307개 정보시스템 중 15개 민간클라우드 이용 일부에서 침해사고 대응 절차 미비…시정 조치 서울시 “민간클라우드 운영 지속 점검할 것”

[헤럴드경제=손인규 기자] 서울시 공공 자전거 ‘따릉이’의 개인정보 유출과 관련해 서울시가 시에서 사용 중인 민간 클라우드 운영 시스템 점검에 나선 것으로 파악됐다.

17일 헤럴드경제 취재에 따르면 서울시는 운영 중인 전체 307개 정보시스템 중 약 95%에 해당하는 292개를 서초동과 상암동에 있는 서울시 데이터센터 자체 클라우드와 자체 서버에서 직접 운영·관리하고 있다. 민간 클라우드 활용 시스템은 4.9% 수준인 15개다. 이 15개 시스템 중 네이버 클라우드가 10개, KT 클라우드가 2개, 기타 3개 사업자가 각각 1개씩 운영 중이다.

민간 클라우드는 주로 시민 편의 서비스 성격의 시스템이 도입된 스마트 건강관리 애플리케이션 ‘손목닥터9988’, 공공 교육 플랫폼 ‘서울런’ 등 온라인 기반 플랫폼 서비스에 적용하고 있다.

손목닥터9988의 경우 출시 때부터 네이버 클라우드를 이용했다. 서울시 관계자는 “손목닥터9988은 출시 전부터 많은 시민이 이용할 것으로 예상했기에 용량과 인력이 상대적으로 부족한 서울시 데이터센터보다 유연성 측면에서 장점이 있는 민간 클라우드를 사용하기로 했다”며 “지금까지 개인정보 유출 등과 같은 문제점은 없었다”고 말했다.

서울시는 서울시설공단이 운영하는 따릉이의 개인정보 유출이 있은 뒤 자체적으로 민간 클라우드 서버의 보안 관리가 잘 되고 있는지, 클라우드를 쓰면서 컴플라이언스(CP)는 잘 지켜지는지 등을 점검한 것으로 알려졌다.

그 결과 일부에서 보완점이 발견돼 보안 조치를 한 것으로 확인됐다. 서울시 관계자는 “점검 결과 전반적으로 국가정보원 보안인증 서비스 이용 등 제도적 기반은 적정하게 운영되고 있으나 침해사고 대응절차(매뉴얼) 미비 등 일부 시정조치 사항이 확인되어 관련 부서에 즉시 조치토록 통보했다”고 말했다.

한편 따릉이 앱은 2024년 6월 28~30일 디도스(DDoS·분산서비스거부) 공격으로 80분간 접속 장애를 일으켰다. 따릉이 관리 주체인 서울시설관리공단은 같은 해 7월 8일 따릉이 서버를 관리하는 KT 클라우드 측으로부터 정보 유출 정황이 있다는 보고서를 받았지만 서울시로 보고되지 않았다. 그러다가 지난달 27일 공단이 서울경찰청 사이버수사대로부터 서울자전거 ‘따릉이’ 회원 정보 유출이 의심되는 정황을 유선으로 전달받았고, 시는 이달 5일에서야 공단이 개인정보호위원회에 제출한 서류에 KT 보고서가 있음을 인지했다.

따릉이에 대한 해킹으로 유출된 정보는 이름, 아이디, 휴대전화 번호, 성별, 이메일, 생년월일·체중 등 6개 항목인 것으로 알려졌다. 경찰은 9일 따릉이 관련 피의자 2명을 입건했다.

서울시 관계자는 “앞으로 민간 클라우드 운영 전반에 대해 지속 점검하고 필요한 부분은 보완해 나가겠다”고 말했다.