▲ 지난 1일 서울 영등포구 한 도로에 있는 따릉이 모습
서울 공공자전거 '따릉이' 회원 정보를 대량으로 유출한 해킹범들이 10대인 것으로 확인됐습니다.
서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B 군을 불구속 송치했다고 23일 밝혔습니다.
이들은 중학생이던 2024년 6월 28일부터 이틀 동안 서울시설공단 따릉이 서버에 침입해 가입자 대부분인 약 462만 건의 계정 정보를 유출한 혐의를 받습니다.
유출된 개인정보는 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등입니다.
이름과 주민등록번호는 포함되지 않았습니다.
경찰은 개인정보를 판매할 목적이었는지 의심하고 있습니다.
제삼자에게 유출된 정황은 아직 확인되지 않았습니다.
경찰 조사에서 B 군은 "호기심과 과시욕에 범행했다"는 취지로 진술했습니다.
주범인 A 군은 묵비권을 행사하고 있습니다.
경찰은 A 군에 대해 두 차례 구속영장을 신청했으나 검찰은 소년범인 점 등을 고려해 영장을 반려했습니다.
이들의 범행은 B 군이 2024년 4월 민간 공유 모빌리티 대여업체에 디도스 공격을 벌인 사건을 수사하던 중 드러났습니다.
그해 10월 B 군을 검거해 컴퓨터 등 전자기기를 분석하던 경찰은 다른 개인정보 파일을 확인했습니다.
경찰은 B 군을 추궁한 끝에 해당 파일이 따릉이 회원 정보임을 확인했습니다.
특히 B 군의 텔레그램에서 범행을 모의하고 함께 실행한 A 군과의 대화를 확보해 A 군을 올해 1월 검거했습니다.
이들은 정보보안 독학 등 공통 관심사를 계기로 사회관계망서비스로만 알게 된 사이로 B 군이 공단 서버의 취약점을 발견하자 A 군이 전체를 내려받자고 주도한 것으로 전해졌습니다.
경찰은 서버에 저장된 가입자 정보는 통상 암호화된 인증 토큰이 있어야 제공되지만 따릉이 서버에는 이 같은 검증 절차가 없었다고 지적했습니다.
경찰 관계자는 "서버에 인증 없이도 특정 호출을 하면 특정 정보를 갖다주는 미비점이 있었다"며 "고난도 해킹이 아니다"라고 말했습니다.
경찰은 따릉이 회원 개인정보가 담긴 서버를 부실하게 관리한 서울시설공단의 책임도 적지 않다고 보고 관계자들을 내사하고 있습니다.
앞서 서울시는 공단이 개인정보 유출을 인지하고도 2년 가까이 아무런 조처를 하지 않은 정황이 있다며 관계자들을 경찰에 수사 의뢰했습니다.
(사진=연합뉴스)