따릉이 개인정보 해킹 사건은 중학생의 '과시욕'(종합)

"과시욕 때문에"…판매 여부 조사중
아이디·전화번호 등 462만건 유출

서울시 공공자전거 '따릉이' 회원들의 개인정보를 대거 유출한 10대 2명이 검찰에 넘겨졌다. 현재 고등학생인 이들은 범행 당시 중학생에 불과했는데 '과시욕'을 범행 동기로 진술했다.

서울경찰청 사이버수사과는 정보통신망법 위반 혐의로 고등학생 A군과 B군을 불구속 송치했다고 23일 밝혔다.

2024년 8월 경찰들이 서울시 공공자전거 '따릉이' 보관소 일대를 단속하고 있다. 연합뉴스

경찰에 따르면 A군 등은 중학생이던 2024년 6월 서울시설공단의 따릉이 서버에 침입해 아이디·전화번호·이메일·생년월일·성별·체중 등 개인정보 약 462만건을 유출한 혐의를 받는다. 이름이나 주민등록번호는 포함되지 않았다. B군의 경우 같은 해 4월 또 다른 공유 모빌리티 대여업체 서버에 디도스((DDoS·분산서비스거부) 공격을 해 장비 대여 업무를 방해한 혐의도 받고 있다.

앞서 경찰은 2024년 10월 B군이 일으킨 사건을 수사하는 과정에서 디도스 공격자로 B군을 특정하면서 전자기기 일체를 압수했고, 지난해 7월 따릉이 개인정보로 보이는 파일을 확인했다.

이후 신원 미상의 텔레그램 계정을 특정했으며 기술적인 추적을 통해 지난달 말 따릉이 개인정보 유출 사건의 주범인 A군을 추가 검거했다. 경찰은 A군이 거듭해서 진술을 거부하는 등 수사에 협조하지 않자 두 차례에 걸쳐 구속영장을 신청했지만, 검찰이 소년범 등을 이유로 불청구했다.

B군은 경찰 조사에서 "호기심과 과시욕 때문에 범행을 저질렀다"는 취지로 진술했다. 두 사람은 정보보안에 대한 관심을 계기로 사회관계망서비스(SNS)를 통해 알게 된 사이인 것으로 파악됐다. B군이 서울시설공단 서버의 취약점을 찾아내자 A군이 범행을 제안하고 주도한 것으로 조사됐다.

지난해 11월18일 서울 중구 세종대로 시청역 2번출구 인근에 따릉이 보관소가 설치돼 있다. 강진형 기자

경찰은 A군 등이 개인정보를 판매할 목적으로 범행을 저질렀는지 여부도 들여다보고 있다. 현재까지 제3자에게 정보가 넘어간 정황은 확인되지 않았다.

아울러 서울시설공단에 개인정보가 담긴 서버를 부실하게 관리한 책임이 있다고 보고 관련자들을 입건 전 조사(내사) 중이다. 앞서 서울시 측은 공단이 개인정보 유출 사실을 인지하고도 약 2년간 별다른 조처를 하지 않은 정황이 있다면서 경찰에 수사를 의뢰한 바 있다.

오지은 기자 joy@asiae.co.kr