[서울=뉴시스]윤정민 기자 = 서울시 공공자전거 '따릉이' 가입자 462만명의 개인정보를 탈취한 사건 주범이 10대 청소년으로 드러났다. 범행 당시 중학생이었던 이들은 과시욕과 호기심 때문에 범행을 저질렀다고 진술했다.

여론 일각에서는 허술한 보안 체계를 지적하는 동시에 시스템을 해킹한 이들에게도 강한 처벌이 필요하다는 의견이 잇따르고 있다. 하지만 보안 전문가들은 한목소리로 "범죄는 명확히 책임을 물어야 하지만 응징만으로는 재발을 막기 어렵다"며 처벌과 함께 제도 개선이 병행돼야 한다는 입장을 내놓고 있다.

서울경찰청 사이버수사과는 지난달 23일 정보통신망법 위반 혐의로 10대 남성 A군과 B군을 불구속 송치했다고 밝혔다.

이들은 중학생이던 2024년 6월 당시 따릉이 서버 취약점을 파고들어 가입자 개인정보를 빼돌린 혐의를 받는다. 유출된 정보는 가입자 계정 아이디와 휴대전화번호, 주소, 생년월일, 성별, 체중 등이다.

조사 결과 피의자들은 정보보안 기술에 관심을 갖고 독학해오던 중 시스템 내 보안 허점을 발견했다. 가입자 정보 조회 시 필요한 최소한의 '인증 토큰' 검증 절차조차 없어 특정 호출만 하면 서버가 무방비로 정보에 응답한다는 걸 알아냈다.

보안 전문가들은 이번 사건이 공공 시스템에서 기본적인 접근 통제조차 제대로 구현되지 않은 전형적인 사례라며 서울시설공단의 허술한 보안 실태를 지적했다.

손주환 스틸리언 연구소장은 "중학생이 독학으로 얻은 기술로 해킹된 것이라면 정보가 유출된 기관은 보안 관리가 아주 취약한 상태일 확률이 높다. 큰 문제의식을 가져볼 필요가 있다"고 분석했다.

익명을 요구한 한 화이트해커도 "공공 인프라의 기본적인 접근 통제가 제대로 작동했다면 대규모 유출로 이어지지 않았을 가능성도 있다"며 "왜 취약점이 장기간 방치됐는지 구조적으로 따져봐야 한다"고 전했다.

◆"10대라고 봐줘선 안 된다"…확산하는 강경 여론

하지만 사건 소식이 전해지자 온라인상에는 "10대라고 봐줘선 안 된다"는 등 피의자를 향해 강경한 처벌을 요구하는 의견이 나오고 있다. 462만명이라는 유출 규모와 체중 등 민감한 정보가 포함됐다는 점이 시민 불안을 키웠다.

청소년의 해킹 범죄는 이번 사건뿐만이 아니다. 2023년 발생한 알라딘 전자책 5000여건 유출 사건도 고등학생이 주도했다. 그는 알라딘 측에 당시 36억원에 달하는 비트코인 100BTC를 보내지 않을 시 전자책 100만권을 유포하겠다고 협박해 약 8000만원 상당의 금전을 갈취했다.

하지만 보안 전문가들은 이번 사건에 대해 범죄는 명확히 책임을 묻되 응징만으로는 재발을 막기 어렵다고 입을 모았다.

박세준 티오리 대표는 "개인정보 유출은 시민의 신뢰를 훼손하는 중대한 범죄"라며 "나이와 무관하게 고의적 불법 행위에는 분명하고 일관된 책임이 뒤따라야 한다"고 말했다.

다만 그는 "처벌 목적은 응징에 그치는 것이 아니라 재발 방지와 올바른 방향으로의 전환까지 포함해야 한다"며 "보안 교육 과정에서 법적 책임과 사회적 영향에 대한 교육을 체계화하고 합법적이고 건전한 역량 발휘 경로(버그바운티, 정식 보안 교육 프로그램, 청소년 대상 화이트해커 양성 트랙 등)를 적극 마련해야 한다"고 밝혔다.

◆"응징만으론 한계…음지 유혹 차단할 합법적 통로 만들어야"

전문가들은 합법적 취약점 신고 통로 확대를 해법으로 제시했다. 김승주 고려대 정보보호대학원 교수는 또 "해외는 해커들이 발견한 취약점을 기업에 공식적으로 제보할 통로를 마련해두고 있다. 양지로 끌어올릴 구조가 있어야 한다"며 국내 취약점 신고 제도 활성화 필요성을 강조했다.

이에 정부는 올 하반기부터 보안 취약점 제보제(VDP)를 시범 도입하고, 내년에는 법제화를 통해 '한국형 세이프 하버' 제도를 본격 가동할 계획이다. 세이프 하버는 일정 기준에 따라 취약점을 찾은 화이트해커에게 민·형사상 책임을 면제해 주는 제도로, 음지에 머물던 보안 인재를 공식 파트너로 인정하겠다는 취지다.

김 교수는 "취약점을 찾은 행위 자체를 무조건 범죄로 몰기보다는 합법적 신고 통로를 통해 양지로 끌어올리는 제도가 병행돼야 한다"며 "그럼에도 이를 악용한다면 그때는 엄정한 책임을 물어야 한다"고 강조했다.   

한 화이트해커도 "합법적 신고 통로가 충분히 마련되지 않은 상태에서 기술적 호기심을 가진 청소년에게 단지 '하지 말라'고만 하는 것은 한계가 있다"며 "취약점을 신고했을 때 법적 위험을 감수해야 하는 구조에서는 음지의 유혹을 완전히 차단하기 어렵다"고 덧붙였다.


◎공감언론 뉴시스 alpaca@newsis.com