|
서울경찰청 사이버수사과는 정보통신망법 위반 혐의를 받는 A군과 B군을 불구속 송치했다고 23일 밝혔다. 수사 과정에서 진술을 거부하는 A군에 대해 경찰이 두 차례 구속영장을 신청했으나, 검찰은 피의자가 소년범인 점 등을 사유로 영장을 청구하지 않았다.
이번 사건은 2024년 4월 한 공유 모빌리티 대여업체가 “대량의 접속 신호(디도스 공격)로 서비스 장애가 발생했다”며 진정서를 접수하면서 수사가 시작됐다.
경찰은 먼저 해당 업체의 서버에 47만여 회의 대량 신호를 보내 장애를 발생시키고 장비 대여 업무를 방해한 공범 B군을 2024년 10월 검거했다.
이후 압수한 전자기기를 포렌식 분석하는 과정에서, B군이 신원 미상의 텔레그램 사용자(A군)와 함께 서울시설공단 ‘따릉이’ 서버에 침입해 462만 건의 개인정보를 빼돌린 사실을 추가로 확인했다. 경찰은 추적 끝에 지난 1월 주범 A군을 최종 검거했다.
유출된 정보에는 아이디와 휴대전화 번호 등 필수 정보 외에도 주소, 이메일, 생년월일, 성별, 체중 등 선택 정보까지 포함된 것으로 파악됐다.
범행 당시 중학생이였던 이들은 사회관계망서비스(SNS)를 통해 알게 된 사이로, 실제 대면한 적은 없는 것으로 조사됐다. 주범 A군이 서울시설공단의 보안 취약점을 발견해 B군에게 공유했으며, 해킹 기술은 독학으로 습득했다고 진술했다.
B군은 범행 목적을 ‘자기 과시’라고 주장했으나, 경찰은 개인정보 판매를 통한 수익 편취 의도가 있었는지 여부를 의심하고 있다.
경찰은 대규모 정보 유출에 대한 관리 책임을 묻기 위해 서울시설공단 관계자에 대해서도 입건 전 조사(내사)를 진행 중이다. 서울시설공단은 2024년 6월 ‘따릉이’ 서버 침입이 이뤄졌을 당시 회원 개인정보 유출 사실을 확인하고도 신고나 이용자 통보 등 초기 대응을 하지 않은 것으로 드러났다.
나아가 경찰은 개인정보보호위원회와 협력해 재발 방지 대책을 마련하고 2차 피해 방지에 주력할 방침이다.
서울경찰청 관계자는 “최근 다양한 개인정보 유출 사건이 발생하고 있는 만큼 출처가 불분명한 연락이나 금융거래 요구에는 각별한 주의를 기울여 피해를 예방해주시길 바란다”며 “만일 피해 시도가 확인될 경우 신속히 수사기관에 신고해 도움을 받아야 한다”고 당부했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
