중학생 시절 SNS서 만나 범행 모의 “호기심과 과시욕에 범행했다” 진술

[헤럴드경제=손인규 기자] 서울시 공공자전거 ‘따릉이’ 회원 정보를 대량으로 해킹한 범인은 10대 고등학생들로 밝혀졌다.

서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B군을 불구속 송치했다고 23일 밝혔다. 이들은 중학생이던 2024년 6월 28일부터 이틀 동안 서울시설공단에서 운영하는 따릉이 서버에 침입해 가입자 계정 약 462만건을 유출한 혐의를 받는다.

유출된 개인정보는 아이디와 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이다. 이름과 주민등록번호는 포함되지 않았다.

경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 있으나 제3자에게 유출된 정황은 아직 확인되지 않았다.

이들의 범행은 B군이 2024년 4월 민간 공유 모빌리티 대여업체에 ‘디도스 공격’을 벌인 사건을 경찰이 수사하며 꼬리가 잡혔다. 그해 10월 B군을 검거해 컴퓨터 등 전자기기를 분석한 경찰은 다른 개인정보 파일을 확인했고 B군을 추궁한 끝에 따릉이 회원 정보 해킹을 확인했다.

특히 B군의 텔레그램에서 범행을 모의하고 함께 실행한 A군과의 대화를 확보해 A군을 올해 1월 검거했다. 이들은 실제 만난 적 없는 소셜미디어(SNS)상의 친구로 B군이 먼저 공단의 취약점을 발견하자 A군이 “전체를 다운받아보자”며 범행을 주도한 것으로 조사됐다.

B군은 ‘호기심과 과시욕에 범행했다’는 취지로 진술한 반면 A군은 범행과 관련한 구체적 진술을 거부한 것으로 전해졌다. 경찰은 A군에 대해 두 차례 구속영장을 신청했으나 검찰은 A군이 소년범인 점 등을 고려해 영장을 반려했다.

경찰은 따릉이 회원 개인정보가 담긴 서버를 부실하게 관리한 서울시설공단의 책임이 적지 않다고 보고 공단 관계자들을 현재 입건 전 조사 중이다.