450만명 정보 유출…따릉이 운영기관, 2024년에 이미 알고 있었다

서울시설공단이 공공자전거 ‘따릉이’ 회원 개인정보 유출 사실이 장기간 제대로 보고되지 않은 정황이 드러나면서 관리 책임 논란이 커지고 있다.

6일 연합뉴스에 따르면 한정훈 서울시 교통운영관은 이날 오전 브리핑을 열고 “내부 조사 과정에서 서울시설공단이 2024년 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 적절한 초동 조치를 하지 않았으며 상급기관과 관계기관에 보고하지 않은 사실을 확인했다”고 밝혔다.

◈ 2024년 유출 인지 후 보고·신고 없었다

서울시에 따르면 따릉이 앱은 2024년 6월 말 디도스 공격으로 전산 장애가 발생했고 시설공단은 당시 장애 발생 사실만 관계기관에 신고했다. 이후 따릉이 개인정보가 저장된 KT 클라우드에 대해 보안업체가 침해사고 분석을 진행했고 같은 해 7월 개인정보 유출 가능성이 담긴 분석 보고서가 시설공단에 전달됐다. 해당 보고서에는 회원 아이디와 휴대전화 번호 등 개인정보 항목이 외부로 유출됐을 가능성이 명시돼 있었던 것으로 파악됐다.

그러나 시설공단은 이 보고서를 서울시에 보고하지 않았고 개인정보보호법에 따라 개인정보보호위원회와 한국인터넷진흥원에 신고해야 할 의무도 이행하지 않았다. 서울시는 시설공단이 서버 증설과 일부 보안 조치는 했지만 개인정보 유출 사실에 대해서는 별도의 조치를 하지 않았다고 설명했다.

◈ 경찰 통보로 뒤늦게 드러난 유출 정황

이번 개인정보 유출 정황은 지난달 27일 서울경찰청 사이버범죄수사대로부터 따릉이 회원 개인정보 유출이 의심된다는 통보를 받으면서 드러났다. 경찰이 다른 사이버범죄 사건을 수사하던 중 피의자 컴퓨터에서 따릉이 관련 정보가 발견되면서 시설공단에 관련 정황을 알렸고 이후 공단은 법령상 시한이 임박한 같은 달 30일 관계기관에 유출 신고를 했다.

서울시는 이후 내부 점검 과정에서 시설공단이 2024년 이미 개인정보 유출 사실을 인지하고 있었다는 점을 확인했다고 밝혔다. 시설공단이 개인정보보호위원회에 제출한 자료를 서울시가 검토하는 과정에서 침해사고 분석 보고서의 존재를 확인하면서 관련 사실을 파악하게 됐다는 설명이다.

◈ 최대 450만명 유출 가능성…관리 책임 불가피

서울시는 현재 경찰 수사가 진행 중인 만큼 정확한 유출 규모는 확인되지 않았다고 밝혔다. 다만 유출 시점으로 추정되는 2024년 당시 따릉이 앱 전체 회원 수가 약 455만명이었던 점을 감안하면 최대 450만명에 달하는 개인정보가 유출됐을 가능성도 있다는 설명이다. 따릉이 가입 시 필수 수집 정보는 아이디와 휴대전화 번호이며 선택 수집 정보로 이메일 주소와 생년월일 성별 체중 등이 포함돼 있다.

서울시는 시설공단의 초동 대응 미흡과 보고 누락과 관련해 감사를 진행할 예정이며 감사 결과에 따라 직무유기나 배임 등 형사 책임 여부를 검토해 수사 의뢰를 검토하겠다고 밝혔다. 다만 구체적인 은폐 정황 확인을 위해서는 경찰 수사가 필요하다는 입장이다.

서울시는 향후 따릉이 앱 보안 강화를 위한 외부 컨설팅 용역을 발주하고 개인정보 관리 체계 전반을 점검해 재발 방지 대책을 마련하겠다고 밝혔다.