서울시설公, 따릉이 정보유출 알고도 방치…"추가 피해 미확인"(상보)

[이데일리 이영민 기자] 서울시설공단이 2024년 6월 디도스에 의해 따릉이 애플리케이션 회원 정보가 유출됐음을 알고도 묵인한 것으로 드러났다. 서울시는 지난달 공개된 따릉이 회원 450만 명의 개인정보 유출 가능성과 관련해 내부조사를 진행하는 과정에서 전날 이 사실을 인지했다고 6일 밝혔다.

서울시설공단 공공 자전거 ‘따릉이’. 사진=연합뉴스

◇서울시, 보고누락 신고·재발방지 체계 강화…2차피해 가능성 검토

이날 오전 열린 ‘따릉이 개인정보 유출 사건’ 브리핑에서 서울시는 시설관리공단이 1년 6개월 전 개인정보 유출 사실을 확인하고도 보고를 빠뜨렸다고 밝혔다. 한정훈 서울시 교통실 교통운영관은 “내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 애플리케이션 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다”고 말했다. 이어 “(보고누락을) 개인정보보호위원회와 한국인터넷진흥원에 신고하고 향후 경찰수사와 개인정보보호위원회 조사결과를 바탕으로 재발방지를 위한 관리·감독 체계를 강화해 나갈 방침”이라고 했다.

개인정보 유출 규모와 내용은 현재 정확히 확인되지 않았다. 전체 정보가 유출됐을 경우 당시 따릉이 애플리케이션 가입자 수인 약 450만 건이 유출됐을 것으로 추정된다. 회원 가입 시 필수 개인정보는 이름과 휴대전화 번호이고, 선택 기재 정보는 생년월일, 주소 등인 것으로도 전해졌다.

시는 2차 피해 가능성에 대해 여러 사례를 검토하고 있다. 현재 이 사건과 관련해 비상 대응 센터와 피해 접수센터를 운영하고 있다. 유출 사실이 알려진 뒤 접수된 추가 피해 신고는 아직 없는 것으로 나타났다. 시는 어떤 항목이 유출됐는지 수사결과가 나오면 이에 따라 개별적으로 유출사실을 통보하고 보상방안을 검토할 계획이라고 밝혔다. 개인정보보호의 1차적인 법적 책임은 개인정보보호법상 정보처리 주체인 공단에 있다. 하지만 따릉이 운영을 맡긴 서울시도 관리·감독 기관으로서 도의적인 책임을 피하기 어려울 전망이다.

6일 서울시청 브리핑룸에서 한정훈 서울시 교통운영관이 지난 2024년 6월 따릉이앱 개인정보 유출 관련 브리핑을 하고 있다.(사진=연합뉴스)

◇산하기관 사이버공격 시 개인정보 유출 점검 지침 없어

이번 개인정보 유출은 서울시설공단과 서울시 간의 보고체계가 무시되면서 1년 6개월 만에 수면 위로 드러났다. 서울시와 시설관리공단에 따르면, 해당 유출은 2024년 4월 디도스(DDoS·분산서비스거부) 공격이 국내에 집중된 시기 발생한 것으로 추정된다. 따릉이 애플리케이션은 그해 6월 28일부터 30일까지 이 공격에 의해 80분간 접속 장애를 일으켰고, 이 사실을 보고받은 시는 행전안전부 디지털안전상황실에 신고했다.

공단 측은 같은 해 7월 8일 서버를 관리하는 KT 클라우드 측으로부터 정보 유출 정황이 있다는 보고서를 받은 것으로 확인됐다. 하지만 이 사실은 서울시로 보고되지 않았다. 그러다가 지난달 27일 공단은 서울경찰청 사이버수사대로부터 서울자전거 ‘따릉이’ 회원 정보 유출이 의심되는 정황을 유선으로 전달받았고, 시는 전날에서야 공단이 개인정보호위원회에 제출한 서류에 KT 보고서가 있음을 인지했다.

해당 보고서에는 서버 다운 당시에 개인정보 유출이 확인된다는 내용이 담긴 것으로 전해졌다. 실무자급에서 시작된 것으로 알려진 정보누락이 어느 선에서 결정된 것인지는 명확히 확인되지 않았다. 시는 정확한 정황을 파악하기 위해 감사와 관계자 직무배제 등을 검토하고 있다고 밝혔다.

한편 서울시에는 산하기관에 대한 사이버공격 발생 시 개인정보 유출을 점검하도록 하는 내부 지침이 없는 것으로 파악됐다. 시 관계자에 따르면 “기관별로 특성이 다 다르기 때문에 서버 용량이나 보안장비 등에 따라서 대처법이 다 다르다. 그래서 똑같은 공격이 있어도 상황별로 (대응책이) 다 다르다”며 “이런 점 때문에 시에서는 전체적인 보안 가이드 라인이나 교육을 제공하고 있다”고 설명했다.