따릉이 개인정보 해킹범은 10대…“호기심과 과시욕“
서울 공공자전거 ‘따릉이’ 가입자 462만명의 개인정보를 대량으로 유출한 해킹 사건의 범인들이 10대 고등학생들인 것으로 드러났다.
서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A군과 B군을 불구속 송치했다고 23일 밝혔다.
이들은 중학생이던 2024년 6월 28일부터 이틀간 서울시설공단의 따릉이 서버에 침입해 전체 가입자의 대부분인 약 462만건의 계정 정보를 빼낸 혐의를 받고 있다.
유출된 데이터에는 아이디, 휴대전화 번호, 주소지, 이메일을 비롯해 생년월일과 체중 등이 포함됐으나 이름과 주민등록번호는 빠져 있었다.
경찰은 이들이 정보를 판매 했을 가능성을 열어두고 있으나 현재까지 외부로 유출된 정황은 찾지 못했다.
이번 사건은 전혀 다른 범죄를 수사하는 과정에서 우연히 꼬리가 잡혔다. 경찰이 2024년 4월 발생한 민간 공유 모빌리티 업체의 ‘디도스(DDoS·분산서비스거부) 공격’ 사건 피의자로 그해 10월 B군을 붙잡았는데, 압수한 PC에서 대량의 개인정보 파일이 쏟아져 나온 것이다.
거듭된 추궁에 B군이 따릉이 회원 정보임을 털어놓았고, 경찰은 텔레그램 대화 내역을 추적해 올해 1월 공범 A군까지 연이어 검거했다.
정보보안 독학이라는 공통 관심사로 SNS에서 만난 두 사람은 B군이 공단 서버의 취약점을 찾아내자 A군이 “전체를 다운받아보자”며 범행을 주도한 것으로 조사됐다.
B군은 경찰 조사에서 “호기심과 과시욕에 범행했다”는 취지로 진술한 반면, A군은 ‘묵비권’을 행사 중이다. 경찰은 A군에 대해 두 차례 구속영장을 신청했지만 검찰은 소년범이라는 점 등을 고려해 영장을 모두 반려했다.
해킹 수법과 관련해 경찰은 서버에 저장된 가입자 정보를 빼내려면 통상 암호화된 ‘인증 토큰’이 필요하지만 따릉이 서버에는 이러한 검증 절차가 없는 취약점이 있었다고 지적했다.
경찰 관계자는 “서버에 인증 없이도 특정 호출을 하면 특정 정보를 갖다주는 미비점이 있었다”며 “고난도 해킹이 아니다”라고 말했다.
현재 경찰의 칼끝은 부실 관리 책임을 물어 공단 측으로도 향하고 있다. 앞서 서울시는 공단이 2년 가까이 개인정보 유출 사실을 인지하고도 사실상 은폐한 정황을 확인해 경찰에 수사를 의뢰한 상태다.
경찰은 공단 관계자들을 입건 전 조사(내사) 중이며 정확한 사실관계를 들여다보고 있다.
