서울시 공공자전거 '따릉이' 회원정보 450만건이 유출되는 사태로 발칵 뒤집힌 가운데 따릉이를 운영하는 서울시설공단은 2024년 6월 사이버공격으로 개인정보가 유출된 사실을 확인하고도 별도의 조치를 취하지 않았다고 서울시가 밝혔다.
서울시는 이 사실을 경찰에 통보하고 개인정보보호위원회 및 한국인터넷진흥원에 신고하겠다는 방침이다. 서울시설공단의 초동 조치 미흡으로 시는 이번 지금껏 사태를 인지하지 못했다며 전적으로 공단에 책임을 떠넘긴 셈이다.
서울시는 6일 시청에서 열린 관련 브리핑에서 "지난달 27일 경찰로부터 개인정보 유출사실을 통보받은 뒤, 이달 5일 공단의 초동 조치가 미흡하다는 사실을 확인했다"고 밝혔다.
정보 유출은 2024년 6월경 발생한 것으로 추정되고 있다. 시는 "당시 6월 28일부터 30일까지 디도스(DDoS·분산서비스거부) 공격으로 80분간 따릉이 앱 서버가 다운됐다"고 설명했다.
이후 지난해 7월 따릉이 앱 서버 운영사인 KT클라우드는 개인정보 유출 정황이 확인된다는 내용의 보고서를 공단에 제출했다. 공단은 이를 시에 보고하지 않았다는 것이 시의 설명이다.
다만 디도스 공격 이후 시 차원에서 정보 유출 여부를 확인해야 하는 것이 아닌지 의문이 제기되고 있다. 이에 대해 시 관계자는 "관련 메뉴얼의 유무는 모르겠다"고 말했다. 시가 공단에 의해 피해를 입었다고 하면서도, 형법상 사실관계가 밝혀지기 전에는 내부 감사 및 고발 조치가 어렵다는 미온적 태도를 취하고 있다.
시는 이번 사태로 약 450만건의 회원정보가 유출된 것으로 추정하고 있다. 이는 2024년 당시 회원수 455만명였던 점을 감안해 모든 회원정보가 고스란히 유출된 것이나 다름없다. 현재 따릉이 가입자는 500만명 수준으로 알려져 있다.
유출된 개인정보는 이름과 전화번호, 생년월일 등으로 추정된다. 따릉이앱의 필수 수집정보는 아이디(ID)와 이동전화번호이고, 선택 수집정보는 이메일 주소와 생년월일, 성별, 체중이다. 그외 회원이 임의로 입력한 개인정보도 유출된 것으로 보인다.
경찰은 다른 사건 수사를 하던 중 따릉이 회원정보가 유출됐다는 사실을 파악하고, 지난달 27일 서울시설공단에 회원정보 유출 정황을 유선으로 통보했다.
이 사실을 통보받은 서울시설공단은 즉시 신고하지 않고 30일에서야 개인정보보호위원회에 신고했다. 법령상 정해진 신고시한에 임박해서 신고했다. 개인정보보호법 시행령에 따르면 개인정보처리자가 개인정보 유출 사실을 인지한 후 72시간 이내에 관계기관에 의무적으로 신고해야 한다. 현재 서울경찰청 사이버수사대와 개인정보위가 관련 수사를 진행 중이다.
한정훈 서울시 교통안전국장은 "2024년 6월 이후 시가 운영중인 피해신고접수센터에 접수된 추가 유출 정황이나 피해 사례는 아직까지 없다"며 "향후 수사결과를 바탕으로 보상 방안을 검토하겠다"고 밝혔다.
Copyright @ NEWSTREE All rights reserved.
- 김나윤 기자 jamini2010@newstree.kr 다른기사보기
최신뉴스 보기