헤럴드DB

[헤럴드경제=채상우 기자] 서울시 공공자전거 ‘따릉이’ 애플리케이션 가입 계정 약 460만 건의 개인정보를 대거 유출한 10대 남성 두 명이 불구속 상태로 검찰에 넘겨졌다. 피의자들은 진술을 거부하고 있음에도 소년범이란 이유로 구속조차 못 하고 있다.

23일 서울경찰청 사이버수사과는 10대 남성 A씨와 B씨를 정보통신망법 위반 혐의로 불구속 송치했다고 밝혔다.

앞서 지난 2024년 6월 28일부터 29일 사이, 서울시설공단이 운영하는 ‘따릉이’ 앱에서 가입 계정 462만 건의 개인정보가 유출되는 사태가 발생했다. 유출된 개인정보에는 아이디와 휴대전화번호를 포함해 이메일 계정 주소, 주소지, 생년월일, 성별, 체중 등이 포함됐다.

A씨와 B씨는 서울시설공단에서 운영하는 ‘서울자전거 따릉이’ 서버에 침입해 개인정보를 빼낸 것으로 조사됐다. 애초 분산서비스거부, 이른바 ‘디도스’(DDoS) 공격으로 알려졌지만, 실제로 디도스 공격은 아니었던 것으로 확인됐다. 단순히 서버의 취약점을 찾아내 자료를 탈취한 것이다. 범행 당시 이들은 중학생이었다고 한다.

경찰이 ‘따릉이’ 개인정보 유출 사태가 발생했다는 사실을 인지하게 된 건, 다른 사건 수사를 통해서였다.

A씨는 2024년 4월 또 다른 공유 모빌리티 대여업체 C사에 디도스 공격을 진행했는데, 경찰은 당시 C사로부터 디도스 공격 진정서를 접수하고 수사에 착수한 상태였다.

경찰은 수사 착수 약 6개월 만인 2024년 10월쯤 A씨를 피의자로 특정해 검거했고, A씨의 컴퓨터 등 전자기기를 압수해 포렌식 분석을 했다. 그러던 중 2025년 7월쯤 A씨의 전자기기 안에서 ‘따릉이’ 개인정보로 추정되는 파일이 발견됐다.

이에 경찰은 ‘따릉이’ 개인정보 유출 사건에 대한 수사를 개시했고, 결국 지난 1월 이번 사건을 공모한 혐의로 B씨를 특정해 검거하는 데 성공했다. 경찰은 진술을 거부하는 B씨에 대해 두 차례 구속영장을 신청했으나, 소년범이라는 사유 등으로 검찰 단계에서 반려됐다.

한편 경찰은 ‘따릉이’ 앱의 개인정보 유출 사실을 알고도 2년 가까이 조치를 취하지 않은 서울시설공단 관계자에 대한 내사(입건 전 조사)에도 착수했다.

지난 9일 서울시가 서울시설공단 관계자를 개인정보보호법 위반 등 혐의로 수사해 달라고 의뢰했고, 이에 따라 조사를 진행하게 된 것이다.

경찰 관계자는 “개인정보보호위원회와 협력하여 재발 방지 대책을 마련하고, 2차 피해 방지 등 국민 불안 해소를 위해 최선을 다하겠다”고 밝혔다.

아울러 “최근 다양한 개인정보 유출 사건이 발생하고 있어, 출처가 불분명한 연락이나 금융거래 요구에는 각별한 주의를 기울여 피해를 예방해 주시길 바란다”며 “만일 피해 시도가 확인될 경우 신속히 수사기관에 신고하여 도움을 받을 것을 당부드린다”고 강조했다.