서울시 공공자전거 '따릉이' 회원정보 462만건을 유출한 10대 피의자들이 불구속 상태로 검찰에 넘겨졌다. 범행 당시 피의자들은 중학생이었던 것으로 파악됐다.
서울경찰청 사이버수사과는 따릉이 가입자의 개인정보를 유출한 고등학생 피의자 A·B군을 정보통신망법 위반혐의로 불구속 송치했다고 23일 밝혔다.
유출된 정보는 가입자의 아이디를 비롯해 전화번호, 이메일 계정 주소, 주소지 등이다. 유출된 462만건은 계정 기준이다.
경찰에 따르면 피의자들은 2024년 6월28~29일 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자의 아이디와 휴대전화번호 등 개인정보 약 462만건을 유출한 혐의를 받는다.
B군은 따릉이 정보유출에 앞서 2024년 4월9~13일 또다른 민간 공유 모빌리티 대여업체의 서버에 47만여회 대량의 신호를 보내 디도스(DDoS·분산서비스거부) 공격을 하고 장비대여 업무를 방해한 혐의도 함께 받는다. B군은 가입자 인증 없이도 개인정보를 조회할 수 있는 업체의 취약점을 악용한 것으로 조사됐다.
경찰은 2024년 4월 발생한 디도스 공격과 관련해 대여업체의 진정서를 접수, 수사에 착수했다. 이후 같은 해 10월 초 디도스 공격 피의자 B군을 검거하고 컴퓨터 등 전자기기를 압수해 수사를 진행했다.
수사과정에서 압수물에 대한 포렌식 분석 등을 통해 따릉이 개인정보로 보이는 파일을 확인, 공범여부 등을 추가 수사했다. 추가 수사과정에서 경찰은 따릉이 개인정보 462만건 유출을 주도한 신원미상 텔레그램 계정을 특정했고 올해 1월말 따릉이 해킹을 주도한 A군을 긴급체포했다. 경찰은 진술을 거부하는 A군에 대해 2차례 구속영장을 신청했지만 소년범이라는 이유로 검찰 청구는 이뤄지지 않았다.
B군은 경찰 조사에서 "자기 과시와 호기심에서 범행을 저질렀다"는 취지로 진술한 것으로 알려졌다. A군은 범행과 관련한 진술을 거부했다.
A·B군은 서로 만난 적은 없지만 온라인상에서 알고 지낸 사이였던 것으로 전해진다. 이들은 정보보안 프로그램에 관심을 갖고 독학으로 해킹을 시도한 것으로 조사됐다. 아직까지 개인정보를 제3자에게 유포하거나 판매하려는 정황은 없었던 것으로 파악됐다.
경찰 관계자는 "개인정보보호위원회와 협력해 재발방지 대책을 마련하고 2차 피해방지 등 국민불안 해소를 위해 최선을 다할 것"이라고 밝혔다.
한편 이번 사건과 관련해 서울시가 개인정보유출 관리책임에 대해 서울시설공단 관계자를 개인정보보호법 위반혐의로 수사를 의뢰한 건은 현재 입건 전 조사(내사)가 진행 중이다.