[비즈니스포스트] 먼저 '따릉이' 서비스 서버(컴퓨터)에 침입하고, 이용자 개인정보를 유출한 행위를 두둔하려는 의도가 전혀 없음을 밝혀둔다.

허가 없이 남의 컴퓨터에 접근하거나 그 곳에 담긴 이용자 개인정보 등을 임의로 열람하고 빼내가는 행위는 중대 범죄에 해당한다.

나이는 물론 목적과 취지도 상관없이 불법이다.

안타깝다.  

27일 언론 보도에 따르면 서울경찰청은 지난 23일 따릉이 서버에 침입해 이용자 개인정보를 빼간 10대 2명을 정보통신망법 위반 혐의로 불구속 송치했다.

이들은 허가 없이 따릉이 서버에 침투했고, 그 곳에 있던 따릉이 이용자 462만여 명의 휴대전화번호, 주소, 이메일 주소, 생년월일, 성별, 체중 등의 개인정보를 유출한 것으로 경찰 조사 결과 드러났다.

경찰은 “(유출 정보 악용이나 2차 피해 정황은) 아직 발견되지 않았다”고 밝혔다.

따릉이는 2015년 10월 시작된 무인 공공자전거 대여 서비스다. 서울시에 딸린 서울시설공단이 운영한다.

앞서 경찰은 한 민간 공유 모빌리티 대여 업체의 분산서비스공격(DDoS) 피해를 수사하는 과정에서 따릉이 이용자 개인정보 유출 정황을 포착했다.

경찰은 이 업체를 공격한 것으로 드러난 10대 ㄱ군의 컴퓨터를 분석하는 과정에서 따릉이 이용자 개인정보가 담긴 파일을 발견했고, 이후 따릉이 개인정보 유출을 주도한 ㄴ군을 추가로 붙잡았다. ㄴ군도 10대다.

둘은 중학생이던 2024년 6월 이틀 만에 따릉이 서버에 침입했고, 462만 명의 개인정보를 빼냈다.

평소 보안 프로그램 등에 관심이 많았던 둘은 온라인에서 만나 텔레그램을 통해 대화를 주고 받으며, 따릉이 서버를 해킹한 것으로 조사됐다.

앞서 모빌리티 업체를 디도스 공격했던 ㄱ군이 따릉이를 운영하는 서울시설공단 컴퓨터의 보안 취약점을 ㄴ군에게 얘기하자, ㄴ군이 ‘따릉이 서버에서 개인정보 파일을 빼내자’고 제안했다고 경찰은 설명했다.

ㄱ군은 경찰 조사에서 “호기심과 과시욕 때문”에 범행을 저질렀다고 털어놨다. 경찰 측은 또 “ㄴ군이 (빼낸 개인정보를) 판매할 목적이 있었던 것은 아닌지도 의심하고 있지만, 판매 정황은 확인되지 않았다”고 했다.

중학생 시절을 보냈고, 중학생 자식을 키워본 입장에서 안타깝기 그지없다. 더불어 '따릉이 해킹 및 개인정보 유출 사태'를 어린 중학생들의 불법 행위로 마무리짓고 넘어가는 게 적절한가 하는 의문이 든다.

몹시 안타까워하는 마음으로 좀 더 근본적인 지점을 주목하고, 개선 방안을 찾아보려는 시도가 있어야 하지 않을까.

중학생이면 부모나 선생님의 '교육'과 '지도'가 필요할 때다. ㄱ군과 ㄴ군의 행위를, 범죄를 조사하고 입증해야 하는 경찰 언어가 아닌, 중학생 자녀를 둔 부모나 중학생을 가르치는 학교 선생님 언어로 바꿔보면 어떨까.

한 중학생 자녀(제자)가 있다.

호기심이 많고, 친구들에게 자랑하는 것을 좋아한다.

부모와 선생님 권유로 컴퓨터 프로그램을 짜서 실행해보고, 오픈소스 형태로 인터넷 게시판 등에 올려진 프로그램 가운데 필요한 것을 찾아 써보는 방법을 깨쳤다. 재미 있고, 소질도 좀 있는 것 같다.

무엇보다 부모님과 선생님께 칭찬받고, 친구들에게 자랑할 게 있다는 게 신난다.

문득 '괜찮은' 보안 프로그램을 발견했다.

기능과 활용법을 터득하고 나니, 써먹어보고 싶은 욕심이 생긴다. 평소 등하교 때 자주 보는 모빌리티 무인임대 서비스 서버를 건드려봤는데, 재밌다.

따릉이가 눈에 들어왔다. 시도해봤더니 보안이 엉망이다. 뉴스를 보면 개인정보는 유출되지 않게 잘 관리돼야 한다고 하던데, 너무 허술하게 관리되는 것 같다.

