서울시 공공자전거 ‘따릉이’ 이용자 462만명의 개인 정보를 유출한 범인은 해킹 전문 조직이 아닌 10대 청소년들인 것으로 23일 나타났다. 서울경찰청 사이버수사과는 정보통신망법 위반 혐의로 고등학생 A군과 B군을 검거해 불구속 송치했다고 이날 밝혔다.
서울경찰청 사이버수사과는 따릉이 서버에 침입해 이용자 개인 정보를 빼낸 혐의(정보통신망법 위반)로 미성년자 A·B를 검거해 불구속 송치했다고 23일 밝혔다.
경찰에 따르면 두 피의자는 텔레그램을 통해 알게 된 사이로, 정보 보안 분야에 관심을 갖고 독학하던 과정에서 범행을 공모한 것으로 조사됐다. 전문 해킹 조직과의 연관성이나 다크웹 접속 정황은 확인되지 않았다.
이들은 2024년 6월 따릉이 시스템의 인증 절차가 미흡한 취약점을 이용해 서버에 접근한 뒤 회원 정보를 조회하는 방식으로 개인 정보를 확보한 것으로 나타났다.
유출된 정보는 아이디, 휴대전화 번호, 이메일 주소, 거주지, 생년월일, 성별, 체중 등 약 462만건이다. 이름이나 주민등록번호 등 고유 식별 정보는 포함되지 않은 것으로 확인됐다.
이번 사건은 별도의 사이버 범죄 수사 과정에서 드러났다. 피의자 B가 다른 공유 모빌리티 업체를 상대로 디도스 공격을 벌인 혐의로 검거되면서 확보한 전자기기를 분석하는 과정에서 따릉이 관련 데이터가 발견됐고, 이후 온라인 계정을 추적해 공범 A도 특정됐다.
범행 동기와 관련해 피의자 B는 경찰 조사에서 “호기심과 과시욕 때문에 범행을 저질렀다”고 진술한 것으로 전해졌다. 반면 A는 진술을 거부하고 있는 것으로 나타났다. 경찰은 A에 대해 구속영장을 두 차례 신청했으나 소년범이라는 점 등이 고려돼 발부되지 않았다.
경찰은 따릉이 사건은 디도스 공격이 아닌 개인정보 유출 해킹 범행이라고 설명했다. 일부에서 제기된 디도스 공격설은 대량 조회로 인한 트래픽 증가를 오인한 것으로 보인다고 덧붙였다.
현재까지 제3자에게 개인정보가 유포된 정황은 확인되지 않았다. 경찰은 두 피의자의 전자기기를 압수해 수사를 마친 상태다.
경찰은 유출된 정보가 2차 범죄에 악용될 가능성에 대비해 출처가 불분명한 연락이나 금융 요구 등에 주의해 달라고 당부했다.