‘따릉이’ 개인정보 462만건 유출범은 10대들…“호기심-과시욕에 범행”

서울 시내의 한 따릉이 대여소에 따릉이가 세워져 있다. 뉴스1

서울시 공공자전거 ‘따릉이’ 서버에 침입해 약 462만 건의 개인정보를 유출한 혐의를 받는 해킹범이 10대 학생으로 확인됐다.

서울경찰청 사이버수사과는 정보통신망법 위반 혐의를 받는 10대 A 군과 B 군을 불구속 송치했다고 23일 밝혔다. 현재 고등학생인 이들은 중학생 시절인 2024년 6월 28일부터 29일까지 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자 정보인 아이디, 휴대전화 번호, 이메일 계정 주소, 주소지 등 개인정보 약 462만 건을 유출한 혐의를 받는다. 두 학생은 온라인상에서 정보 보안에 대한 관심을 공유하며 알게 된 것으로 전해졌다.

이러한 내용은 별도의 사건을 수사하는 과정에서 드러났다. 경찰은 2024년 4월 민간 공유 모빌리티 대여업체의 디도스 공격 진정서를 접수해 수사에 착수했다. 같은 해 10월 공격자로 A 군을 특정한 경찰은 그를 검거해 전자기기를 압수한 뒤 포렌식을 진행했다. 이때 경찰은 따릉이 개인정보 파일을 확인하고 462만 건의 데이터를 회수했다. 경찰은 따릉이 유출 범행을 주도한 텔레그램 계정 사용자가 B 군임을 특정하고 올해 1월 그를 검거했다.

조사 결과, 서버 취약점을 발견한 A 군이 텔레그램을 통해 이를 알리자 B 군이 개인정보를 내려받자고 제안한 것으로 드러났다. A 군은 조사 과정에서 “호기심과 과시욕으로 범행을 저질렀다”는 취지로 진술했다. 반면 B 군은 진술 거부권을 행사하는 것으로 알려졌다. 경찰은 사안의 중대성을 고려해 B 군에 대해 두 차례 구속영장을 신청했다. 하지만 검찰은 소년범인 점과 역할 분담 명확화 필요성 등을 이유로 영장을 발부하지 않았다.

경찰은 이들이 취득한 개인정보를 판매할 목적이 있었는지 추가 수사를 진행하고 있다.

최재호 기자 cjh1225@donga.com