[단독]‘따릉이’ 462만명 정보 중학생이 털어… 시설공단은 ‘깜깜’

경찰, ‘독학 해킹’ 2명 불구속 송치
서버 인증 절차 취약점 노려 범행
공단, 경찰 통보전까지 ‘해킹’ 몰라

크게보기

서울 시내의 한 따릉이 대여소에 따릉이가 세워져 있다.ⓒ 뉴스1

서울시 공공자전거 ‘따릉이’ 서버에 침입해 이용자 462만 명의 개인정보를 빼낸 범인들은 독학으로 해킹을 익힌 중학생이었던 것으로 드러났다. 따릉이 서버를 운영하는 서울시설공단은 경찰의 통보 전까지 정확한 해킹 경로도 파악하지 못한 채 유출 사실을 알고도 제대로 된 초기 대응을 하지 않는 등 허술하게 운영해 온 것으로 나타났다.

서울경찰청 사이버수사과는 23일 정보통신망법 위반 혐의로 10대 남성 2명을 불구속 송치했다고 밝혔다. 이들은 중학생이던 2024년 6월 서울시설공단이 운영하는 따릉이 서버에 무단으로 접근해 약 462만 건의 계정 정보를 유출한 혐의를 받는다. 유출 정보는 가입자의 계정 아이디, 생년월일, 휴대전화 번호, 주소, 몸무게 등이다. 이름과 주민등록번호는 유출되지 않은 것으로 조사됐다.

이들은 서버 인증 절차의 구조적 취약점을 악용했다. 통상 개인정보를 조회하려면 이용자가 정상적인 로그인 과정을 거쳐 발급받은 ‘인증 토큰’을 서버가 확인해야 한다. 그러나 따릉이 일부 서버는 이런 절차 없이 외부에서 특정 값만 입력하면 가입자 정보를 볼 수 있었던 것으로 밝혀졌다. 독학으로 해킹을 익힌 중학생들이 손쉽게 개인정보를 빼낼 수 있었던 이유다.

이들의 범행은 경찰이 2024년 4월 민간 공유 모빌리티 업체를 상대로 한 대량 트래픽 공격(디도스) 사건을 수사하던 과정에서 드러났다. 경찰이 디도스 공격 피의자의 전자기기를 포렌식하던 중 따릉이 이용자 개인정보를 발견했고, 이후 텔레그램 대화 기록 등을 분석하는 과정에서 피의자들이 따릉이 서버를 해킹해 개인정보를 유출한 사실을 확인했다.

경찰이 유출 사실을 통보하기 전까지 서울시설공단은 해킹 원인조차 제대로 파악하지 못했던 것으로 드러났다. 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원이 서울시설공단으로부터 제출받은 자료에 따르면 서울시설공단은 유출 사고 이후 유해 인터넷주소(IP주소) 차단과 침입방지 시스템 강화 등의 조치를 취했다. 사고 발생 20일 뒤 서버 보안업체로부터 개인정보가 유출된 것으로 확인됐다는 내용의 보고서를 받았지만 웹 방화벽만 설치하고 이용자 통보와 신고 등 초기 대응을 하지 않았다.

이에 대해 염흥열 순천향대 정보보호학과 명예교수는 “매우 초보적인 취약점이 원인이었음에도 제대로 조치를 못 한 것”이라고 지적했다.

한편 경찰은 피의자들이 개인정보를 판매하거나 제3자에게 유포했을 가능성도 염두에 두고 수사하고 있다. 두 피의자 중 먼저 검거된 피의자는 “호기심과 과시욕 때문에 범행했다”는 취지로 진술했고 다른 피의자는 진술을 거부하고 있는 것으로 알려졌다.