서울시설공단, 따릉이 개인정보 유출 알고도 2년 가까이 묵인

[아이뉴스24 김한빈 기자] 서울시설공단이 2024년 사이버 공격 당시 서울시 공공자전거 '따릉이' 회원 개인정보 유출 사실을 확인하고도 2년 가까이 별도의 조치를 취하지 않은 것으로 확인됐다.

서울시는 6일 시청에서 '따릉이 개인정보 유출' 관련 브리핑을 열고, 내부조사 과정에서 서울시설공단이 지난 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 이를 보고하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다고 밝혔다.

한정훈 서울시 교통운영관은 이날 브리핑에서 "지난달 27일 서울경찰청으로부터 회원 정보 유출 의심 정황을 통보받은 뒤 즉각 내부조사를 실시했고, 그 과정에서 공단이 2024년 7월 개인정보 유출 사실을 확인하고도 적절한 조치를 취하지 않은 사실을 확인했다"고 말했다.

시에 따르면 2024년 6월 28일부터 30일까지 따릉이 앱 서버를 겨냥한 디도스(DDoS) 공격이 발생했다. 시는 따릉이 앱이 약 80분간 다운되자 행정안전부에 장애 신고를 했다.

이후 같은 해 7월 KT 클라우드 서버 관리 용역업체가 개인정보 유출 정황을 담은 보고서를 공단에 전달했다. 해당 보고서에는 이름, 아이디, 휴대전화번호, 성별, 이메일, 생년월일·체중 등 6개 항목의 개인정보 유출 정황이 포함된 것으로 파악됐다.

그러나 공단은 개인정보 유출 사실을 인지하고도 개인정보보호위원회 신고나 시민 공지 등 법에 따른 후속 조치를 하지 않은 채 1년 7개월가량 묵인했다.

시는 현재 관련 수사가 진행 중인 만큼, 공단의 초동 조치 미흡 사실을 경찰에 통보해 수사가 이뤄지도록 할 예정이다.

또 개인정보보호위원회와 한국인터넷진흥원에 신고하고, 향후 경찰 수사·개인정보보호위원회 조사 결과를 바탕으로 재발 방지를 위한 관리·감독 체계를 강화해 나갈 방침이다.

앞서 공단은 지난달 27일 서울경찰청 사이버수사대로부터 따릉이 회원 정보 유출이 의심되는 정황을 유선으로 전달받았다. 이후 공단은 법령상 시한이 임박한 30일 관계기관에 유출 사실을 신고했다.

개인정보보호법 시행령은 개인정보처리자가 개인정보 유출 사실을 인지한 경우 72시간 안에 관계기관에 신고할 의무가 있다고 규정하고 있다.

시는 현재까지 정확한 유출 건수는 확정되지 않았지만, 2024년 당시 따릉이 회원 수가 약 455만 명에 달했던 점을 고려할 때 최대 450만 건 이상 유출 가능성도 배제할 수 없다고 설명했다.

다만, 구체적인 유출 규모와 개인별 유출 항목은 경찰 수사를 통해 확정될 사안이라고 선을 그었다.

시는 유출 의심 정황을 인지한 직후 비상대응센터와 피해접수센터를 가동하고 있으며 현재까지 명의도용이나 금전 피해 등 2차 피해 신고는 접수되지 않았다고 밝혔다.

한 운영관은 "개인정보 관리의 직접적인 주체는 공단이고, 시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재를 명확히 하고, 필요한 경우 직무 배제 등 후속 조치도 검토하겠다"고 말했다.