[뉴스토마토 박진석 기자] 2024년 서울시설공단이 운영하는 서울 공공자전거 '따릉이' 서버에 침입해 개인정보 수백건을 유출한 일당이 검찰에 넘겨졌습니다. 이들은 모두 10대 고등학생으로 인증절차가 제대로 갖춰져 있지 않는 등 가입자 정보를 허술하게 관리되고 있음을 파악하고 범행한 것으로 조사됐습니다. 다만 해당 개인정보를 제3자에게 넘긴 정황은 발견되지 않았습니다.
23일 서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A군과 B군 두명을 불구속송치했다고 밝혔습니다.
A군 등은 중학생이던 2024년 6월28일부터 총 이틀 동안 서울시설공단에서 운영하는 따릉이 서버에 침입해 가입자 정보인 아이디와 휴대전화번호 등 개인정보 약 462만건을 유출한 혐의를 받고 있습니다. 유출된 개인정보에 이름과 주민등록번호는 포함되지 않은 것으로 확인됐습니다.
이들은 소셜미디어(SNS)에서 만난 사이로 B군이 먼저 공단의 개인정보 관리 취약점을 발견한 후 A군이 "전체를 다운받아보자"며 범행을 주도한 것으로 파악됐습니다.
B군은 경찰 조사에서 호기심과 과시욕에 범행했다고 진술했습니다. 하지만 A군은 진술거부권을 행사 중입니다. 이들 평소 정보보안 프로그램 분야에 관심이 많아 독학으로 해킹 기술을 습득한 것으로 조사됐습니다.
이들의 범행은 B군이 2024년 4월 다른 공유 모빌리티대여업체에 47만여회에 달하는 디도스 공격을 벌인 사건을 경찰이 수사하던 중 덜미를 잡혔습니다.
B군을 검거한 경찰은 컴퓨터 등 전자기기를 분석하던 과정에서 다른 개인정보 파일을 확인했고 그를 추궁한 끝에 따릉이 회원 정보 해킹 정황을 파악했습니다. 또 그의 텔레그램에서 A군과 범행을 모의하고 실행한 정황을 발견하고 올해 1월 A군을 검거했습니다. 이들이 개인정보를 판매할 목적적으로 범행했는지 의심했으나 현재까지 제3자에게 넘어간 정황은 발견되지 않았습니다.
경찰은 진술거부권을 행사 중인 A군에 대한 구속영장을 두 차례 신청했으나 검찰은 소년범인 점을 고려해 영장을 반려했습니다.
경찰은 따릉이 회원 개인정보가 담긴 서버를 부실하게 관리하고 개인정보 유출을 인지하고도 2년 가까이 아무런 조치를 하지 않은 점 등 서울시설공단의 책임이 적지 않다고 보고 관계자들을 현재 입건 전 조사(내사) 중입니다.
경찰 관계자는 "최근 다양한 개인정보 유출 사건이 발생하고 있어 출처가 불분명한 연락 등에 각별한 주의를 기울여 피해를 예방하길 당부한다"며 "피해 시도가 확인될 경우 신속히 수사기관에 신고해 도움받길 바란다"고 말했습니다.
박진석 기자 ptba123@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최병호 공동체부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지