 통상 개인정보를 조회하려면 이용자가 정상적인 로그인 과정을 거쳐 발급받은 ‘인증 토큰’을 서버가 확인해야 한다. 그러나 따릉이 일부