정보 접근에 '출입증'도 필요 없어..."서울시설공단 책임" / YTN

따릉이 서버를 해킹한 10대들은 데이터에 접근할 수 있는 일종의 '출입증' 없이도 개인정보 조회가 가능하다는 허점을 노린 것으로 조사됐습니다.

경찰은 서울시설공단에 부실 관리 책임이 있다고 보고 내사에 착수했습니다.

이현정 기자입니다.

[기자]
서울시 공공자전거, 따릉이의 개인정보 유출 배경에는 서버 보안 체계의 취약성이 있었다는 게 경찰 설명입니다.

해커가 '인증 토큰'을 발급받지 않았는데도, 서버에서 가입자 개인정보에 대한 접근을 허용해줬다는 겁니다.

인증 토큰은 암호화된 보안 장치로 이용자의 데이터 접근 권한을 증명해주는 일종의 '출입증' 역할을 합니다.

[염 흥 렬 / 순천향대 정보보호학과 명예교수 : 특정 데이터에 접근할 수 있는 권한이 있다는 것을 확인해 주는 전자적 정보가 필요합니다. 그 전자적 정보가 인증 토큰이라고 할 수 있고요.]

보통 개인정보를 조회하려면 이용자가 인증 서버로부터 인증 토큰을 발급받고, 최종 정보 시스템으로부터 그 유효성을 확인받아야 합니다.

그런데 따릉이 서버에는 이런 절차가 사실상 없었고, 고난도 해킹 기술을 쓰지도 않은 10대 중학생들에게 속수무책으로 뚫렸습니다.

이에 경찰은 서버를 부실하게 관리한 서울시설공단에 책임이 있다고 보고, 공단 관계자들에 대한 입건 전 조사를 진행하고 있습니다.

공단 측으로부터 서버 보안 관련 자료를 제출받아 살펴보고, 혐의가 발견되면 정식 입건하겠다는 방침입니다.

앞서 서울시는 공단이 정보 유출 사실을 미리 인지하고도 개인정보보호위원회에 신고하지 않았다며 경찰에 수사를 의뢰했습니다.

이에 대해 서울시설관리공단은 별다른 입장을 밝히지 않았는데, 향후 수사를 통해 정확한 책임 소재가 가려질 것으로 보입니다.

YTN 이현정입니다.

영상편집 : 변지영
디자인 : 임샛별



YTN 이현정 (leehj0311@ytn.co.kr)

※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr

▶ 기사 원문 : https://www.ytn.co.kr/_ln/0103_202602231856152692
▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424

▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs

[ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]