서울 공공자전거 ‘따릉이’ 회원 개인정보 462만건이 유출된 사건의 범인이 10대 학생들로 확인되면서 공공 서비스 개인정보 관리 체계 전반의 허점 논란이 커지고 있다.
서울경찰청 사이버수사과는 정보통신망 침해 등 혐의로 고등학생 A·B군을 불구속 송치했다고 밝혔다. 이들은 중학생이던 2024년 6월 따릉이 서버에 침입해 약 462만건의 회원 정보를 확보한 혐의를 받는다.
유출된 정보에는 아이디와 휴대전화번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이 포함된 것으로 조사됐다. 이름과 주민등록번호는 포함되지 않았다.
경찰 조사 결과 이들은 SNS를 통해 알게 된 사이로, 서버 취약점을 발견한 뒤 데이터 전체를 내려받는 방식으로 범행을 진행한 것으로 파악됐다. 경찰은 인증 토큰 없이도 특정 호출을 통해 데이터 접근이 가능했던 점을 확인했다며 고난도 기술이 요구되는 해킹은 아니었다고 설명했다.
경찰 관계자는 “인증 절차 없이도 특정 호출로 정보 접근이 가능한 미비점이 있었다”며 “고난도 해킹으로 보기 어렵다”고 밝혔다.
범행 동기에 대해 B군은 호기심과 과시욕 때문이었다는 취지로 진술했으며, 주범으로 지목된 A군은 진술을 거부하고 있다. 경찰은 개인정보 판매 정황은 확인되지 않았다고 밝혔다.
수사 과정에서는 서버 관리 책임 문제도 제기됐다. 경찰은 따릉이 운영기관인 서울시설공단의 관리 적정성을 살펴보기 위해 관계자들을 입건 전 조사 중이다.
특히 공단이 개인정보 유출 정황을 인지하고도 신고 등 법정 조치를 하지 않았다는 사실이 최근 서울시 조사에서 확인되면서 대응 체계 부실 논란도 이어지고 있다. 서울시는 서버 운영사로부터 유출 관련 보고가 전달된 이후 공단 내부 대응 경위를 추가 확인 중이다.
이 같은 상황에도 서울시설공단은 정부의 공공기관 개인정보 보호 수준 평가에서 A등급을 받은 것으로 나타났다. 해당 평가는 법적 보호조치 이행 여부와 관리 체계 등을 종합해 산정되는 방식이다.
전문가들은 이번 사례가 형식적 관리 체계와 실제 운영 역량 간 괴리를 보여주는 사례일 수 있다고 지적한다. 개인정보 보호 체계가 문서상으로는 구축돼 있어도 실제 사고 대응과 취약점 관리까지 연결되지 않는 경우가 있다는 설명이다.
경찰은 해킹 사건 수사와 별도로 개인정보 보호 조치 적정성 및 관리 책임 여부에 대해서도 추가 조사를 이어갈 방침이다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
