‘따릉이 개인정보’ 462만건, 중학생이 털었다… 전화번호에 체중까지

경찰이 서울 자전거 ‘따릉이’ 서버에 침입해 개인정보를 대량 유출한 혐의를 받는 10대 남성 2명을 검찰에 송치했다. 유출 규모는 약 462만건이었고, 여기엔 휴대전화번호, 주소지, 생년월일 등뿐 아니라 체중도 포함돼 있었다.

서울경찰청 사이버수사과는 23일 주범 A군 등 2명을 정보통신망법 위반 혐의로 불구속 송치했다고 밝혔다.

경찰에 따르면 주범 A군과 공범 B군은 2024년 6월28일부터 6월29일 사이 서울시설공단이 운영하는 따릉이 서버에 침입해 개인정보 약 462만건을 유출한 혐의를 받는다. 범행 당시 이들은 중학생이었던 것으로 알려졌다. 

유출된 개인정보에는 아이디, 휴대전화번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이 포함돼 있었다. 성명·주민등록번호는 포함돼 있지 않았단 게 경찰 설명이다. 

B군의 경우 2024년 4월9일부터 13일 사이 또 다른 공유 모빌리티 대여업체 서버에 47만여 차례 대량의 신호를 보내는 일명 ‘디도스 공격’으로 장애를 발생시키고 장비 대여 업무를 방해한 혐의 등도 받는다. 

경찰이 B군을 붙잡은 건 2014년 10월이다. 2024년 4월 공유 모빌리티 대여업체로부터 디도스 공격 진정서를 접수 받아 수사에 착수하면서 B군을 검거한 것이다. 

경찰은 2025년 7월쯤 B군으로부터 압수한 전자기기 포렌식 분석 중 따릉이 개인정보로 보이는 파일을 확인하고 회수했다. 

이후 정밀 분석 과정에서 따릉이 개인정보 유출 범행을 주도한 신원 미상의 텔레그램 계정을 특정했다. 

경찰은 올해 1월말쯤 텔레그램 사용자를 A군으로 특정하고 검거하면서 컴퓨터 등 전자기기를 압수했다. 내내 진술을 거부한 A군에 대해 경찰은 두 차례 구속영장을 신청했지만 소년범인 점 등 사유로 검찰이 불청구했다.

애초에 서울시는 2024년 6월 당시 따릉이 서버에 대한 디도스로 추정되는 사이버공격에 따른 장애가 있었고 이를 개인정보 유출 경위로 밝혔는데, 실제로 이는 디도스 공격은 아니었단 게 경찰 수사 결론이다. 

경찰 관계자는 “따릉이 서버에 가입자 정보 인증 절차 없이 특정 호출을 하면 그 정보를 호출해주는 취약점이 애초에 있었다”며 “그 취약점을 노려 A군과 B군이 개인정보를 다량으로 빼냈고 그 과정에서 장애가 발생했던 것”이라고 설명했다. 

서울시는 지난 9일 따릉이 개인정보 유출에 대한 관리 책임과 관련해 서울시설공단 관계자를 개인정보보호법 위반 등으로 수사 의뢰했다. 내부 조사결과 서울시설공단이 개인정보 유출 사실을 알고도 2년 가까이 조치하지 않았단 결론이 내려진 것이다. 경찰은 이 사건에 대해 현재 입건 전 조사(내사) 중이라고 밝혔다.

김승환 기자 hwan@segye.com 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지