'따릉이' 정보 유출, 알고도 숨겼나…서울시, 시설공단 수사의뢰(종합)

(서울=뉴스1) 구진욱 기자 = 서울시가 공공자전거 '따릉이' 개인정보 유출 사실을 인지하고도 관련 의무를 이행하지 않은 서울시설공단 담당 부서에 대해 경찰 수사를 공식 요청했다.

서울시는 6일 "이날 오후 3시 서울시경찰청에 서울시설공단 공공자전거운영처 시스템관리팀에 대한 수사를 요청했다"며 "해당 팀이 2024년 7월 개인정보 유출 상황을 인지하고도 개인정보보호위원회 신고 등 법정 의무를 다하지 않은 정황이 확인돼 개인정보보호법 및 형법 위반 의혹이 있다고 판단했다"고 밝혔다.

앞서 서울시는 이날 오전 브리핑을 통해 서울시설공단이 2024년 6월 발생한 따릉이 앱 사이버 공격 이후 개인정보 유출 정황을 확인하고도 약 1년 6개월간 이를 보고하지 않았다고 공개한 바 있다.

서울시에 따르면 공단은 2024년 6월 28일부터 30일까지 디도스(DDoS·분산서비스거부) 공격으로 따릉이 서비스 장애가 발생한 뒤, 같은 해 7월 KT클라우드로부터 전달받은 분석 보고서를 통해 개인정보 유출 가능성을 인지했다.

해당 보고서에는 이름, 아이디, 휴대전화번호, 성별, 이메일, 생년월일·체중 등 6개 항목의 개인정보가 외부로 유출됐을 가능성이 담긴 것으로 파악됐지만, 공단은 이를 서울시와 개인정보보호위원회, 관계기관에 신고하지 않았다.

서울시는 지난 1월 27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 내부 조사를 진행했고, 이 과정에서 공단의 보고 누락과 초동 대응 미흡 사실을 확인했다. 서울시는 해당 사안을 경찰과 개인정보보호위원회에 통보하고, 추가 수사와 행정 조사가 이뤄지도록 할 방침이다.

현재까지 정확한 유출 규모는 확정되지 않았으나, 2024년 당시 따릉이 가입 회원 수가 약 455만 명에 달했던 점을 고려하면 최대 450만건 이상의 개인정보 유출 가능성도 배제할 수 없다는 것이 서울시 설명이다. 다만 구체적인 유출 범위와 개인별 피해 여부는 경찰 수사를 통해 최종 확인될 사안이라고 선을 그었다.

서울시는 유출 의심 정황 인지 직후 비상대응체계와 피해접수센터를 가동했으며, 현재까지 명의 도용이나 금전 피해 등 2차 피해 신고는 접수되지 않았다고 밝혔다. 향후 피해가 확인될 경우 개인정보보호위원회 산하 분쟁조정 절차를 통해 손해배상 등 보상 방안도 검토할 계획이다.

한정훈 서울시 교통운영관은 이날 오전 열린 브리핑에서 "개인정보 관리 주체는 서울시설공단이며, 서울시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재 규명과 직무배제 등 후속 조치도 검토하겠다"고 말했다.

서울시는 한국인터넷진흥원(KISA) 신고와 함께 외부 보안 컨설팅을 통해 따릉이 시스템 전반의 보안 체계를 점검하고, 공공 플랫폼 전반의 개인정보 보호 관리 기준을 강화하겠다고 밝혔다.

kjwowen@news1.kr