YTN

[앵커]
서울시 공공자전거 '따릉이' 가입자 462만 개 계정의 개인정보를 유출한 10대 2명이 경찰에 붙잡혔습니다.

이들은 범행 당시 중학생이었는데, 서울시설공단이 관리하는 따릉이 서버가 해킹에 취약한 점을 노렸던 것으로 조사됐습니다.

취재기자 연결합니다. 신귀혜 기자!

서울시민 500만 명이 이용하는 따릉이의 개인정보가 중학생들에게 털렸다고요.

[기자]
경찰은 오늘(23일) 서울시설공단이 관리하는 따릉이 서버를 해킹해 개인정보를 유출한 10대 2명을 불구속 송치했다고 밝혔습니다.

이들은 지난 2024년 6월, 이틀에 걸쳐 462만 건에 달하는 따릉이 가입자 계정의 정보를 빼낸 혐의를 받습니다.

유출된 따릉이 계정에는 휴대전화 번호나 주소, 생년월일에 심지어 체중까지 담겨 있었습니다.

다만 이름과 주민등록번호는 유출되지 않았는데요.

개인정보를 빼돌린 2명 모두 현재는 고등학생인데, 2년쯤 전인 범행 당시에는 중학생이었습니다.

[앵커]
중학생들에게 시민들의 정보가 대규모로 유출됐다는 게 선뜻 이해되지 않는데요. 범행 동기가 나왔나요.

[기자]
경찰은 이들 두 명은 SNS 친구 사이로, 해당 서버의 취약점을 파악한 뒤 텔레그램을 통해 범행을 모의한 것으로 보고 있습니다.

둘 다 독학으로 컴퓨터 해킹 방법 등을 익힌 것으로 조사됐는데요.

피의자 중 한 명인 B 군은 호기심과 과시욕에 이런 일을 저질렀다고 진술한 것으로 파악됐습니다.

다만 처음 범행을 제안한 것으로 조사된 주범 A 군은 진술 거부권을 행사하면서 범행 동기나 추가 범행 여부에 대해 입을 다물고 있는 상태입니다.

경찰은 진술을 거부하는 A 군에 대해 두 차례 구속영장을 신청했지만, 소년범이라는 이유 등으로 검찰이 반려했다고 설명했습니다.

[앵커]
정보가 유출된 계정이 462만 개로 따릉이 가입자 대부분이 해당하는 것으로 보이는데요. 제삼자에게 판매된 정황은 아직 찾지 못했다고?

[기자]
경찰은 이들 10대 2명이 유출한 따릉이 가입자 개인정보가 제삼자에게 유출된 정황은 아직 없었다고 밝혔습니다.

경찰은 이들이 개인정보를 판매할 목적으로 해킹한 건지 의심하고 조사를 벌였습니다.

이들이 사용하던 노트북 등을 포렌식하고 통상 개인정보가 거래되는 다크웹 등을 모니터했는데, 아직 특이점을 발견하지 못했다는 설명입니다.

현재 사건이 송치된 만큼, 검찰 수사 단계에서 개인정보 판매나 추가 피해 여부가 밝혀질 수 있을지 관심이 쏠립니다.

[앵커]
경찰에서는 서울시설공단 측이 서버 보안을 부실하게 관리했는지도 들여다보고 있다고요.

[기자]
462만 가입자들의 계정이 서버에서 유출될 당시 피의자 2명은 중학생이었는데요.

경찰은 따릉이 서버의 경우 범행 당시 출입증 역할을 하는 토큰 기반 인증을 받지 않더라도, 가입자의 정보를 내려받을 수 있는 취약점이 있었다고 지적했습니다.

경찰 관계자는 이런 상황은 서버 관리 주체인 서울시설공단의 책임이라고 지적하기도 했습니다.

경찰은 서버 관리가 소홀했다고 보고 서울시설공단 관계자들을 현재 입건 전 조사하고 있습니다.

지금까지 사회부에서 YTN 신귀혜입니다.

영상편집 : 고창영

※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr