잡고보니 소년범…‘따릉이’ 462만 회원 정보유출자 2명 불구속 수사중

2024년 공유모빌리티업체 DDOS공격 수사로 덜미…중학생때 범행 SNS로만 교류한 학생들…올해 1월 검거된 주범은 ‘묵비권’ 행사중 유출된 개인정보에 이름·주민번호 포함 안돼…제3자 유출정황 없어 서울시민 공공자전거 ‘따릉이’ 애플리케이션(앱)에서 약 462만명 회원정보를 대량으로 유출한 해킹범들이 10대 청소년으로 드러났다. 서울경찰청 사이버수사과는 23일 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B군을 불구속 송치했다고 밝혔다. 이들은 중학생이던 2024년 6월 28일부터 이틀간 서울시설공단 따릉이 서버에 침입해 가입자 대다수인 462만명분 계정 정보를 유출시킨 혐의를 받는다. 유출 개인정보는 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이다. 이름과 주민등록번호까진 포함되지 않았다. 경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 조사했으나 제3자에게 유출된 정황은 확인되지 않은 상태라고 한다. 경찰 조사에서 주범인 A군은 ‘묵비권’ 행사 중이고, B군은 “호기심과 과시욕에 범행했다”는 취지로 진술했다. 경찰은 A군에 대해 두차례 구속영장을 신청했으나 검찰은 A군이 소년범인 점 등을 고려해 반려했다. 서울경찰청은 지난 9일 청장 간담회에서 불구속 수사 상황을 알렸다. 이들은 B군이 2024년 4월 민간 공유 모빌리티 대여업체에 벌인 디도스(DDoS) 공격 사건을 경찰이 수사하던 중 덜미가 잡혔다. 그해 10월 B군을 검거해 컴퓨터 등 전자기기를 분석한 경찰은 다른 개인정보 파일을 확인했고, B군을 추궁한 끝에 따릉이 회원정보임을 확인했다. 경찰은 B군 텔레그램에서 범행을 함께 모의·실행한 A군과의 대화를 확보해, A군을 올해 1월 검거했다. 이들은 정보보안 독학 등 관심사를 고리로 SNS로만 만난 사이로, B군이 공단 서버의 취약점을 발견하자 A군이 “전체를 다운받아보자”며 범행을 주도한 것으로 파악됐다. 서버에 저장된 가입자 정보는 통상 암호화된 ‘인증토큰’이 있어야 제공되지만, 따릉이 서버엔 이같은 검증 절차가 없어 취약했다고 한다. 경찰은 ‘고난도 해킹은 아니’라고 보면서도, 따릉이 서버를 부실 관리한 서울시설공단의 책임이 크다고 보고 공단 관계자들을 내사하고 있다. 앞서 서울시(시장 오세훈)는 시설공단이 개인정보 유출을 인지하고도 2년 가까이 아무런 조처를 하지 않은 정황이 있다며 공단 관계자들을 경찰에 수사의뢰했다. 박정보 서울경찰청장은 9일 정례간담회 당시 해당 사건에 대해 ‘고발인 조사 이후 수사 방향을 결정하겠다’고 말했다.