[앵커]

서울 공유자전거 '따릉이'를 해킹해 460만개 계정의 정보를 유출한 피의자가 10대 중학생들이었던 것으로 조사됐습니다.

이들은 호기심과 과시욕에 범행을 한 것으로 파악됐습니다.

송채은 기자입니다.

[기자]

서울시설공단 공유자전거 '따릉이'의 가입자 개인정보가 유출된 사실이 알려진 건 지난 1월 말.

경찰이 다른 사건을 수사하던 중 유출된 따릉이 회원 정보가 존재하는 사실을 파악해 공단에 통보한 겁니다.

<한정훈 / 서울시 교통운영관(지난 6일)> "서울시설공단이 지난 2024년 6월 따릉이 앱 사이버 공격이 있었습니다. 그때 개인정보가 유출된 사실을 확인 했는데…"

경찰 수사 결과 유출 피의자는 현재 고등학생인 10대 A군과 B군으로, 범행 당시에는 중학생이었습니다.

이들은 공단 서버의 취약점을 이용해 약 462만 개 계정의 개인정보를 탈취한 것으로 조사됐습니다.

가입자의 아이디와 전화번호, 주소 등이 유출됐지만 이름과 주민등록번호는 포함되지 않았습니다.

서울경찰청은 정보통신망법 위반 혐의를 받는 A군과 B군을 불구속 상태로 검찰에 넘겼습니다.

경찰 조사 결과 두 사람은 SNS에서 만나 범행을 공모했는데, B군이 서버 취약점을 발견하자 A군이 개인정보를 내려받자고 제안하며 범행을 주도한 것으로 파악됐습니다.

B군은 앞서 또 다른 공유 모빌리티 업체 서버에 수차례 디도스 공격을 했던 혐의도 추가로 받고 있습니다.

해당 업체 진정 사건을 수사하던 경찰이 B군의 전자기기에서 따릉이 개인정보 파일을 발견했고, 텔레그램 계정을 추적해 A군을 추가로 검거했습니다.

B군은 경찰에 "능력을 과시하고 싶었다"며 "호기심에 범행했다"는 취지로 진술했습니다.

경찰은 따릉이 서버는 암호화된 인증 토근이 없어도 정보를 불러올 수 있는 미비점이 있었다며 고난도 해킹이 아니라고 설명했습니다.

또 개인정보를 제3자에게 유출한 정황은 확인되지 않았습니다.

진술을 거부하는 A군에 대해선 경찰이 두 차례 구속영장을 신청했지만, 소년범이라는 등의 이유로 검찰에서 영장을 청구하지 않았습니다.

한편 해킹 사실을 알고도 2년이 지나도록 조치를 하지 않은 서울시설공단 관계자에 대해서는 입건 전 조사가 진행되고 있습니다.

연합뉴스TV 송채은입니다.

[영상편집 이채린]

[그래픽 조세희]

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

송채은(chaeun@yna.co.kr)