[더팩트ㅣ정소양 기자] 서울시 공공자전거 '따릉이' 회원 개인정보 유출 사실을 서울시설공단이 1년 넘게 인지하고도 상급기관에 보고하지 않은 사실이 드러났다. 서울시는 관련자와 서울시설공단의 초동 조치 미흡 사실을 경찰에 통보해 추가 수사가 이뤄지도록 할 예정이다.
한정훈 서울시 교통운영관은 6일 오전 서울시청에서 열린 브리핑에서 "따릉이 회원 개인정보 유출 사건으로 시민 여러분께 큰 심려와 불편을 끼쳐드린 점에 대해 진심으로 사과드린다"며 이같이 밝혔다.
한 운영관은 "지난 1월 27일 서울경찰청으로부터 따릉이 회원 정보 유출 의심 정황을 통보받은 직후 내부 조사를 실시했다"며 "조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 관련 사이버 공격 당시 개인정보 유출 사실을 확인하고도 시에 보고하지 않고, 관련 기관 신고 등 적절한 조치를 취하지 않은 사실을 확인했다"고 말했다.
서울시에 따르면 2024년 6월 28일부터 30일까지 따릉이 앱 서버를 겨냥한 디도스(DDoS) 공격이 발생했고, 이후 같은 해 7월 KT 클라우드 서버 관리 용역업체가 개인정보 유출 정황을 담은 보고서를 서울시설공단에 전달했다. 그러나 공단은 개인정보 유출 사실을 인지하고도 개인정보보호위원회 신고나 시민 공지 등 법에 따른 후속 조치를 하지 않은 채 1년 7개월가량 이를 방치한 것으로 나타났다.
개인정보보호법 제34조에 따르면 개인정보 유출 사실을 인지한 경우 지체 없이 관계 기관에 신고하고 정보주체에게 이를 알려야 한다. 한 운영관은 "당시 이런 절차가 이행되지 않아 책임 있는 초동 대응이 이뤄지지 못했다"고 인정했다.
사건은 이후 경찰이 별도의 사이버 범죄 피의자를 수사하는 과정에서 해당 피의자의 컴퓨터에서 따릉이 회원 정보가 발견되면서 수면 위로 떠올랐다. 경찰은 지난달 27일 서울시설공단에 개인정보 유출 의심 정황을 통보했고, 그제서야 공단과 서울시가 공동으로 진상 파악에 착수했다.
서울시는 현재 개인정보보호위와 경찰 수사가 진행 중인 만큼, 서울시설공단의 보고 누락 및 초동 조치 미흡 사실을 추가로 수사기관에 통보해 조사가 이뤄지도록 할 방침이다. 또한 해당 사실을 개인정보보호위원회와 한국인터넷진흥원(KISA)에 공식 신고하고, 향후 수사 및 조사 결과에 따라 재발 방지를 위한 관리·감독 체계를 강화하겠다고 밝혔다.
다만 이번 유출과 관련해 추가 피해는 아직 확인되지 않았다. 그러나 2024년 당시 따릉이 회원 수가 약 450만 명에 달했던 점을 감안하면, 대규모 유출 가능성도 배제할 수 없다는 설명이다. 구체적인 유출 건수와 개인별 유출 항목은 경찰 수사를 통해 최종적으로 확인될 사안이라며, 현 단계에서 단정적인 수치를 언급하기는 어렵다고 선을 그었다.
서울시는 유출 의심 정황을 인지한 직후 비상대응센터와 피해 접수 창구를 가동해 상황을 모니터링하고 있다. 현재까지 명의 도용이나 금전 피해 등 2차 피해 신고는 접수되지 않은 것으로 파악됐다.
향후 피해 사실이 확인될 경우에는 개인정보보호위원회 산하 분쟁조정 절차 등을 통해 손해배상 등 보상 방안을 검토하겠다는 입장이다. 한 운영관은 "개인정보 관리의 직접적인 주체는 서울시설공단이고, 서울시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재를 명확히 하고, 필요한 경우 직무 배제 등 후속 조치도 검토하겠다"고 말했다.
아울러 서울시는 이번 사안을 계기로 내부 감사 착수 여부도 검토 중이다. 개인정보 유출 사실을 알고도 조치를 취하지 않은 경위와, 보고 과정에서 관리·감독상 문제가 있었는지 등을 중심으로 사실 관계를 확인할 방침이다. 조사 결과에 따라 관련 내용은 수사 기관에 통보하는 방안도 검토하고 있다. 다만 형사 절차가 전제되는 사안인 만큼 구체적인 통보 대상이나 책임 범위 등에 대해서는 신중한 입장을 보였다.
한정훈 운영관은 "이번 사태의 조속한 수습과 시민 신뢰 회복을 위해 최선을 다하겠다"며 "재발방지를 위한 관리·감독 체계를 강화해 나갈 방침"이라고 밝혔다.