'따릉이' 462만 건 해킹…2년 만에 잡은 범인 뜻밖 정체

<앵커>

서울시 공공자전거 '따릉이'의 회원 정보를 대량으로 유출한 해킹범들은 10대 2명인 것으로 드러났습니다. 이들 중 한 명은 해킹 실력을 보여주기 위해 범행했다는 취지로 경찰에 진술했습니다.

김태원 기자가 취재했습니다.

<기자>

경찰은 재작년 서울 공공자전거 '따릉이' 서버에 침입해 회원 정보 462만 건을 해킹한 혐의로 10대 고등학생 2명을 불구속 상태로 검찰에 송치했다고 밝혔습니다.

범행 당시 중학생이던 이들은 정보 보안 기술을 독학하다 SNS를 통해 알게 된 사이로, 서울시설공단이 관리하는 따릉이 서버의 보안상 허점을 발견한 건 A 군이라고 경찰은 밝혔습니다.

통상 가입자는 본인 인증을 통해 받은 토큰을 활용해 서버에서 개인정보를 호출하는데, 당시 따릉이 서버가 이런 절차 없이도 개인정보에 접근할 수 있도록 되어 있었던 겁니다.

A 군이 B 군에게 이런 사실을 공유하자 B 군은 전체 정보를 내려받자고 제안했고, 재작년 6월, 이틀에 걸쳐 따릉이 이용자들의 아이디와 휴대전화 번호, 주소 등 회원 정보 462만 건을 해킹한 걸로 파악됐습니다.

경찰은 다른 업체에 대한 해킹 사건 수사 과정에서 재작년 7월 A 군을 검거했고, A 군 컴퓨터 포렌식 과정에서 따릉이 서버의 해킹 피해 사실을 확인했습니다.

A 군은 경찰에 '실력을 보여주기 위해 서버를 해킹했다'고 진술한 걸로 파악됐습니다.

지난달에 붙잡힌 B 군은 묵비권을 행사한 걸로 알려졌습니다.

경찰은 현재까지 유출된 개인정보가 판매되거나 외부로 나간 정황은 확인되지 않았다고 밝혔습니다.

경찰은 재작년 회원 정보 해킹 상황을 파악하고도 신고하지 않았던 서울시설공단 관계자들에 대해 조사를 진행 중입니다.

(영상편집 : 최진화, 디자인 : 석진선)