서울 공공자전거 ‘따릉이’ 이용자 개인정보 유출 범죄가 온라인에서 만난 10대 두 명의 소행인 것으로 드러났다. 이들은 중학생 시절 온라인 커뮤니티에서 알게 된 사이로, 호기심과 과시욕에 이끌려 범행을 저지른 것으로 조사됐다.
서울경찰청 사이버수사과는 2024년 6월 28~29일 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자 개인정보 약 462만 건을 빼낸 혐의로 10대 남성 두 명을 불구속 송치했다고 23일 밝혔다.
유출된 정보는 아이디, 휴대폰 번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이며 성명과 비밀번호, 주민등록번호는 포함되지 않았다. 경찰은 개인정보를 판매할 목적이 있었는지도 수사하고 있으나 현재까지 제3자에게 유출된 정황은 확인되지 않았다.
이번 사건은 당초 다른 공유 모빌리티 업체를 상대로 한 디도스(DDoS·분산서비스거부) 공격 수사 과정에서 단서가 포착됐다. 경찰은 2024년 4월 발생한 디도스 공격 사건을 수사하던 중 B군의 컴퓨터 등 압수물을 분석하는 과정에서 따릉이 개인정보 파일을 추가로 발견했다. 이후 B군의 텔레그램 계정 추적 등을 통해 주범 A군까지 검거했다.
온라인에서 만난 피의자들은 범행 당시 중학생이었으며 현재는 고등학생이다. 이들은 가입자 인증 없이도 정보 조회가 가능했던 서울시설공단 보안 시스템의 취약점을 악용해 해킹한 것으로 조사됐다. B군이 먼저 공단의 보안 취약점을 발견하자 A군이 “전체를 다운받아보자”며 범행을 주도한 것으로 파악됐다.
B군은 “호기심과 과시욕 때문에 범행했다”는 취지로 진술했으나 A군은 구체적 진술을 거부한 것으로 알려졌다. 경찰은 A군에 대해 두 차례 구속영장을 신청했지만 검찰은 소년범이라는 점 등을 고려해 영장을 반려했다.
서울시는 이번 개인정보 유출과 관련한 관리 책임을 따지기 위해 서울시설공단 관계자를 개인정보보호법 위반 혐의 등으로 수사 의뢰했다. 경찰은 개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해 차단에 주력할 방침이다.
김유진 기자 magiclamp@hankyung.com