따릉이 해킹, 10대 학생 2명이 범인이었다?

지난달 서울시 공공자전거 ‘따릉이’ 이용자 506만 명 중 약 462만 건의 개인정보가 유출됐다는 소식이 전해졌는데요. 해킹범은 10대 학생 2명이었다는 점이 23일 밝혀졌어요. 심지어 이들이 범행을 저지른 시점인 2024년 6월에는 중학생이었던 것이 알려져 충격을 주고 있어요. 

따릉이 범인 수사, 어떻게 되고 있었어?

이들의 범행은 B군이 다른 업체에 디도스 공격*을 벌인 사건을 수사하던 중 드러났어요. 서울경찰청은 2024년 10월 B군을 검거해 그의 전자기기를 분석하던 중 따릉이 개인정보를 발견했는데요. 이후 B군의 텔레그램에서 범행을 주도한 A군과의 대화를 확보해 올해 1월 A군도 검거했어요. 둘은 해킹에 대한 관심사로 SNS에서 만난 사이였는데, B군이 “따릉이 서버 취약해!”라고 얘기하자 A군이 "개인정보를 다운받아보자!”라는 제안을 내놨다고. A군은 묵비권을 행사하고 있고, B군은 “호기심과 과시욕으로 범행을 저질렀다”라고 진술했어요.

따릉이 개인정보, 어디까지 유출됐어?

유출된 개인정보는 아이디와 휴대전화 번호, 이메일 계정, 주소, 생년월일, 성별, 체중 등이에요. 이름과 주민등록번호는 유출되지 않았어요. 경찰은 이들이 개인정보를 판매할 목적으로 해킹한 것인지 살펴보고 있는데요. 아직까지 새어나간 개인정보가 추가 유출된 정황은 나오지 않았다고. 

서울시설공단을 향한 비판

한편 따릉이를 관리하는 서울시설공단을 향한 비판도 이어지고 있어요. 개인정보를 담당하던 직원들은 이미 경찰 조사를 받고 있다고 하는데요. 이번 사태로 쏟아지는 지적을 살펴보면: 

• 서버도 부실하고 😮‍💨: 보통 서버 이용자 정보를 보려면 암호화된 ‘인증 토큰’이 필요한데요.  따릉이 서버에는 이런 보안 절차가 없었다고. 애초에 해킹이 어렵지 않은 구조였다는 거예요. 
• 신고도 늦장부리고 😤: 공단은 2024년 개인정보가 유출된 사실을 인지하고도 바로 신고하지 않은 것으로 드러났어요. 개인정보 유출을 인지하면 72시간 안에 신고해야 한다는 개인정보보호법을 어긴 셈이에요.