주소·전화번호 등 462만건 유출
당초 “디도스 공격” 해명과 달리
서버 취약점 노리고 범행 드러나
警, 정통망법 위반 혐의 檢 송치

400만건이 넘는 개인정보를 탈취한 범인이 중학생들이었던 것으로 드러났다. 서울시는 사이버 공격을 개인정보 유출 배경으로 밝혔는데 경찰 조사 결과 10대들의 소행이었다. 유출 정보에는 가입자 휴대전화번호, 주소지, 생년월일 등뿐 아니라 체중도 포함돼 있었다.

서울경찰청 사이버수사과는 23일 10대 주범 A군과 공범 B군을 정보통신망법 위반 혐의로 불구속 송치했다고 밝혔다. 경찰에 따르면 A, B군은 2024년 6월28∼29일 사이 서울시설공단이 운영하는 따릉이 서버에 침입해 개인정보 약 462만건을 유출한 혐의를 받는다.

범행 당시 이들은 중학생이었다. 유출된 개인정보에는 아이디, 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이 포함돼 있었다. 이름과 주민등록번호는 포함되지 않았다.

서울시는 따릉이 개인정보 유출 경위를 2024년 6월 있었던 따릉이 서버에 대한 디도스로 추정되는 사이버 공격에 따른 장애라고 밝혔는데, 사실이 아니었다는 게 경찰 수사 결론이다.

B군은 2024년 4월9일부터 13일 사이 또 다른 공유 모빌리티 대여업체 서버에 47만여 차례 대량의 신호를 보내 장애를 일으키는 일명 ‘디도스 공격’으로 장비 대여 업무를 방해한 혐의 등도 받는다. 경찰은 피해 업체의 진정서를 접수해 수사에 착수했고 같은 해 10월 B군을 붙잡았다. 경찰 조사에서 B군은 “호기심과 과시욕에 범행했다”는 취지로 진술했다.

경찰은 2025년 7월쯤 B군으로부터 압수한 전자기기를 포렌식하는 과정에서 따릉이 개인정보로 보이는 파일을 확인해 회수했다.

해당 자료 분석 결과 따릉이 개인정보 유출 범행을 주도한 신원 미상의 텔레그램 계정이 특정됐다. 올해 1월 말쯤 경찰은 A군을 텔레그램 이용자로 특정하고 검거해 컴퓨터 등 전자기기를 압수했다. B군과는 온라인상에서 알게 된 사이로 전해졌다. A군이 진술을 계속 거부하자 경찰이 두 차례 구속영장을 신청했지만 소년범인 점 등을 이유로 검찰이 불청구했다.

경찰 관계자는 “따릉이 서버에 가입자 정보 인증 절차 없이 특정 호출을 하면 그 정보를 호출해 주는 취약점이 애초에 있었다”며 “취약점을 노려 A군과 B군이 개인정보를 다량으로 빼냈고 그 과정에서 장애가 발생했던 것”이라고 설명했다.

서울시는 9일 따릉이 개인정보 유출에 대한 관리 책임과 관련해 서울시설공단 관계자를 개인정보보호법 위반 등으로 수사 의뢰했다. 내부 조사에서 공단이 개인정보 유출 사실을 알고도 2년 가까이 조치하지 않은 정황이 드러났다. 경찰은 이 사건에 대해 입건 전 조사(내사) 중이다.