서울시설公, 따릉이 개인정보 유출 알고도 묵인…시, 수사기관 통보

[이데일리 이영민 기자] 서울시설공단이 서울시 공공자전거 ‘따릉이’의 회원 정보 유출을 알고도 별도의 조치 없이 묵인한 것으로 드러났다. 서울시는 관련 수사가 진행 중인 만큼 미흡한 초동조치를 수사기관에 통보할 예정이다.

(사진=연합뉴스)

서울시는 지난달 30일 알려진 따릉이 회원 정보 유출과 관련해 6일 브리핑을 열고 이같이 밝혔다. 시는 이날 “내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 애플리케이션 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않아 초기 대응이 이루어지지 않은 사실을 확인했다”고 밝혔다.

이어 “이 사실을 개인정보보호위원회와 한국인터넷진흥원에 신고하고 향후 경찰수사와 개인정보보호위원회 조사결과를 바탕으로 재발방지를 위한 관리·감독 체계를 강화해 나갈 방침”이라고 했다.

해당 정보 유출은 2024년 4월께 디도스(DDoS·분산서비스거부) 공격이 집중됐던 시기 발생한 것으로 추정된다. 서울시설공단은 피해 신고는 현재까지 없었다는 입장이다.

앞서 파악된 유출 건수는 450만 건이며 상황에 따라 더 늘어날 수 있다. 현재 따릉이 가입자는 500만 명 수준으로 알려졌다. 따릉이 애플리케이션의 필수 수집 정보는 아이디와 휴대전화 번호이다. 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중이다. 이름, 주소 등은 수집 대상에 포함되지 않는다.

이와 관련해 서울시 측에서는 가입 시 이름이나 주민등록번호 등은 본인 인증 과정이 지나면 데이터베이스화 하지 않기 때문에 유출 가능성이 없을 것이라고 설명했다. 단, 생성된 ID와 휴대전화 번호는 유출됐을 수 있다며 가능성을 열어뒀다.

서울시와 서울시설공단 등에 따르면 공단은 지난달 27일 서울경찰청 사이버수사대로부터 서울자전거 ‘따릉이’ 회원 정보 유출이 의심되는 정황을 유선으로 전달받았다. 이후 서울시설공단은 법령상 시한이 임박한 30일 관계기관에 유출 사실을 신고했다. 개인정보보호법 시행령은 개인정보처리자가 개인정보 유출 사실을 인지한 경우 72시간 안에 관계기관에 신고할 의무가 있다고 규정하고 있다.

한편 공단은 서울시와 합동으로 유출사고에 대한 분석과 대응을 총괄하는 비상 대응센터를 가동하고 따릉이 애플리케이션과 홈페이지 운영체계 전반에 대한 시스템 보안 강화에 돌입했다. 유출 규모와 범위, 이로 인한 피해 여부 등에 대해서는 현재 경찰 수사가 진행 중이다.