서울 공공자전거 '따릉이' 회원 정보를 대규모로 빼낸 해킹 피의자들이 10대 청소년인 것으로 드러났다.
23일 서울경찰청 사이버수사과는 정보통신망법 위반(정보통신망 침해 등) 혐의로 고등학생 A군과 B군을 불구속 송치했다고 밝혔다.
경찰에 따르면 이들은 중학생이던 지난해 6월 28일부터 이틀간 서울시설공단이 운영하는 따릉이 서버에 무단 침입해 가입자 약 462만 건에 달하는 계정 정보를 유출한 혐의를 받는다. 유출된 정보에는 아이디와 휴대전화 번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이 포함됐다. 다만 이름과 주민등록번호는 빠진 것으로 확인됐다.
경찰은 이들이 개인정보를 판매할 목적으로 범행을 저질렀는지도 들여다보고 있으나, 현재까지 제3자에게 정보가 넘어간 정황은 확인되지 않았다. 조사 과정에서 B군은 '호기심과 과시욕 때문에 범행했다'는 취지로 진술했으며, A군은 묵비권을 행사하고 있는 것으로 전해졌다.
수사기관은 주범으로 지목된 A군에 대해 두 차례 구속영장을 신청했지만, 검찰은 소년범이라는 점 등을 고려해 영장을 반려했다.
이들의 범행은 B군이 2024년 4월 한 민간 공유 모빌리티 업체를 상대로 디도스(DDoS·분산서비스거부) 공격을 벌인 사건을 수사하는 과정에서 드러났다. 지난해 10월 B군을 검거해 전자기기를 분석하던 중 다른 개인정보 파일이 발견됐고, 추궁 끝에 해당 자료가 따릉이 회원 정보임을 확인했다.
경찰은 또 B군의 텔레그램 대화 내용을 확보해 A군과 범행을 공모한 정황을 포착, 올해 1월 A군을 검거했다. 두 사람은 정보보안에 대한 관심을 계기로 SNS를 통해 알게 된 사이로, B군이 공단 서버의 취약점을 찾아내자 A군이 '전체를 내려받아 보자'고 제안하며 범행을 주도한 것으로 조사됐다.
경찰은 서버에 저장된 회원 정보가 원칙적으로 '인증 토큰' 등 검증 절차를 거쳐야 제공되지만, 따릉이 서버에는 이 같은 보안 장치가 제대로 작동하지 않는 취약점이 있었던 것으로 보고 있다.
아울러 경찰은 개인정보가 담긴 서버를 부실하게 관리한 책임이 서울시설공단에도 있다고 보고, 관련자들을 입건 전 조사(내사) 중이다. 앞서 서울시는 공단이 개인정보 유출 사실을 인지하고도 약 2년간 별다른 조처를 하지 않은 정황이 있다며 경찰에 수사를 의뢰한 바 있다.
유지희 한경닷컴 기자 keephee@hankyung.com
관련뉴스
