서울시설공단, 보안업체 '유출 확인' 보고서 받고도 미조치
서울시 "개인정보보호위 신고…공단 감사 및 재발 방지책 마련"
(서울=연합뉴스) 황재하 기자 = 서울 공공자전거 '따릉이' 애플리케이션(앱)을 운영하는 서울시설공단이 개인정보 유출 사실을 알고도 2년 가까이 조치하지 않았던 것으로 드러나 경찰 수사를 받게 됐다.
서울시는 6일 오전 시청에서 브리핑을 열어 "내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다"고 밝혔다.
시는 이날 오후 서울경찰청에 서울시설공단 공공자전거운영처 시스팀관리팀에 대한 수사를 요청했다.
시는 "해당 팀이 개인정보 유출 상황을 인지하고도 개인정보보호위원회 신고 등 관련 의무를 다하지 않아 개인정보보호법과 형법 등 위반 의혹이 있다고 판단했다"고 설명했다.
또 "개인정보보호위원회와 한국인터넷진흥원에도 이 사실을 신고하고, 향후 경찰 수사와 개인정보보호위 조사 결과를 바탕으로 재발 방지를 위해 관리·감독 체계를 강화할 방침"이라고 덧붙였다.
시에 따르면 따릉이 앱은 2024년 6월 28∼30일 분산서비스거부(DDoS·디도스)로 추정되는 사이버공격에 전산이 마비됐고, 당시 공단은 관계기관에 장애 발생 사실을 신고했다.
이후 서버 보안업체가 사이버공격에 대해 분석한 보고서를 같은 해 7월 18일 공단에 제출했는데, 이 보고서에 개인정보가 유출됐다는 사실이 담겼다.
하지만 공단은 당시 사이버공격에 대비한 서버 증설과 보안 강화 조치를 하면서도 개인정보 유출과 관련해서는 조치하지 않았고, 시에 보고하지도 않았다.
이처럼 공단이 개인정보 유출 사실을 알고도 침묵했던 사실은 최근 경찰 수사에서 따릉이 앱 개인정보 유출 사실이 확인되고 시가 사실관계를 파악하는 과정에서 드러났다.
[서울시 제공. 재판매 및 DB금지]
한정훈 서울시 교통운영관은 "경찰이 다른 사이버범죄 사건을 수사하던 중 피의자의 컴퓨터에 따릉이 관련 정보가 있어 공단에 지난달 27일 통보해왔다"며 "내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안 업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 지난 5일 뒤늦게 알게 됐다"고 말했다.
시는 관련자들을 직무에서 배제하고 향후 감사를 통해 공단 내에서 개인정보 유출 사실을 알고 있던 이들이 누구인지, 어떤 경위로 보고를 누락했는지 등을 파악할 계획이다.
개인정보 관리 지침이나 보고체계상 미비점이 있었는지에 대해서도 내부적으로 추가 파악할 방침이다.
다만 시는 "2024년 7월 이후로 개인정보 유출 피해 사례가 접수되지는 않고 있다"고 밝혔다.
따릉이 가입자는 약 500만명이며 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중 등이다. 경찰은 유출 경로와 범위를 수사 중이다.
시 관계자는 개인정보가 유출된 회원 수가 450만을 넘는다고 알려진 것에 대해 "유출 시점으로 추정되는 2024년 6월 당시 따릉이 앱의 전체 회원 수가 455만이라 유출 가능한 최대 인원 숫자가 알려진 것으로 보인다"며 "정확한 유출 규모는 경찰 수사에서 확인될 것으로 보인다"고 부연했다.
시는 향후 따릉이 앱 보안을 강화하기 위한 컨설팅용역을 발주해 재발 방지 대책을 마련할 계획이다.
공단의 보고 누락과 초동 대처 미흡이 일차적인 잘못이지만, 산하기관의 중요 사안을 2년 가까이 파악하지 못한 시의 관리 책임도 면할 수 없을 것으로 보인다.
한 운영관은 "시민 여러분께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"며 "(공단의) 감독 기관인 만큼 시에도 관리감독 책임이 있는 것으로 알고 있다. 법적 책임은 검토해봐야 할 사항"이라고 말했다.
jaeh@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
