‘따릉이 개인정보 462만건 유출’ 10대 미성년자 2명이 범인이었다…경찰, 불구속 송치

따릉이. 경향신문 자료사진

서울자전거 ‘따릉이’의 서버를 해킹해 가입자 개인정보 462만여건을 유출한 10대 피의자 2명이 검찰에 넘겨졌다.

서울경찰청 사이버수사과는 서울시설공단이 운영하는 따릉이 서버에 침입해 개인정보 약 462만건을 유출한 10대 남성 피의자 A·B군을 정보통신망법 위반 혐의로 23일 불구속 송치했다고 이날 밝혔다.

이들은 가입자 인증 절차 없이도 가입자 정보 조회가 가능한 서버 취약점을 이용해 2024년 6월 따릉이 서버에 저장된 이용자 아이디·휴대전화번호·e메일주소·주소·생년월일·성별·체중 등을 가로챈 것으로 파악됐다. 유출된 정보에는 성명·주민등록번호는 포함되지 않았다.

고등학생인 이들은 2년 전인 중학생 때 SNS상에서 만나 범행을 저질렀다. 경찰은 2024년 4월 9~13일 다른 킥보드 등 공유 모빌리티 대여업체 서버에 47만여 회의 대량 신호를 전송하는 식으로 분산서비스거부(DDoS·디도스) 공격을 하고 업무를 방해한 사건을 수사하던 중 B군을 검거했고, 이를 수사하는 과정에서 B군이 A군과 함께 따릉이 서버를 해킹한 사실을 확인했다.

경찰에 따르면 해킹을 주도한 A군은 경찰 조사에서 진술을 거부하고 있다. B군은 자신의 실력을 과시하기 위해 해킹한 것이라고 말한 것으로 전해졌다.

경찰은 서울시설공단 관계자가 개인정보 유출을 인지하고도 적절한 조치를 취하지 않은 데 대한 서울시의 수사 의뢰를 접수하고 입건 전 조사도 진행 중이다.

경찰 관계자는 “해킹으로 빼낸 정보를 판매하려는 정황은 확인되지 않았고, 현재까지 다른 범행은 파악되지 않았다”며 “이들이 해킹 기술을 독학으로 습득한 것으로 파악됐다”고 말했다.

전현진 기자 jjin23@kyunghyang.com