2024년 공단 담당자가 보고서 통해 유출 사실 인지 보고안해…서울시는 1년 6개월 만에 알아 “경찰 수사 통해 정확한 사실 밝힌 뒤 처벌 등 조치”

[헤럴드경제=손인규 기자] 가입자 500만명에 이르는 서울시 공공자전거 ‘따릉이’의 회원 정보 유출 사건에 대해 경찰이 수사를 하고 있는 가운데 따릉이 관리 기관인 서울시설공단(이하 공단)이 이를 알고도 서울시에 보고하지 않은 것으로 밝혀졌다. 공단은 이같은 사실을 2024년 7월에 인지한 것으로 알려졌다. 서울시는 이 같은 사실을 1년 반이 지난 5일에서야 인지하고 개인정보보호위원회와 한국인터넷진흥원에 신고했다. 서울시는 경찰 수사를 통해 관련자 처벌 등을 검토할 예정이며 자체 감사도 착수할 것으로 보인다.

서울시는 6일 서울시청 브리핑실에서 내부 조사 과정에서 공단이 2024년 6월 따릉이 애플리케이션 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다고 밝혔다.

한정훈 서울시 교통운영관은 “이번 따릉이 회원 정보 유출과 관련해 시민 여러분께 심려와 불편을 드려 진심으로 사과드린다”며 “지난달 27일 서울경찰청으로부터 회원 정보 유출 의심 정황을 통보받고 내부 조사를 실시하던 중 어제(5일) 시설공단 담당자가 이 같은 사실을 알고도 묵인한 것을 알게 됐다”고 말했다.

서울시에 따르면 2024년 6월 28~30일, 따릉이 앱이 디도스 공격으로 추정되는 사이버 공격을 받았다. 서울시는 따릉이 앱이 약 80분간 다운되자 행전안전부에 장애 신고를 했다. 당시 개인정보 유출 정황은 확인하지 못했다고 했다.

하지만 따릉이 앱 서버를 관리하던 KT클라우드 측이 같은 해 7월 18일 관리 주체인 공단에 분석보고서를 제출했다. 10쪽 분량의 이 보고서에는 개인정보 유출이 확인됐다는 내용이 포함돼 있었다. 하지만 공단 담당자는 이를 서울시에 보고하지 않았다는 것이다.

한 운영관은 “시에 보고를 안 하고 빠뜨린 거에 대해서는 경찰 조사가 진행 중”이라며 “다만 현재 공단에서 몇 명이 알았고, 어느 선까지 보고가 됐는지 등은 알 수 없는 상황”이라고 말했다.

서울시에 따르면 유출된 회원 정보는 6개 항목(아이디·휴대폰번호·성별·이메일주소·체중·생년월일)이다. 서울시는 지난달 말 경찰로부터 개인정보 유출 사실을 통보받은 후 비상대응센터와 피해접수센터를 가동 중이다. 다만 이들 센터 가동 후 접수된 피해접수는 없는 것으로 알려졌다.

서울시 관계자는 “법 위반 여부에 대해서는 경찰과 개인정보위의 조사 결과가 나온 뒤에 정확하게 말할 수 있을 것 같다”며 “서울시도 자체 감사를 통해 무엇이 문제였는지를 살펴보려고 한다”고 말했다.

따릉이 가입 회원 수는 약 500만명이며, 지난해 기준 따릉이 대여소는 2799개소다.