서울 공공자전거 '따릉이'의 이용자 개인정보 462만건 유출 사건이 온라인에서 만난 10대 2명의 소행으로 파악됐다. 이들은 중학생 시절 온라인 커뮤니티에서 만나 '호기심과 과시욕에 이끌려' 범행을 시도한 것으로 조사됐다.
서울경찰청 사이버수사과는 2024년 6월 28일부터 29일 사이 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자 개인정보 약 462만건을 빼낸 혐의로 10대 남성 2명을 불구속 기소했다고 23일 밝혔다. 보안 취약점 틈타…"호기심과 과시욕 때문" 진술유출된 정보는 아이디, 휴대전화번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이다. 다만 성명과 비밀번호, 주민등록번호는 포함되지 않은 것으로 확인됐다.
경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 있으나, 제3자에게 유출된 정황은 아직 확인되지 않았다.
이번 사건은 당초 다른 공유 모빌리티 업체를 상대로 한 디도스(DDoS·분산서비스거부) 공격 수사 과정에서 단서가 포착됐다. 경찰은 2024년 4월 발생한 디도스 공격 사건 수사 과정에 착수하고, 그해 10월 업체 서버에 약 47만회에 걸쳐 대량의 신호를 보내 서비스 장애를 일으킨 혐의로 피의자 B군을 검거했다.
B군의 컴퓨터 등 압수물을 분석하던 중 따릉이 개인정보 파일을 추가로 확인했고, B군을 추궁한 끝에 따릉이 회원 정보 해킹을 확인했다. 이후 경찰은 B군의 텔레그램 계정 추적 등을 통해 주범 A까지 특정해 검거했다.
온라인상에서 만난 피의자들은 범행 당시 중학생, 현재는 고등학생인 것으로 알려졌다. 이들은 가입자 인증 없이도 정보 조회가 가능했던 서울시설공단 보안 시스템 취약점을 악용해 해킹을 시도한 것으로 조사됐다. B군이 먼저 공단의 보안 취약점을 발견하자 A군이 "전체를 다운받아보자"며 범행을 주도한 것으로 파악됐다.
B군은 '호기심과 과시욕에 범행했다'는 취지로 진술했지만 A군은 범행과 관련한 구체적 진술을 거부한 것으로 전해졌다.
경찰은 먼저 범행을 제시한 A군에 대해 두 차례 구속영장을 신청했으나 검찰은 이들이 소년범인 점 등을 고려해 영장을 반려했다. 서버 부실 관리…서울시설공단 내사서울시는 이번 개인정보 유출과 관련한 관리 책임 여부를 따지기 위해 서울시설공단 관계자를 개인정보보호법 위반 혐의 등으로 수사 의뢰했다. 경찰은 개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해 차단에 주력할 방침이다.
한편 2025년 출범 10년을 맞은 따릉이는 누적 회원 수가 500만명을 넘어섰다. 2024년 이용 건수는 4385만여 건으로 10년 전(11만3000건) 대비 약 400배 증가했다. 지난 10년간 누적 이용 건수는 2억5000만여 건으로 서울시민 1인당 평균 25회 이용한 셈이다.
서울 시민의 대표적 공공 인프라로 자리 잡은 따릉이에서 대규모 개인정보 유출이 발생했다는 점에서 공공 플랫폼의 보안 관리 책임에 대한 논의가 불가피할 전망이다.
김유진 기자 magiclamp@hankyung.com