서울시 공공자전거 따릉이 서버에 침입해 개인정보를 유출한 청소년 피의자 2명이 경찰에 붙잡혔다. 사진은 지난 1일 서울 영등포구 한 도로에 있는 따릉이 모습. 연합뉴스

서울시 공공자전거 ‘따릉이’ 서버에 침입해 가입자의 개인정보 약 462만건을 유출한 10대 청소년 2명이 경찰에 붙잡혔다.

23일 서울경찰청 사이버수사과는 2024년 6월 서울시설공단에서 운영하는 따릉이 서버에 침입한 A·B군을 정보통신망법 위반 혐의로 검찰에 불구속 송치했다고 밝혔다. 이들 범행으로 인해 따릉이 가입자의 계정 아이디와 휴대전화번호·주소·생년월일·성별·체중 등이 유출된 것으로 확인됐다. 가입자의 이름과 주민등록번호는 유출되지 않았다.

앞서 경찰은 2024년 10월 개인형 모빌리티(PM) 대여업체에 대한 ‘디도스(분산서비스거부·DDos)’ 공격 사건을 수사하던 중 피의자 B군의 전자기기 등 압수물에서 따릉이 개인정보로 보이는 파일을 발견했다. 경찰은 추가 수사를 통해 B군과 텔레그램으로 소통하며 범행을 주도한 A군을 특정한 뒤 긴급체포했다고 밝혔다. B군은 앞선 범행으로 PM 대여 업체의 업무를 방해한 혐의도 함께 받는다.

서울시 종로구 서울경창청 전경. 뉴스1

이들은 별도의 인증을 거치지 않고도 가입자 정보를 조회할 수 있는 서버의 취약점을 노린 것으로 파악됐다. 경찰에 따르면 서버의 취약점을 먼저 알게 된 B군이 A군에게 해당 사실을 말했고, A군이 역할을 나눠 개인정보를 수집하자고 제안했다고 한다. 이들은 정보 보안에 대해 흥미를 갖고 공부하다가 온라인상에서 알게 돼 연락을 주고받는 사이가 된 것으로 전해졌다.

B군은 범행 동기에 대해 자신의 실력을 보여주고 싶었단 취지로 진술했다고 한다. 반면 A군은 경찰 조사 과정에서 계속해서 진술을 거부하고 있는 것으로 파악됐다. 경찰은 강제수사로 전환하기 위해 A군에 대해 구속영장을 2차례 신청했지만, 소년범인 점 등을 이유로 검사가 영장을 청구하지는 않았다고 한다. 경찰은 이들의 범행 동기에 대해 개인정보 판매 목적 등 여러 가능성을 열어두고 있는 것으로 전해졌다.

한편 경찰은 지난 9일 서울시가 개인정보보호법 위반 등으로 서울시설공단 관계자를 수사 의뢰한 사건에 대해선 입건 전 조사(내사)를 진행하고 있다고 밝혔다. 경찰 관계자는 “개인정보보호위원회와 협력해 재발 방지 대책을 마련하고, 2차 피해방지 등 국민 불안을 해소하기 위해 최선을 다하겠다”며 “출처가 불분명한 연락이나 금융거래 요구엔 각별한 주의를 기울여달라”고 말했다.