18개월 전 '따릉이' 450만명 해킹… 알고도 신고 안한 시설공단

(서울=뉴스1) 구진욱 기자 = 서울 공공자전거 '따릉이' 관리 주체인 서울시설공단이 2024년 사이버 공격으로 인한 회원정보 유출 사실을 확인하고도 약 1년 6개월간 이를 보고하지 않은 사실이 드러났다. 서울시는 이번 사고로 최대 450만건의 개인정보 유출 가능성을 배제하지 않고 있다.

서울시는 6일 오전 '따릉이 개인정보 유출' 관련 브리핑을 열고, 내부조사 결과 서울시설공단이 지난 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 이를 보고하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다고 밝혔다.

한정훈 서울시 교통운영관은 이날 브리핑에서 "지난 1월 27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 즉각 내부 조사를 실시했고, 그 과정에서 공단이 2024년 7월 개인정보 유출 사실을 확인하고도 적절한 조치를 취하지 않은 사실을 확인했다"고 말했다.

서울시에 따르면 따릉이 앱은 2024년 6월 28일부터 30일까지 디도스(DDoS·분산서비스거부) 공격으로 약 80분간 서비스 장애를 겪었다. 이후 서버를 관리하는 KT 클라우드 측 분석 보고서가 같은 해 7월 공단에 전달됐으며, 해당 보고서에는 이름, 아이디, 휴대전화번호, 성별, 이메일, 생년월일·체중 등 6개 항목의 개인정보 유출 정황이 포함된 것으로 파악됐다. 그러나 공단은 이 사실을 서울시와 관계기관에 신고하지 않았다.

서울시는 현재 경찰 수사가 진행 중인 만큼, 공단의 초동 조치 미흡과 보고 누락 사실을 경찰과 개인정보보호위원회에 통보해 추가 수사와 조사가 이뤄지도록 할 계획이다.

아울러 한국인터넷진흥원에도 신고하고, 재발 방지를 위한 관리·감독 체계 강화를 추진한다는 방침이다.

시는 현재까지 정확한 유출 건수는 확정되지 않았지만, 2024년 당시 따릉이 회원 수가 약 455만 명에 달했던 점을 고려할 때 최대 450만건 이상 유출 가능성도 배제할 수 없다고 설명했다. 다만 구체적인 유출 규모와 개인별 유출 항목은 경찰 수사를 통해 확정될 사안이라고 선을 그었다.

서울시는 유출 의심 정황을 인지한 직후 비상대응센터와 피해접수센터를 가동하고 있으며, 현재까지 명의 도용이나 금전 피해 등 2차 피해 신고는 접수되지 않았다고 밝혔다.

피해가 확인될 경우 개인정보보호위원회 산하 분쟁조정 절차 등을 통해 손해배상 등 보상 방안을 검토하겠다는 입장이다.

한 운영관은 "개인정보 관리 주체는 공단이며, 서울시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재와 직무배제 등 후속 조치도 검토하겠다"고 말했다.

서울시는 향후 외부 보안 컨설팅 용역을 통해 따릉이 시스템 전반의 보안 체계를 점검하고, 공공 플랫폼 전반에 대한 개인정보 보호 관리 기준을 강화하겠다고 밝혔다.

kjwowen@news1.kr