서울 공공자전거 따릉이 서버 해킹으로 462만 건의 개인정보가 유출된 사건의 범인이 10대 학생들로 밝혀졌습니다.

23일 서울경찰청 사이버수사과는 정보통신망법 위반 혐의로 10대 남성 2명을 불구속 송치했다고 발표했습니다. 

현재 고등학생인 이들은 중학생이었던 2024년 6월 28일부터 29일 사이 서울시설공단이 운영하는 따릉이 시스템에 무단 침입했습니다.

기사의 이해를 돕기 위한 자료 사진 / 뉴스1

해당 사건으로 유출된 개인정보는 총 462만 건에 달하며, 가입자의 아이디, 휴대전화 번호, 이메일 주소, 거주지 주소, 생년월일, 성별, 체중 등 민감한 정보들이 포함되어 있었습니다.

이 중 A군의 경우 추가 범행도 저질렀습니다. 그는 2024년 4월 9일부터 13일까지 다른 공유 모빌리티 업체 서버에 47만여 회의 대량 신호를 전송하는 디도스 공격을 감행해 해당 업체의 장비 대여 서비스에 장애를 일으켰습니다.

경찰의 수사 과정을 살펴보면, 2024년 4월 말 공유 모빌리티 업체가 디도스 공격 피해 신고를 접수하면서 수사가 시작되었습니다. 이후 2024년 7월 포렌식 분석을 통해 따릉이 개인정보로 추정되는 파일을 발견했고, 압수물에 대한 정밀 분석으로 텔레그램 계정을 특정하는 데 성공했습니다. 지난달 말 최종적으로 계정 사용자들을 확인해 검거에 이르렀습니다.

수사 결과 두 용의자는 온라인에서 만난 사이였으며, A군이 서울시설공단 웹사이트의 보안 취약점을 발견한 후 B군과 함께 범행을 계획한 것으로 나타났습니다. 이들의 해킹 기술은 모두 독학으로 습득한 것으로 확인되었습니다.

조사 과정에서 A군은 호기심과 과시욕이 범행 동기였다고 진술했으나, B군은 진술거부권을 행사하고 있는 상황입니다. 다행히 현재까지 이들이 개인정보 유출을 통해 경제적 이득을 취했거나 추가적인 개인정보 유출을 시도했다는 증거는 발견되지 않았습니다.

기사의 이해를 돕기 위한 자료사진 / gettyimagesBank

경찰은 이들이 유출한 개인정보를 판매할 목적이 있었는지에 대해 추가 수사를 진행하고 있습니다. 또한 서울시가 개인정보 유출 사건의 관리 책임을 묻기 위해 서울시설공단 관계자를 개인정보보호법 위반 혐의로 수사 의뢰한 건에 대해서도 현재 입건 전 조사가 진행 중이라고 밝혔습니다.