따릉이 개인정보 462만건 유출범은 중학생…“과시욕·호기심에 범행”

민간 업체 디도스 수사 중 덜미… 462만 개인정보 유출
주범 ‘진술 거부’에 영장 두 차례 신청했으나 기각

12일 서울시내 따릉이 대여소에 자전거가 세워져있다. 서울시 공공 자전거 따릉이를 타는 외국인 이용자가 급증했다. 이에 따라 시는 최장 이용 시간을 2시간에서 3시간으로 늘린다. 서울시에 따르면 K-컬처 열풍 등으로 서울을 찾는 외국인 관광객이 늘면서 따릉이 이용 외국인이 함께 증가하는 추세다. 지난 9월까지 외국인 따릉이 이용 건수는 2019년 동 기간 이용 실적 대비 2.5배 증가했다.2025.11.12. 서울=뉴시스

서울시 공공자전거 ‘따릉이’ 가입자 462만건의 개인정보를 해킹해 유출한 혐의를 받는 10대 2명이 경찰에 붙잡혔다. 범행 당시 이들은 중학생이었던 것으로 드러났다.

서울경찰청 사이버수사과는 정보통신망법 위반 혐의로 10대 남성 A군과 B군을 불구속 송치했다고 23일 밝혔다.

이들은 2024년 6월 28일부터 29일 사이 서울시설공단이 운영하는 ‘서울자전거 따릉이’ 서버에 침입해 가입자 정보를 빼돌린 혐의를 받는다.

이번 사건은 경찰이 민간 공유 모빌리티 업체를 겨냥한 디도스(DDoS) 공격 사건을 수사하던 중, 피의자의 압수물을 분석하는 과정에서 드러났다.

앞서 경찰은 2024년 4월 말 해당 업체로부터 “대량 신호를 보내 서비스 장애를 일으켰다”는 진정을 접수해 수사에 착수했다.

같은 해 10월 초 공격자로 B군을 특정해 검거한 경찰은 압수한 전자기기를 포렌식 하는 과정에서 따릉이 개인정보 파일을 확인하고 462만건의 데이터를 회수했다. 이후 경찰은 압수물 정밀 분석을 통해 범행을 주도한 텔레그램 계정 사용자가 A군임을 특정하고 올해 1월 말 그를 검거했다.

조사 결과, 현재 고등학생인 이들은 범행 당시 중학생 신분이었다. 사회관계망서비스(SNS)에서 정보 보안에 대한 관심을 공유하며 알게 된 이들은 실제 대면한 적은 없는 것으로 파악됐다.먼저 서버의 취약점을 발견한 B군이 텔레그램으로 이 사실을 알리자, 주범 A군이 “역할을 분담해 전체 데이터를 다운로드받자”고 제안하며 범행을 주도했다. B군은 “자기 과시욕과 호기심 때문에 범행했다”고 시인했으나, 주범 A군은 현재 변호인을 통해 진술을 거부하고 있다.

박정보 서울경찰청장은 이날 오전 개최된 정례기자간담회에서 “A군이 (빼낸 개인정보를) 판매할 목적이 있었던 것은 아닌지도 의심하고 있지만 제3자 판매 정황은 확인되지 않았다”고 말했다. 경찰은 사안의 중대성을 고려해 주범 A군에 대해 두 차례 구속영장을 신청했으나, 검찰은 소년범인 점과 역할 분담 명확화 필요성 등을 이유로 영장을 청구하지 않았다.

당초 대량 트래픽 발생으로 인해 디도스 공격으로 알려지기도 했으나, 경찰 수사 결과 이는 서버 취약점을 이용한 개인정보 유출 해킹으로 확인됐다. 이들은 가입자 정보 조회 시 필요한 최소한의 ‘인증 토큰’ 검증 절차조차 없어, 특정 호출만 하면 서버가 무방비로 정보를 응답하는 허점을 파고든 것으로 조사됐다. 서울경찰청 관계자는 “가입자 인증을 거쳐야 정보를 받아 오는 구조여야 하는데 그런 절차가 없어 미비했다”고 말했다.

한편 서울시는 이번 개인정보 유출과 관련한 관리 책임을 물어 서울시설공단 관계자를 개인정보보호법 위반 등 혐의로 지난 9일 수사 의뢰했으며, 현재 입건 전 조사(내사)가 진행 중이다.

서울경찰청 관계자는 “개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해 방지 등 국민 불안 해소를 위해 최선을 다하겠다”며 “출처가 불분명한 연락이나 금융거래 요구엔 각별한 주의를 기울여달라”고 당부했다.

[서울=뉴시스]