서울시 공공자전거 서비스 '따릉이' 이용자의 개인정보 유출 사실이 확인된 가운데 관리기관인 서울시설공단이 이를 사전에 인지하고도 고의로 은폐했는지에 대한 조사가 본격화하고 있다.
공단이 개인정보 유출 사실을 사전에 알고도 알리지 않았다면 직무유기 등 형법을 비롯해 개인정보보호법 등 위반으로 처벌을 받게 된다.
8일 서울시와 정부 당국에 따르면 서울시설공단은 지난 2024년 7월 시스템 운영사인 KT클라우드로부터 개인정보 유출 사실을 보고받았음에도 이를 약 1년 6개월간 묵인했다는 의혹을 받고 있다.
서울시는 지난 5일 자체 조사 과정에서 이 같은 정황을 파악하고 경찰에 관련 내용을 공유했으며, 공단을 상대로 자체 감사 여부를 검토 중이다.
당초 서울시는 서울시설공단이 서울경찰청 사이버수사대로부터 유출 의심 정황을 전달받은 지난달 27일을 최초 인지 시점이라고 밝혔으나, 공단이 2024년에 해당 사실을 인지했다는 정황이 드러났다.
이번 정보 유출은 2024년 발생한 디도스(DDoS·분산서비스거부) 공격이 원인이 된 것으로 추정되며, 당시 가입자 규모인 최대 455만명의 정보가 노출됐을 가능성이 크다는 관측이 나온다.
유출 대상 정보에는 아이디, 휴대전화번호 등 필수 정보와 이메일, 생년월일, 성별, 체중 등 선택 정보가 포함됐을 가능성이 있다. 이름과 주소는 수집 대상이 아니었다는 것이 공단 측의 설명이다.
관리자가 유출 사실을 알고도 고의적으로 알리자 않았다면 형법상 처벌을 받을 수 있다. 직무유기, 업무상 배임 등 혐의가 적용될 수 있다는게 법조계 해석이다.
신고 의무를 위반한 행정적 과오를 넘어 조직적인 은폐 시도가 있었다면 직무유기, 행정적 조치를 의도적으로 취하지 않아 결과적으로 서울시나 공단에 재정적·사회적 손실을 끼쳤다면 배임 혐의가 성립할 수 있다.
개인정보보호법에 따른 처벌도 피할 수 없다. 현행 개인정보보호법 시행령은 개인정보 유출 사실을 인지한 후 72시간 이내에 관계 기관에 신고할 것을 명시하고 있다.
개인정보보호위원회는 서울시설공단의 은폐 사실이 밝혀질 경우 과징금 가중 산정 등 최고 수준의 행정처분을 내릴 방침이다.
위원회는 유출 경위와 은폐 의혹 전반에 대해 철저한 조사를 진행한 뒤, 결과에 따라 법적 책임을 엄중히 묻겠다고 강조했다.
박종진 기자 truth@etnews.com, 박진형 기자 jin@etnews.com
