개인정보보호위원회는 서울시 공공자전거 ‘따릉이’ 회원정보 450만건 이상이 유출된 것과 관련해 서울시설공단으로부터 유출 신고를 접수했다고 지난달 30일 밝혔다. 사진은 1일 서울 영등포구 한 도로에 있는 따릉이 모습. <연합뉴스>

[헤럴드경제=박준규 기자] 서울시가 운영하는 공공자전거 ‘따릉이’ 회원정보를 빼낸 고등학생 일당이 검찰에 넘겨졌다. 동갑내기인 이들은 같은 학교 동급생은 아니지만 온라인을 통해 교류하다가 따릉이 서버 공격계획을 꾸민 것으로 파악됐다.

서울경찰청은 서울시 공공자전거 따릉이 서버에 침입해 회원 아이디와 휴대전화번호 등 462만건을 유출한 혐의를 받는 남성 A·B군을 불구속 상태로 검찰에 넘겼다고 23일 밝혔다. 두 사람은 현재 고등학생인데 범행을 벌였던 때엔 중학생이었다.

A군은 소셜미디어(SNS)에서 알게 된 B군으로부터 ‘따릉이 서버 보안이 허술해 보인다’는 취지의 이야기를 듣고 범행을 해보자고 먼저 주도했다. 이후 B군은 실제로 서버 공격에 나섰고 확보한 회원정보를 A군과 공유했다. 경찰은 B군이 다른 공유 모빌리티 대여업체의 서버에도 디도스(DDos, 분산서비스공격) 공격을 시도해 전산 장애를 일으킨 사실도 파악해 함께 송치했다.

따릉이 회원가입 화면. 몸무게를 기입하는 항목도 있다.

범행동기 “해킹 실력 과시하고 싶어서”
따릉이 회원 정보가 대량으로 빠져나갔단 사실은 경찰이 B군의 첫 번째 디도스 범행을 조사하는 과정에서 포착됐다. 지난 2024년 4월 한 모빌리티 대여업체가 해킹 공격을 받은 것 같다는 진정서를 경찰에 내면서 수사가 시작됐다. 그 과정에서 경찰은 B군을 피의자로 특정하고 그의 컴퓨터와 휴대전화 등을 압수했다.

이 과정에서 수사팀이 노트북을 비롯한 압수물을 포렌식 해보니 모빌리티 대여업체를 해킹한 정황 외에도, 따릉이 가입자 460만여명의 개인정보가 발견됐다. 아이디와 휴대전화 번호, 이메일 계정, 주소, 생년월일, 성별, 체중 등이었다. 이름과 주민등록번호는 없었다고 경찰은 밝혔다.

이후 경찰은 따릉이 회원정보 서버를 겨냥한 사이버 공격과 정보 유출도 수사했다. 그러면서 B군와 함께 범행한 공범이 있다는 정황을 SNS 대화 내용을 살피면서 발견했다. 추적 끝에 붙잡은 A군은 확보한 방대한 양의 따릉이 회원 개인정보를 가지고 있었다.

경찰 관계자는 이들의 범행 동기에 관해 “공범 한 명인 B군은 ‘자기 (해킹) 실력을 과시하고 싶었다’는 취지로 말했고 다른 피의자 A는 진술을 거부했다”고 설명했다. B군은 해킹 기술을 독학으로 습득했다고 진술했다. 입을 닫은 다른 피의자에 대해 경찰은 두 차례 구속영장을 신청했으나 소년범이란 점 등을 들어 검찰은 불청구했다.

한편 서울시설공단은 2024년 따릉이 어플리케이션(앱)에 해킹 공격이 있었고 회원정보가 빠져나간 사실을 확인했지만 별다른 조처가 없었던 점도 알려졌다. 서울시는 개인정보 업무를 맡은 공단 관계자를 개인정보보호법 위반 등의 혐의로 이달 초 수사 의뢰했다. 경찰은 이 사건에 대해선 내사(입건 전 조사)하고 있다.