온라인에서 만난, 자신처럼 프로그램을 짜서 실행해보는 것을 좋아하고 사이버 보안에도 관심이 많은 친구에게 말했다.

기념으로 파일 하나를 꺼내와보자고 한다.

국어사전 설명에 따르면 ㄱ군과 ㄴ군은 해커다. 이들은 따릉이 서버를 해킹했다.

국어사전은 해커를 '컴퓨터 시스템의 내부 구조와 동작 따위에 심취해 이를 알고자 노력하는 사람'이라고 설명한다.

해커는 '블랙 해커'와 '화이트 해커'로 나뉜다. 블랙 해커는 다른 사람 컴퓨터에 침입하고 데이터를 불법으로 열람·변조·파괴하는 자, 화이트 해커는 블랙 해커의 공격에 대응하는 자다. 

해킹은 타인 컴퓨터 시스템에 무단 침입해 데이터에 접속할 수 있는 권한을 얻는 행위를 뜻한다. 시스템 설계자나 관리자가 의도하지 않은 동작을 일으키거나 권한 이상으로 정보를 열람·복제·변경하는 행위까지 포함한다.

해킹은 악의적 침입(크래킹)이나 보안 취약점을 미리 알아내고 보완하는 긍정적 쓰임새도 있다.

국어사전 잣대를 적용하면, ㄱ군과 ㄴ군은 블랙 해커 쪽에 가깝다. 허가 없이 남의 컴퓨터에 침투했고, 개인정보 유출이란 불법행위를 저질렀다.

ㄱ군과 ㄴ군에 물어보고 싶다.

코딩 기술을 배우거나 오픈소스 프로그램을 찾아 활용하는 법 등을 깨치면서 부모님이나 선생님으로부터 '남의 컴퓨터에 허가없이 접근하면 절대 안된다'는 얘기를 들었나? 이를 어기면 처벌을 받는다는 사실을 알고 있었나?

혹시 학교에서 '소프트웨어 전문인력 양성' 국가 시책을 따르고 나중에 취업에도 도움이 된다는 생각으로 어린 학생들에까지 코딩 기술을 가르치며, 올바른 인터넷 예절과 범죄예방 교육을 빼먹지는 않았는지 의혹이 든다. 부모는 대학 입시에 필요한 스펙 쌓기에 급급해 어린 자녀에게 코딩을 배우게 하며, 이런 내용의 '밥상머리 교육'을 간과하지는 않았는지 되돌아볼 필요가 있다.
  태권도, 검도 같은 무술도 '몸과 마음을 수양하는 목적으로 배우고 나를 보호하는 용도로만 써야지 다른 사람을 해치는 수단으로 배우면 절대 안된다'는, 이른바 '도'부터 가르친다.

코딩 기술을 배워 어느 정도 활용할 수 있게 되면, 자연스럽게 남의 것(기존 컴퓨터 시스템)을 들여다보고 싶은 욕구가 생긴다.

'허가 없이 남의 컴퓨터에 접근하는 것은 불법이고 처벌 받는다'라는 사전 가르침이 없으면, 이런 욕구를 자제하지 못하는 것은 물론 남의 컴퓨터를 뚫어보고 싶은 단계로 나아갈 수 있다.

사실 프로그래머, 소프트웨어 개발자, 화이트 해커, 블랙 해커, 보안 기술자 등은 맡겨진 역할에 따라 달리 불릴 뿐, 하는 일의 성격은 크게 다르지 않다.

1990년대 후반 인터넷 대중화 초기, 카이스트와 포항공대 학생들 사이에선 '사이버 전쟁'이 잦았다. 두 학교 학생들이 서로 툭 하면 상대 학교 서버를 뚫었다. 이후 두 학교 학생들은 자기 학교 서버가 해킹 당하지 않도록 방어하고, 상대 학교 서버를 해킹하며 보안 기술 능력을 길렀다.

나중에는 서로 규칙을 정하고, 공개 대결 형식으로 바뀌긴 했지만, 초기에는 남의 학교 서버에 허가없이 접근했으니 불법이었다. 다만 두 학교 모두 신고하거나 징계·처벌하지는 않았다. 두 대학 학생 간 사이버 전쟁은 논픽션 형식의 책으로 출간되기도 했다.

당시 교내에서 이름을 날렸던 '선수'들이 이후 사이버 보안 기업을 창업하거나 우리나라 보안 기술 개발을 이끄는 등 사이버 보안 생태계 기둥이 됐다.

이들은 재학 시절에 이미 '고수'가 된 경우가 많았다. 정부가 화이트 해커 양성을 명분으로 모의 해킹 대회를 열기도 했지만, 이들은 나서지 않았다.

