[시민일보 = 문민호 기자] 서울 공공자전거 '따릉이' 회원 정보를 대량 해킹한 10대들이 검찰에 넘겨졌다.

서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B군을 불구속 송치했다고 23일 밝혔다.

경찰에 따르면 이들은 중학생이던 2024년 6월 28일부터 이틀간 서울시설공단이 운영하는 따릉이 서버에 침입해 회원 계정 약 462만건의 개인정보를 유출한 혐의를 받는다. 유출된 정보에는 아이디, 휴대전화 번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이 포함됐으며 이름과 주민등록번호는 포함되지 않은 것으로 확인됐다.

이들의 범행은 B군이 2024년 4월 민간 공유 모빌리티 업체를 상대로 디도스(DDoS·분산서비스거부) 공격을 벌인 사건을 수사하는 과정에서 드러났다. 경찰은 같은 해 10월 B군을 검거한 뒤 압수한 전자기기를 분석하는 과정에서 추가 개인정보 파일을 발견했고, 추궁 끝에 따릉이 서버 해킹 사실을 확인했다.

이후 경찰은 B군의 텔레그램에서 범행을 모의하고 함께 실행한 A군과의 대화를 확보해, A군을 지난 1월 검거했다. 조사에 따르면 두 사람은 실제로 만난 적 없는 SNS 친구 사이로, B군이 공단 서버의 취약점을 발견하자 A군이 “(회원정보) 전체를 내려받아보자”고 제안하며 범행을 주도한 것으로 파악됐다.

B군은 경찰 조사에서 “호기심과 과시욕 때문에 범행했다”는 취지로 진술한 반면, A군은 구체적인 진술을 거부한 것으로 전해졌다. 이에 경찰은 A군에 대해 두 차례 구속영장을 신청했으나, 검찰은 소년범인 점 등을 고려해 모두 반려했다.

경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 있으나, 제3자에게 유출된 정황은 현재까지 확인되지 않았다.

한편, 경찰은 따릉이 회원 개인정보가 담긴 서버를 부실하게 관리한 서울시설공단의 책임이 적지 않다고 보고 공단 관계자들을 현재 입건 전 조사(내사) 중이다.

[저작권자ⓒ 시민일보. 무단전재-재배포 금지]