【 청년일보 】 서울시 공공자전거 '따릉이' 운영을 맡고 있는 서울시설공단이 이용자 개인정보 유출 정황을 인지하고도 2년 가까이 이를 숨겨온 사실이 드러났다.

 

서울시는 6일 오전 시청 브리핑룸에서 긴급 회견을 갖고 "내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다"고 발표했다.

 

이날 브리핑에 나선 한정훈 서울시 교통운영관은 "개인정보 유출 사건과 관련해 시민 여러분께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"며 고개를 숙였다.

 

시는 공단의 조직적인 은폐 의혹에 대해 사법 당국의 힘을 빌리기로 했다. 시 관계자는 "현재 관련 수사가 진행 중인 만큼 공단의 초동 조치 미흡 사실을 경찰에 통보해 수사가 이뤄지도록 할 예정"이라고 밝혔다.

 

또한 "개인정보보호위원회와 한국인터넷진흥원에도 이 사실을 신고하고, 향후 경찰 수사와 개인정보보호위 조사 결과를 바탕으로 재발 방지를 위해 관리·감독 체계를 강화할 방침"이라고 덧붙였다.

 

이번 사태는 지난 2024년 6월 28일부터 30일 사이 따릉이 앱에 가해진 디도스(DDoS) 공격에서 비롯됐다. 당시 공단은 시스템 장애 사실을 유관 기관에 알렸고, 이후 보안 전문 업체를 통해 사고 분석을 진행했다.

 

같은 해 7월 18일 공단이 수령한 보안 업체의 분석 보고서에는 개인정보 유출 정황이 명시되어 있었다. 그러나 공단 측은 서버 용량을 늘리는 등 보안 강화 조치만 취했을 뿐, 정작 가장 중요한 정보 유출 건에 대해서는 아무런 대응을 하지 않았고 상급 기관인 서울시에도 보고하지 않았다.

 

묻힐 뻔했던 사건은 최근 경찰의 별건 수사 과정에서 꼬리가 잡혔다.

 

한 운영관은 "경찰이 다른 사이버범죄 사건을 수사하던 중 피의자의 컴퓨터에 따릉이 관련 정보가 있어서 공단에 지난달 27일 통보해왔다"고 설명했다.

 

그는 이어 "시에서 내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안 업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 뒤늦게 알게 됐다"고 말했다.

 

서울시는 즉각적인 감사에 착수해 보고 누락 경위와 책임 소재를 규명할 방침이다. 당시 개인정보 유출을 인지했던 공단 관계자들을 색출해 직무에서 배제하고, 법적 검토를 거쳐 수사를 의뢰하기로 했다. 내부 보고 체계의 허점도 면밀히 들여다볼 계획이다.

 

시는 피해 규모와 관련해 "2024년 7월 이후로 개인정보 유출 피해 사례가 접수되지는 않고 있다"고 전했다.

 

 

현재 따릉이 가입자 수는 500만명에 육박한다. 회원 가입 시 필수로 수집하는 아이디와 휴대전화 번호 외에도 선택 항목인 이메일, 생년월일, 성별, 체중 정보 등이 유출됐을 가능성이 있다. 정확한 유출 규모와 경로는 경찰 수사를 통해 밝혀질 전망이다.

 

일각에서 제기된 450만명 유출설에 대해 시 관계자는 "유출 시점으로 추정되는 2024년 6월 당시 따릉이 앱의 전체 회원 수가 455만이라 유출 가능한 최대 인원 숫자가 알려진 것으로 보인다"고 해명했다.

 

이어 "개인정보 유출 회원 수는 경찰 수사에서 확인될 것으로 보인다"며 "필수 수집 정보와 선택 정보 이외에도 다른 정보가 추가로 유출됐는지는 시에서 확인하지 못했고, 경찰 수사를 지켜봐야 한다"고 말했다.

 

서울시는 향후 외부 컨설팅을 통해 따릉이 앱의 보안 시스템을 전면 재점검하고 대책을 마련하겠다고 밝혔다. 그러나 산하 기관에서 발생한 중대 보안 사고를 2년 동안이나 까맣게 모르고 있었던 서울시 역시 관리 소홀 책임에서 자유롭지 못하다는 비판이 나온다.

 

이에 대해 한 운영관은 "(공단의) 감독 기관인 만큼 시에도 관리감독 책임이 있는 것으로 알고 있다"며 "법적 책임은 검토해봐야 할 사항"이라고 답했다.

 

【 청년일보=김재두 기자 】