일단 진짜 서버를 뚫어보는 것처럼 스릴 있고 다이내믹하지 않다. 헐리우드 영화에 자주 등장하는 장면처럼 국가기관에 강제 채용돼 국가안보란 명분으로 '블랙 해커' 짓을 하게 될 수 있다는 우려도 있었다고 당시 두 대학 출신들은 전했다.

경찰 조사 결과, ㄱ군과 ㄴ군이 따릉이 서버를 해킹해 이용자 개인정보를 유출할 당시, 따릉이는 가입자 인증 없이도 개인정보를 확인할 수 있는 등 '보안 취약점'을 갖고 있었던 것으로 드러났다.

오죽 허술했으면, 중학생 2명이 서버를 해킹해 이용자 개인정보 460만 건을 빼오는데 이틀(경찰 브리핑) 밖에 걸리지 않았겠나.

해킹 흔적을 제대로 지우지 못하고 빼온 개인정보 뒷처리도 깔끔하게 하지 않아 덜미를 잡혔다. '왕초보'다.

앞서 서울시는 지난 6일 브리핑에서 서울시설공단이 따릉이 앱에 대한 사이버 공격 발생 당시 개인정보가 유출된 사실을 확인하고도 별도 조처를 취하지 않은 것으로 드러났다고 밝혔다. 서울시는 공단 관계자를 개인정보보호법 위반 등 혐의로 경찰에 수사 의뢰했고, 경찰은 해당 관계자를 조사 중이다.

ㄱ군과 ㄴ군은 따릉이 서버에 침투해 이용자 개인정보를 빼오긴 했지만, 꽤 오랜 시간이 지난 지금까지도 빼낸 정보로 2차 피해를 일으키거나 제3자에게 판매를 시도하는 등 악용하지는 않았다.

물론 추가 조사 과정에서 악용 시도 사실이 드러날 수도 있다.

경찰 브리핑 내용대로라면, ㄱ군과 ㄴ군은 '호기심에' 남의 서버에 침입해 개인정보를 유출하는 불법 행위를 했지만 악의는 없었다고 볼 수도 있다. 호기심 많고 자랑하기 좋아하는 중학생이 코딩을 배우다 해킹에 눈을 떠 한번 뚫어보려고 했던 것일 수도 있다.

한가지 가정을 해보자. ㄱ군과 ㄴ군이 없었다면, 따릉이 서버는 지금까지도 보안 취약점이 있는 상태로 운영되고 있었을 테고, 블랙 해커에 뚫리고 개인정보를 탈취당했을 수도 있지 않았을까.

ㄱ군과 ㄴ군에게 이런 질문도 해보고 싶다. '혹시 따릉이 이용자 개인정보가 너무 허술하게 관리되고 있는 것에 화가 나지는 않았니?'

경찰 조사는 물론 이후 과정 모두가 ㄱ군과 ㄴ군에게 교육 기회가 되길 바란다. 특히 서울시가 따릉이 이용자 개인정보 유출 사고의 책임을 이들에게 돌리는 일은 없어야 한다.

지난해 이후 SK텔레콤과 KT 등 이동통신사, 쿠팡 등 플랫폼사, 신한카드 등 금융사 등에서 줄줄이 터지고 있는 해킹과 개인정보 유출 사태까지 싸잡아 ㄱ군과 ㄴ군을 '마녀사냥'하는 모습은 없어야 한다. 대형 해킹 사고 모두는 보안 허술로 뚫린 것으로 과학기술정보통신부 민관합동조사단 조사 결과 드러났다.

우리 사회가 이번 사태에 대해 얼마나 안타까워하느냐에 따라 앞으로 몇가지 효과를 기대해볼 수 있다.

우선 재학 시절 '말썽'을 일으키던 카이스트·포항공대 '학생 해커'들이 후일 우리나라의 사이버 보안 선봉에 선 것처럼, ㄱ군과 ㄴ군도 후일 사이버 범죄로부터 우리 사회를 지키는 동량으로 성장할 수 있다.

이를 위해 지금 이들에게 꼭 필요한 게 '밥상머리 교육'이다. 호기심 많은 중학생들이 코딩을 배우다 ㄱ군과 ㄴ군처럼 고통스러운 일을 겪지 않게 하기 위해서도 필요하다.

이를 통해 내 자녀가 ㄱ군과 ㄴ군과 같은 처지로 몰리는 것을 막을 수 있을 것이다.

기업과 정부기관 서버의 보안 수준이 높아지는 것도 기대해볼 수 있다. 당연히 서울시와 서울시설공단 관계자들은 '중학생 해커'에 이틀 만에 뚫렸다는 점을 부끄러워해야 한다.

다시 말하지만, ㄱ군과 ㄴ군의 불법 행위를 두둔할 생각은 추호도 없다. 김재섭 선임기자