서울시 공공자전거 ‘따릉이’ 회원 정보 대량 유출 사건이 10대 청소년들의 소행이었던 것으로 확인됐다.

서울경찰청 사이버수사과는 정보통신망법상 정보통신망 침해 등 혐의로 고등학생 A·B군을 불구속 송치했다고 23일 밝혔다.

유출 개인정보는 아이디·전화번호·이메일·주소·생년월일·성별·체중 등이었다. 다만 이름과 주민번호는 포함되지 않았다.

이들은 중학생이던 2024년 6월 28일부터 이틀 동안 서울시설공단의 따릉이 서버에 침입해 가입자 대부분인 약 462만건의 계정 정보를 유출한 혐의를 받는다. 해킹을 독학한 두 사람은 SNS로만 만난 사이로 B군이 공단 서버의 취약점을 발견하자 A군이 “전체를 다운받아보자”며 범행을 주도했다는 게 경찰의 설명이다.

당초 경찰은 B군이 2024년 4월 한 민간 공유 모빌리티 대여업체에 ‘디도스(DDoS·분산서비스거부)’ 공격을 벌였던 사건을 수사중이었다. 그해 10월 B군을 검거, PC 등을 분석한 경찰은 B군이 따릉이 회원정보도 유출한 사실을 확인했다.

이어 B군의 텔레그램에서 범행을 모의하고 함께 실행한 A군과의 대화를 확보해, A군을 올해 1월 검거했다.

경찰 조사에서 B군은 “호기심과 과시욕에 범행했다”는 취지로 진술했다. 주범인 A군은 묵비권을 행사 중이다.

경찰은 개인정보를 판매할 목적으로 해킹한 게 아닌지 의심하고 있으나, 제삼자에게 유출된 정황은 아직 확인되지 않았다.

경찰은 A군에 대해 두 차례 구속영장을 신청했으나 검찰은 A군이 소년범인 점 등을 고려해 영장을 반려했다.

경찰은 따릉이 개인정보 유출이 서울시설공단의 부실한 관리에 기인한 바가 크다고 보고 있다.

서버에 저장된 가입자 정보는 통상 암호화된 ‘인증 토큰’이 있어야 제공되지만, 따릉이 서버는 이 같은 검증 절차가 없는 취약점이 있었다고 경찰은 지적했다.

경찰 관계자는 “서버에 인증 없이도 특정 호출을 하면 특정 정보를 갖다주는 미비점이 있었다”며 “고난도 해킹이 아니다”라고 말했다.

경찰은 따릉이 회원들의 개인정보가 담긴 서버를 부실하게 관리한 서울시설공단의 책임이 적지 않다고 보고 공단 관계자들을 현재 입건 전 조사(내사) 중이다.

앞서 서울시는 공단이 개인정보 유출을 인지하고도 2년 가까이 아무런 조처를 하지 않은 정황이 있다며 공단 관계자들을 경찰에 수사의뢰했다.