따릉이 개인정보 462만 건 유출은 중학생들 소행…불구속 송치

서울 공공자전거 '따릉이' 회원 정보를 대량으로 해킹한 10대들이 검찰에 넘겨졌습니다.

서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B 군을 불구속 송치했다고 오늘(23일) 밝혔습니다.

이들은 중학생이던 2024년 6월 28일부터 이틀 동안 서울시설공단에서 운영하는 따릉이 서버에 침입해 가입자 계정 약 462만 건을 유출한 혐의를 받습니다.

유출된 개인정보는 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등입니다.

이름과 주민등록번호는 포함되지 않았습니다.

경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 있으나, 제3자에게 유출된 정황은 아직 확인되지 않았습니다.

이들의 범행은 B 군이 2024년 4월 민간 공유 모빌리티 대여업체에 '디도스 공격'을 벌인 사건을 경찰이 수사하며 꼬리가 잡혔습니다.

그해 10월 B 군을 검거해 컴퓨터 등 전자기기를 분석한 경찰은 다른 개인정보 파일을 확인했고, B 군을 추궁한 끝에 따릉이 회원 정보 해킹을 확인했습니다.

특히 B 군의 텔레그램에서 범행을 모의하고 함께 실행한 A 군과의 대화를 확보해, A 군을 올해 1월 검거했습니다.

이들은 실제 만난 적 없는 소셜미디어(SNS)상의 친구로, B 군이 먼저 공단의 취약점을 발견하자 A 군이 "전체를 다운받아보자"며 범행을 주도한 것으로 조사됐습니다.

B 군은 '호기심과 과시욕에 범행했다'는 취지로 진술한 반면 A 군은 범행과 관련한 구체적 진술을 거부한 것으로 전해졌습니다.

이에 경찰은 A 군에 대해 두 차례 구속영장을 신청했으나 검찰은 A 군이 소년범인 점 등을 고려해 영장을 반려했습니다.

경찰은 따릉이 회원 개인정보가 담긴 서버를 부실하게 관리한 서울시설공단의 책임이 적지 않다고 보고 공단 관계자들을 현재 입건 전 조사(내사) 중입니다.

(사진=서울시 제공, 연합뉴스)