서울시 공공자전거 '따릉이' 회원 정보 462만건을 유출한 10대 피의자들이 불구속 상태로 검찰에 넘겨졌다.
서울경찰청 사이버수사과는 따릉이 가입자의 개인정보를 유출한 고등학생 피의자 A·B군을 정보통신망법 위반 혐의로 불구속 송치했다고 23일 밝혔다.
유출된 정보는 가입자의 아이디를 비롯해 전화번호·이메일 계정 주소·주소지 등이다. 유출된 462만건은 계정 기준이다.
경찰에 따르면 피의자들은 2024년 6월28일부터 29일 사이 서울시설공단이 운영하는 '서울자전거 따릉이' 서버에 침입해 가입자 아이디와 휴대전화 번호 등 개인정보 약 462만건을 유출한 혐의를 받고 있다. 범행 당시 A·B군은 중학생이었던 것으로 파악됐다.
B군은 따릉이 정보유출에 앞서 2024년 4월9일부터 13일 사이 또다른 민간 공유 모빌리티 대여업체 서버에 47만여 회의 대량의 신호를 보내 디도스(DDoS·분산서비스거부) 공격을 하고, 장비 대여 업무를 방해한 혐의도 함께 받는다. B군은 가입자 인증 없이도 개인정보를 조회할 수 있는 업체 취약점을 악용한 것으로 조사됐다.
경찰은 2024년 4월 발생한 디도스 공격과 관련해 대여업체의 진정서를 접수해 수사에 착수했다. 이후 같은해 10월초 디도스 공격 피의자 B를 검거하고 컴퓨터 등 전자기기를 압수해 수사를 진행했다.
수사 과정에서 압수물 포렌식 분석 등을 통해 '서울자전거 따릉이' 개인정보로 보이는 파일을 확인, 공범 여부 등을 추가 수사했다. 추가 수사 과정에서 경찰은 '따릉이' 개인정보 462만건 유출을 주도한 신원 미상 텔레그램 계정을 특정했다.
이후 경찰은 텔레그램 계정을 추적해 올해 1월말 '따릉이' 해킹을 주도한 A군을 긴급체포했다. 경찰은 진술을 거부하는 A군에 대해 두 차례 구속영장을 신청했지만 소년범이라는 이유로 검찰 청구는 이뤄지지 않았다.
함께 해킹 범행을 공모한 A군은 경찰 조사에서 "자기 과시와 호기심에서 범행을 저질렀다"는 취지로 진술한 것으로 알려졌다. B군은 범행과 관련한 진술을 거부하고 있다.
A·B군은 서로 만난 적은 없지만 온라인 상에서 알고 지낸 사이였던 것으로 전해진다. 이들은 정보보안 프로그램 관심을 갖고 독학으로 해킹을 시도했던 것으로 조사됐다. 아직까지 개인정보를 제3자에게 유포하거나 판매하려는 정황은 없었던 것으로 파악됐다.
경찰 관계자는 "개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해방지 등 국민 불안 해소를 위해 최선을 다할 것"이라고 밝혔다.
한편 이번 사건과 관련해 서울시가 개인정보유출 관리 책임에 대해 서울시설공단 관계자를 개인정보보호법 위반 혐의로 수사의뢰한 건은 현재 입건 전 조사(내사)가 진행 중이다.