서울시 공공 자전거 ‘따릉이’ 서버에 침입해 회원 정보 462만건을 유출한 10대 2명이 검찰에 넘겨졌다.
서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A군과 B군을 불구속 송치했다고 23일 밝혔다. 이들은 지난 2024년 6월28일부터 이틀간 서울시설공단에서 운영하는 ‘서울자전거 따릉이’ 서버에 침입해 개인정보 약 462만건을 유출한 혐의를 받는다.
유출된 개인정보는 아이디, 휴대전화 번호, 이메일, 주소, 생년월일, 성별, 체중 등으로 이름과 주민등록번호는 포함되지 않았다. 경찰은 피의자 A·B군이 개인정보를 판매할 목적으로 서버를 해킹했는지 수사하고 있지만, 현재까지 제3차 유출 정황은 확인되지 않았다.
이번 범행은 A군이 2024년 4월 민간 공유 모빌리티 대여업체에 ‘디도스 공격’을 벌인 사건을 경찰이 수사하며 꼬리가 잡혔다. 같은 해 10월 A군을 검거한 경찰은 컴퓨터 등 압수물을 분석하는 과정에서 따릉이 회원 정보 파일을 추가로 발견했다. 특히 A군의 텔레그램 계정 등을 추적해 함께 범행을 실행한 B군을 지난달 검거했다.
이들은 범행 당시 중학생이었던 것으로 알려졌다. 두 사람은 소셜미디어(SNS)를 통해 알게 된 사이로, A군이 서울시설공단 서버의 취약점을 발견하자 B군이 “전체를 다운받아 보자”며 범행을 주도한 것으로 파악됐다. A군은 ‘호기심과 과시욕에 범행했다’는 취지로 진술한 반면 B군은 묵비권을 행사한 것으로 전해졌다.
경찰은 B군에 대해 두 차례 구속영장을 신청했으나 검찰은 소년범인 점 등을 고려해 영장을 반려했다. 서울시는 지난 9일 개인정보 유출에 대한 관리 책임을 따지기 위해 서울시설공단 관계자를 개인정보보호법 위반 혐의 등으로 수사 의뢰했으며, 경찰은 입건 전 조사에 착수했다.
