500만 회원 '따릉이' 해킹 의심 정황…유출 경로 '오리무중'(종합)

(서울=뉴스1) 구진욱 유채연 기자 = 서울 공공자전거 '따릉이' 회원정보 유출이 의심되는 정황이 포착됐다.

누적 회원 500만 명에 달하는 대규모 공공 모빌리티 플랫폼에서 발생한 사안이어서 유출 범위 등이 어느 정도냐에 따라 파장이 커질 수 있다.

30일 뉴스1 취재를 종합하면 서울경찰청 사이버수사2대는 인지 수사 과정에서 따릉이 회원정보 유출이 의심되는 파일이 발견됐다고 지난 27일 서울시설공단에 통보했다.

일각에서는 이름과 전화번호가 포함된 450만 명 이상의 개인정보가 유출됐다는 얘기도 흘러나온다. 경찰과 서울시설관리공단은 정확한 유출 규모를 확인해줄 수 없다는 입장이다.

다만 공단은 "따릉이 데이터베이스에 저장되는 내용은 아이디, 휴대전화번호는 필수이고 이메일, 생년, 성별, 체중은 선택사항"이라며 "그 외에 정보들은 데이터베이스에 저장되지 않기 때문에, 유출도 있을 수 없다"고 전했다.

경찰은 회원 정보가 실제로 외부로 유출됐는지, 이로 인한 피해 및 2차 피해 여부, 유출 시점 및 경로 등을 확인하고 있다.

따릉이는 지난 2015년 10월 정식 운영 이후 서울 전역 2800여 개 대여소에서 약 4만5000대가 운영되고 있다. 누적 회원 수는 500만 명, 지난 10년간 누적 이용 건수는 2억5000만 건을 넘어섰다. 출퇴근 시간대 이동 수단은 물론 주말 여가용으로도 활용되며, 서울시를 대표하는 공공 플랫폼으로 자리 잡았다.

대규모 회원정보가 축적된 서비스에서 유출 의심 정황이 확인되자 서울시는 관계기관 신고와 함께 비상대응체계를 가동했다. 서울시설공단과 서울시는 따릉이 앱과 홈페이지, 운영 시스템 전반에 대한 보안 점검에 착수했으며, 경찰 수사에도 협조하고 있다.

서울시 관계자는 "경찰로부터 유출이 의심되는 정황이 있다는 수준의 통보만 받은 상황으로, 현재까지는 유출 경로와 규모, 범위를 특정할 수 없다"며 "수사가 진행 중인 사안인 만큼 섣불리 특정 원인을 언급하기 어렵다"고 말했다. 이어 "관련 법령과 절차에 따라 비상대응체계를 가동하고 필요한 점검과 대응을 병행하고 있다"고 덧붙였다.

공단 관계자는 신고 시점과 관련해 "경찰과 협의 중이었고, 법령기한(피해 인지 후 72시간 내) 준수를 위해 30일에 신고했다"고 설명했다.

정보보안 전문가들은 현 단계에서 유출 경로를 단정하기는 어렵다고 보고 있다.

개인정보 접근이 가능한 운영 서버 침해, 모바일 앱·홈페이지 등 서비스 취약점을 악용한 해킹일 가능성 모두 배제할 수 없다. 구체적인 기술적 원인은 수사 결과를 통해 확인해야 한다는 설명이다.

권헌영 고려대 정보보호학과 교수는 "초기에는 유출이 실제로 있었는지, 있었다면 내부 접근인지 외부 반출인지부터 확인해야 한다"며 "경로가 특정되지 않으면 피해 범위 역시 산정하기 어렵다"고 말했다.

누적 회원 500만 명에 달하는 공공 서비스인 만큼, 대규모 개인정보 유출 정황이 확인될 경우 따릉이 운영·관리를 맡고 있는 서울시와 서울시설공단을 중심으로 행정적·사회적 부담이 커질 우려가 있다.

김승주 고려대 정보보호학과 교수는 "이용자가 많고 연령대가 폭넓은 서비스일수록 초기 구축 단계뿐 아니라 이후 기능 개선 과정에서도 보안 점검이 지속적으로 이뤄졌는지가 중요하다"고 말했다.

서울시는 경찰 수사 결과에 따라 실제 유출 여부와 영향 범위를 확인한 뒤, 필요한 후속 조치를 검토할 방침이다.

pej86@news1.kr