서울시 공유자전거 ‘따릉이’의 개인정보를 약 462만건 유출한 고등학생들이 검찰에 넘겨졌다. 이들은 인증절차가 제대로 갖춰져 있지 않는 등 서울시설공단이 가입자 정보를 허술하게 관리했던 점을 범행에 이용한 것으로 조사됐다.
서울경찰청 사이버수사과는 공유자전거 따릉이 개인정보를 유출한 10대 A군과 B군을 정보통신망법 위반 혐의로 불구속 송치했다고 23일 밝혔다.
경찰에 따르면 이들은 2024년 6월 28일부터 이틀간 공단에서 운영하는 ‘서울자전거 따릉이’ 서버에 침입해 가입자 정보를 유출한 혐의를 받는다. 따릉이 가입자 약 462만건의 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등 개인정보가 유출된 것으로 조사됐다.
경찰 조사 결과, A군이 이번 사건 역할 분담을 주도했고 B군은 독학으로 익힌 해킹 기술로 정보를 탈취했다. 범행 당시 중학생이던 이들은 실제 만난 적은 없었으며, 소셜미디어(SNS)를 통해 알게 된 사이였다. A군은 경찰 조사에서 진술거부권을 행사해 경찰이 구속 영장을 신청했지만, 소년범이라는 이유로 검찰이 영장을 반려했다. B군은 자기과시 목적으로 범행을 저질렀다고 진술한 것으로 전해졌다.
B군은 2024년 4월 9일부터 닷새간 또 다른 공유 모빌리티 대여업체의 서버에 47만여회의 대량의 신호를 보내 장애(디도스 공격)를 유발하고, 장비 대여 업무를 방해한 혐의(정보통신망 침해) 등도 적용받았다. 경찰은 같은 해 4월 공유 모빌리티 대여업체의 진정서를 접수해 약 6개월쯤 뒤 피의자를 검거하며 전자기기를 압수했다.
경찰은 이들에 대한 수사와는 별도로 공단이 개인정보 유출을 인지하고도 2년 가까이 아무런 조처를 하지 않은 점을 들여다 보고 있다. 경찰 관계자는 “서울시에서 개인정보 유출 관리책임에 대해 공단 관계자를 개인정보보호법 위반 등으로 수사 의뢰한 사건은 현재 내사를 진행하고 있다”고 밝혔다.
