경찰에 따르면 이들은 지난 2024년 6월 28일~29일 서울시설공단의 따릉이 서버에 침입해 가입자 대부분인 약 462만 건의 계정 정보를 유출한 혐의를 받는다.
당시 유출된 개인정보는 아이디, 휴대전화 번호, 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이었다. 다만 이름과 주민등록번호는 포함되지 않았다.
경찰 조사에서 B 군은 “호기심과 과시욕에 범행했다”는 취지의 진술을 한 것으로 전해졌다. 주범인 A 군은 묵비권을 행사 중이다.
A 군은 2024년 4월 9일~13일 또 다른 공유 모빌리티 대여업체 서버에서 ‘디도스(DDoS)’ 공격을 해 장비 대여 업무를 방해한 혐의도 있다.
경찰은 해당 사건에 대한 조사를 벌이던 중 지난해 7월 포렌식 분석을 통해 다른 개인정보 파일을 B 군의 전자기기에서 확인했고, 해당 정보가 따릉이 회원 정보임을 확인했다.
이후 압수물 정밀 분석을 통해 지난달 말 B군과 범행을 모의하고 함께 실행한 A 군을 검거했다.
경찰 조사 결과 이들은 SNS 상에서 알게 된 사이인 것으로 조사됐다. B 군이 서버의 취약점을 발견해 텔레그램으로 A 군에 알리자 A 군이 역할을 분담해 전체 데이터를 다운로드 받자고 제안하며 범행을 주도한 것으로 전해졌다. 해킹 기술은 독학으로 습득한 것으로 알려졌다.
경찰에 따르면 이들이 빼낸 개인정보를 제3자에 판매한 정황은 확인되지 않았다.
한편 서울시는 개인정보가 담긴 서버를 부실하게 관리한 책임을 물어 서울시설공단 관계자를 개인정보보호법 위반 등 혐의로 지난 9일 수사 의뢰했다. 현재 경찰은 입건 전 조사(내사)를 진행하고 있다.
김정아 기자 ja.kim@ilyo.co.kr
