'따릉이' 개인정보 462만건 턴 피의자는 당시 중학생들…"자기 과시 목적"

[파이낸셜뉴스] 서울시 공공자전거 '따릉이' 서버에 침입해 450만건 이상의 가입자 정보를 유출한 10대 남성 2명이 검찰에 넘겨졌다. 이들은 범행 당시 중학생이었고, 피의자 중 한명은 자기 과시 목적으로 개인정보를 빼냈다고 진술한 것으로 드러났다. 경찰은 범행 동기에 판매 목적은 없었는지를 들여다보고 있다.

서울경찰청 사이버수사과는 정보통신망법 위반(정보통신망 침해 등) 혐의로 10대 남성 A씨와 B씨를 불구속 송치했다고 23일 밝혔다.

A씨와 B씨는 지난 2024년 6월 28일부터 29일 사이 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자 아이디, 휴대전화 번호 등 개인정보 약 462만건을 빼낸 혐의를 받는다. 유출된 정보에는 이메일 주소, 주소지, 생년월일, 성별, 체중 등도 포함됐으며 성명과 주민등록번호는 포함되지 않은 것으로 파악됐다. 정보 항목별 유출 여부는 가입자마다 다른 것으로 조사됐다.

이들은 사회관계망서비스(SNS)를 통해 만났으며 범행 당시는 중학생 신분이었던 것으로 확인됐다. 서울시설공단의 서버에 취약점이 있다는 사실을 알게 된 B씨는 A씨에게 서버에 침입할 것을 제안했고, B씨가 개인정보를 내려받자고 하면서 범행이 이뤄졌다. A씨와 B씨는 모두 해킹과 관련한 지식을 독학한 것으로 알려졌다.

B씨는 이보다 앞선 2024년 4월 9일부터 13일 사이에 또 다른 공유 모빌리티 업체 서버에 약 47만회의 대량 신호를 보내는 이른바 '디도스(DDoS·분산서비스거부) 공격'을 가해 장비 대여 업무를 방해한 혐의도 받는다.

서울시가 지난 9일 개인정보 관리 책임과 관련해 서울시설공간 관계자를 개인정보보호법 위반 혐의 등으로 수사 의뢰한 건에 대해선 입건 전 조사(내사)를 진행 중이다.

앞서 경찰은 지난 2024년 4월 말 공유 모빌리티 업체로부터 디도스 공격 관련 진정서를 접수해 수사에 착수했다. 같은 해 10월 초 디도스 공격자를 B씨로 특정해 검거하고 컴퓨터 등 전자기기를 압수했다. 이후 지난해 7월 포렌식 분석 과정에서 따릉이 가입자 개인정보로 추정되는 파일을 확인한 뒤 수사를 확대했다. 정밀 분석 결과 개인정보 유출을 주도한 텔레그램 계정을 특정했고, 기술적 추적 끝에 지난달 말 해당 계정 사용자인 A씨를 검거해 전자기기를 압수했다.

경찰은 진술을 거부한 A씨에 대해 두 차례 구속영장을 신청했으나, 소년범인 점 등을 이유로 검찰이 청구하지 않았다고 설명했다. B씨는 범행 동기에 대해 자기 과시 목적이었다고 진술한 것으로 전해졌다.

경찰 관계자는 이날 열린 기자간담회에서 "추정이지만 (개인정보를) 판매할 목적도 있지 않았나 의심하고 있다"고 밝혔다.

경찰은 개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해 방지에 힘쓸 예정이다. 경찰 관계자는 "출처가 불분명한 연락이나 금융거래 요구에는 각별한 주의를 기울여 피해를 예방하여 주시기 바란다"며 "피해 시도가 확인될 경우 신속히 수사기관에 신고해 도움을 받으시라"고 당부했다.

jyseo@fnnews.com 서지윤 기자