따릉이, 중학생한테 개인정보 털린 황당한 이유

[비즈한국] 서울 공공 자전거 ‘따릉이’에 침입해 가입자의 개인정보를 대량으로 유출한 해킹범들이 10대 청소년으로 확인됐다. 피의자 중 한 명은 “실력을 과시하고 싶었다”는 취지로 진술한 것으로 알려졌지만 이 사건은 ‘소년 해커’의 일탈로만 보기는 어려운 지점을 남긴다. 고도의 침투 기술이 동원됐다기보다, 가입자 인증 없이도 정보 조회가 가능한 서버 구조의 취약성을 활용했기 때문이다.

수사는 현재 운영 주체인 서울시설공단의 관리 책임 범위까지 확대돼 입건 전 조사(내사)가 진행 중이다. 개인의 과실로 단정하기보다 공공 플랫폼 전반의 보안 설계와 점검 체계를 돌아봐야 한다는 지적이 나온다.

서울 공공 자전거 ‘따릉이’의 회원 정보를 대량으로 유출한 해킹범들이 10대인 것으로 확인됐다. 서울 시내 한 따릉이 대여소에 세워진 따릉이들. 사진=연합뉴스

서울경찰청에 따르면 이들은 중학생이던 2024년 6월 28일부터 이틀간 따릉이 서버에 침입해 가입자 계정 약 462만 건의 정보를 내려받은 혐의를 받는다. 유출된 항목은 아이디와 휴대전화번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등으로 이름과 주민등록번호는 포함되지 않았다.

당시 따릉이 앱 서버를 겨냥한 디도스(DDoS) 공격이 발생했는데, 앱이 약 80분간 다운되자 서울시는 행정안전부에 장애 신고를 한 바 있다. 현재까지 개인정보가 외부에 재유통되거나 금전적 이익으로 이어진 정황은 확인되지 않았다.

두 사람은 온라인 커뮤니티와 SNS를 통해 알게 된 사이로, 실제로 만난 적은 없는 것으로 조사됐다. 수사 과정에서 확보된 텔레그램 대화에는 범행을 모의한 정황이 담긴 것으로 전해졌다. 서버의 취약 지점을 인지한 뒤 한 피의자가 “전체를 다운받아보자”고 제안했고, 역할을 나눠 정보를 수집한 것으로 파악됐다. 이들은 평소 정보보안 분야에 관심을 두고 관련 기술을 독학으로 익혔다고 진술했다.

이번 사건은 내부 점검이 아니라, 다른 공유 모빌리티 업체 대상 사이버 공격을 수사하는 과정에서 드러났다. 피의자 전자기기 포렌식 분석 중 대량의 회원정보 파일이 확인되면서 수사가 확대됐다. 2024년 10월 한 피의자가 먼저 검거됐고, 텔레그램 계정 추적 등을 통해 공범이 특정돼 올해 1월 추가 검거됐다.

경찰은 주도적 역할을 한 것으로 판단한 피의자에 대해 두 차례 구속영장을 신청했으나 소년범이라는 점 등을 고려해 검찰이 청구하지 않았다.

수사 과정에서 확인된 침입 방식은 고도의 기술을 동원했다기보다는 가입자 인증이나 별도 권한 확인 없이도 정보 조회가 가능한 서버 설정의 취약성을 활용한 것에 가까웠다.

침입 경로는 비교적 단순한 구조적 취약성이 활용된 것으로 조사됐다. 이틀간 수백만 건의 정보를 빼돌린 점을 감안하면, 대량 조회를 통제하는 장치와 이상 징후를 조기에 감지하는 모니터링 체계가 충분했는지도 점검돼야 할 부분으로 거론된다.

지난달 6일 서울시청 브리핑룸에서 한정훈 서울시 교통운영관이 지난 2024년 6월 따릉이앱 개인정보 유출 관련 브리핑을 하고 있다. 사진=연합뉴스

운영 주체인 서울시설공단에 대한 조사도 병행되고 있다. 공단은 2024년 해킹 사실을 인지했음에도 별다른 조치를 취하지 않았다는 지적을 받는다. 서울시에 따르면 사건이 발생한 이후 같은 해 7월 클라우드 서버 관리 용역업체가 개인정보 유출 정황을 담은 보고서를 서울시설공단에 전달했지만 공단은 개인정보보호위원회 신고나 시민 공지 등 법에 따른 후속 조치를 하지 않은 채 묵인한 것으로 파악됐다. 경찰은 개인정보보호법 위반 여부 등을 중심으로 관계자들에 대한 입건 전 조사를 진행 중이다.

따릉이 앱 개인정보 관리의 직접적인 주체는 서울시설공단이고, 서울시는 관리·감독 기관이다. 개별 직원의 과실을 단정하기보다, 공공 플랫폼의 접근통제·권한관리·침해 대응 체계가 제도적으로 적정했는지를 가리는 절차라는 점에서 제도 개선 논의로 이어질 가능성도 있다.

개인정보위도 지난달 30일 경찰로부터 유출신고 접수를 받고 관련 조사에 착수했다. 조사를 통해 정확한 사고 경위와 개인정보 유출 여부 및 관련법 위반 여부, 구체적인 기술적 결함의 범위 등이 가려질 전망이다.

이번 사건은 약 1년 8개월 전 발생했으나, 다른 사이버 공격 사건을 수사하던 경찰이 피의자 압수물을 분석하는 과정에서 회원정보 파일을 확인하면서 외부에 알려졌다. 지난달 27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 서울시는 내부 조사를 실시하고 초기 대응 미흡 사실을 확인했다.

한정훈 서울시 교통운영관은 지난 6일 브리핑을 열고 “조사 과정에서 공단이 2024년 7월 개인정보 유출 사실을 확인하고도 적절한 조치를 취하지 않은 사실을 확인했다”며 “수사 결과에 따라 공단 관계자에 대한 책임 소재를 명확히 하고, 필요한 경우 직무 배제 등 후속 조치도 검토하겠다”고 했다.

따릉이는 2015년 서울시가 도입한 공공자전거 서비스로, 서울 전역에 대여소가 설치돼 시민들의 단거리 이동 수단으로 활용됐다. 출범 이후 누적 이용 건수 2억 5000만 건을 넘어섰고, 2024년 한 해 이용 건수는 4385만 건으로 집계됐다. 10년 전과 비교하면 이용 규모는 약 400배 증가했다.

강은경 기자

gong@bizhankook.com

[핫클릭]

· 애플페이 덕 본 현대카드…'단독'이 깨지면 '수수료 폭탄'
· 블랙록, SK하이닉스 지분 5% 복귀…외국인 자금이 다시 '정책+사이클'에 베팅한다
· 테슬라 자율주행 '안전 신화'에 균열…3500억 배상 판결
· 美 대법원 "트럼프 상호관세는 위법"…행정부 독주에 제동
· "연예인보다 낫네" 통신사가 '크리에이터' 직접 키우는 속내