
서울시가 운영하는 공공자전거 ‘따릉이’ 회원정보를 빼낸 고등학생 일당이 검찰에 넘겨졌다. 동갑내기인 이들은 같은 학교 동급생은 아니지만 온라인을 통해 교류하다가 따릉이 서버 공격계획을 꾸민 것으로 파악됐다.
서울경찰청은 서울시 공공자전거 따릉이 서버에 침입해 회원 아이디와 휴대전화번호 등 462만건을 유출한 혐의를 받는 남성 A·B군을 불구속 상태로 검찰에 넘겼다고 23일 밝혔다. 두 사람은 현재 고등학생인데 범행을 벌였던 때엔 중학생이었다.
A군은 소셜미디어(SNS)에서 알게 된 B군으로부터 ‘따릉이 서버 보안이 허술해 보인다’는 취지의 이야기를 듣고 범행을 해보자고 먼저 주도했다. 이후 B군은 실제로 서버 공격에 나섰고 확보한 회원정보를 A군과 공유했다. 경찰은 B군이 다른 공유 모빌리티 대여업체의 서버에도 디도스(DDos, 분산서비스공격) 공격을 시도해 전산 장애를 일으킨 사실도 파악해 함께 송치했다.
범행동기 “해킹 실력 과시하고 싶어서”
따릉이 회원 정보가 대량으로 빠져나갔단 사실은 경찰이 B군의 첫 번째 디도스 범행을 조사하는 과정에서 포착됐다. 지난 2024년 4월 한 모빌리티 대여업체가 해킹 공격을 받은 것 같다는 진정서를 경찰에 내면서 수사가 시작됐다. 그 과정에서 경찰은 B군을 피의자로 특정하고 그의 컴퓨터와 휴대전화 등을 압수했다.
이 과정에서 수사팀이 노트북을 비롯한 압수물을 포렌식 해보니 모빌리티 대여업체를 해킹한 정황 외에도, 따릉이 가입자 460만여명의 개인정보가 발견됐다. 아이디와 휴대전화 번호, 이메일 계정, 주소, 생년월일, 성별, 체중 등이었다. 이름과 주민등록번호는 없었다고 경찰은 밝혔다.
https://n.news.naver.com/mnews/article/016/0002603678?sid=102