서울시설공단이 2024년 공공자전거 '따릉이' 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별도 조치를 취하지 않은 것으로 확인됐다.
한정훈 서울시 교통운영관은 6일 브리핑을 통해 “2024년 6월 서울시설공단 상대 디도스(DDoS·분산서비스거부) 공격이 있었고, 같은해 7월 시스템 운영사인 KT클라우드가 공단에 개인정보 유출 사실을 보고서로 제출했다”며 내부 조사를 통해 전날 이같은 사실을 확인했다고 밝혔다.
시는 현재 관련 수사가 진행 중인 만큼 공단의 초동 조치가 미흡했던 사실을 경찰에 통보하고, 은폐 관련자 수사가 이뤄지도록 할 예정이다. 또 자체적으로 형법상 직무 유기나 배임이 아닌지 확인하기 위한 시 차원 감사 등을 검토하고 있다. 개인정보 유출 신고 의무는 개인정보관리자인 서울시설공단에 있다.
여장권 서울시 교통실장은 “서울시는 2024년 6월 DDoS 공격 사실만 인지했고 개인정보 유출에 대해서는 공단의 보고 누락으로 확인하지 못했다”며 “경찰 조사 등을 통해 보고 누락 경위와 책임 여부가 가려질 것”이라고 설명했다. 시는 지난달 27일 개인정보 유출 사실을 최초 인지했다는 입장이다.
서울시설공단은 지난달 30일 이번 개인정보 유출 관련 개인정보보호위원회와 한국인터넷진흥원(KISA)에 신고했다. 같은달 27일 서울경찰청 사이버수사대가 서울시설공단에 따릉이 회원정보 유출이 의심되는 정황을 공유한 데 따른 후속조치다. 유출 규모와 범위, 피해 여부 등은 경찰에서 수사 중이다.
이번 사태 관련 개인정보 유출 건수는 아직 확인되지 않고 있다. DDoS 공격 당시 따릉이 가입자 규모인 최대 455만명의 개인정보 유출 가능성이 있다. 따릉이 필수 수집 정보인 아이디, 휴대전화 번호와 선택 수집 정보인 이메일 주소, 생년월일, 성별, 체중 등 6개 항목이 유출 가능성이 있는 개인정보다.
서울시는 향후 경찰 수사와 개인정보위 조사결과를 바탕으로 재발 방지를 위한 관리·감독체계를 강화할 방침이다. 경찰 수사 이후 따릉이 관련 보안 시스템도 강화할 계획이다.
박종진 기자 truth@etnews.com
