2026.01.15 서울시설공단 개인정보 노출 사고 요약

 

1.개요

• 2026년 1월 15일, 서울시설공단이 운영하는 서울시 공공자전거 ‘따릉이’ 홈페이지에서 내부 자료 약 850여 개 파일이 외부에 노출되는 사고가 발생하였습니다.
• 해당 페이지는 구글 등 검색엔진을 통해 누구나 쉽게 접근 가능했기 때문에, 일정 기간 동안 불특정 다수가 민감한 개인정보가 담긴 자료를 열람할 수 있는 상태였습니다.

 

2. 피해범위

보도 기준으로 확인된 개인정보 노출 피해자는 최소 20여 명이며, 추가 조사를 통해 인원은 더 늘어날 가능성이 있는 상황입니다.

노출된 파일들은 2016년경 자료부터 2025년 11월경 자료까지 장기간 축적된 문서·이미지 등을 포함하고 있어, 노출 기간이 길고 피해 시점이 다양할 수 있다는 점이 우려되고 있습니다.

 

3. 유출항목

• 주민등록번호와 휴대전화번호 등 민감한 개인정보가 포함된 문서가 다수 확인되었으며, 이름과 연락처가 기재된 사고 보고서, 설치 확인서, 메모 사진 등도 노출되었습니다.
• 서버 장비 사진에 인쇄된 IP 주소, 데이터베이스 접속 정보로 추정되는 텍스트, 각종 내부 업무 관련 이미지·문서·설치·실행 파일(.exe 등), 압축파일, 개발 관련 파일(.jsp) 등이 함께 노출되어, 시스템 정보까지 외부에 드러난 것으로 전해졌습니다.

 

4. 원인

• 서울시설공단은 시스템 개발 및 테스트 과정에서 업로드 검증을 위해 생성한 테스트 파일이, 테스트 종료 후에도 완전히 삭제되지 않고 서버에 잔존한 상태에서 외부에서 접근 가능한 경로에 위치한 것이 사고의 직접적 원인이라고 설명하였습니다.
• 정보보호 전문가들은 접근 권한 설정과 검색엔진에 대한 차단(robots.txt, 디렉터리 비공개 설정 등)이 제대로 이루어지지 않아 내부용 자료가 통째로 검색엔진 색인 대상이 된 점을 근본적인 권한·검색 설정 실패로 지적하고 있습니다.

 

5. 대응

• 1월 15일 밤 신고가 접수된 이후, 공단은 문제 파일에 대한 접근을 즉시 차단하고 서버 경로 통제를 완료했으며, 다음 날 아침에는 해당 페이지 접속이 불가능한 상태로 조치되었습니다.
• 서울시설공단은 개인정보 노출 대상자에게 개별 문자로 사과와 함께 스팸·보이스피싱 등 2차 피해 예방을 위한 주의사항을 안내하고, 동시에 검색 포털에 URL 삭제를 요청했으며, 한국인터넷진흥원(KISA)과 개인정보보호위원회에도 관련 내용을 신고 완료했다고 밝혔습니다.

 

6. 문제점

• 해킹이 아닌 내부 개발·테스트 과정의 관리 부실과 권한 설정 미비로 발생한 사고인 만큼, 공공기관의 기본적인 개인정보 보호 및 개발·테스트 절차 통제가 구조적으로 미흡했다는 점이 가장 큰 문제로 지적됩니다.
• 데이터가 이미 구글 서버 등에 저장되어 색인된 이상 ‘실질적인 유출’로 보아야 한다는 전문가 지적과 함께, 노출 시점·기간·정확한 피해 범위에 대한 공식적인 설명이 아직 충분히 공개되지 않아, 투명성과 신뢰 측면에서도 보완이 필요하다는 비판이 제기되고 있습니다.