을 인지하고도 약 2년 가까이 별다른 조치를 하지 않았던 것으로 드러났다.
서울시는 6일 브리핑을 열고 "내부 조사 결과 서울시설공단이 2024년 6월 따릉이 앱에 대한 사이버 공격 당시 개인정보 유출 사실을 확인하고도 초기 대응을 하지 않은 사실을 확인했다"고 했다.
한정훈 서울시 교통운영관은 "개인정보 유출 사건으로 시민 여러분께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"며 "공단의 초동 조치 미흡 사실을 경찰에 통보해 수사가 이뤄지도록 할 예정"이라며 개인정보보호위원회와 한국인터넷진흥원에도 관련 사실을 신고했다고 했다.
시에 따르면 따릉이 앱은 2024년 6월 28∼30일 분산서비스거부(DDoS) 공격으로 전산 장애가 발생했고 당시 공단은 관계기관에 장애 발생 사실만 신고했다. 이후 서버 보안업체는 같은 해 7월 18일 사이버 공격 분석 보고서를 공단에 제출했다. 이 보고서에는 개인정보 유출 사실이 포함돼 있었다.
그러나 공단은 서버 증설과 보안 강화 조치만 진행했을 뿐 개인정보 유출과 관련한 후속 조치는 하지 않았고 서울시에도 보고하지 않은 것으로 나타났다. 이런 사실은 최근 경찰 수사 과정에서 따릉이 앱 개인정보 유출 정황이 확인되면서 드러났다.
한 운영관은 "경찰이 다른 사이버 범죄 사건을 수사하던 중 피의자 컴퓨터에서 따릉이 관련 정보가 발견돼 지난달 27일 공단에 통보했다"며 "이후 시가 사실관계를 확인하는 과정에서 공단이 이미 2024년 7월 보안업체로부터 개인정보 유출 내용을 담은 보고서를 받았다는 사실을 알게 됐다"고 설명했다.
시는 향후 감사를 통해 공단 내부에서 유출 사실을 알고 있던 인물이 누구인지, 어떤 경위로 보고가 누락됐는지 등을 조사할 방침이다. 관련자들은 직무에서 배제하고, 법률 검토를 거쳐 경찰에 수사 의뢰할 계획이다. 개인정보 관리 지침과 보고 체계의 미비점에 대해서도 추가로 점검한다는 방침이다.
서울시는 "2024년 7월 이후 개인정보 유출 피해 사례는 접수되지 않았다"고 했다. 따릉이 가입자는 약 500만명으로 필수 수집 정보는 아이디와 휴대전화 번호이며 이메일 주소, 생년월일, 성별, 체중 등은 선택 수집 정보다. 경찰은 현재 유출 경로와 범위를 수사 중이다.
시는 재발 방지를 위해 따릉이 앱 보안 강화를 위한 컨설팅 용역을 발주할 계획이다. 다만 공단의 보고 누락과 초동 대응 미흡뿐 아니라, 산하기관의 중대한 사안을 장기간 파악하지 못한 서울시의 관리·감독 책임 역시 피하기 어렵다는 지적이 나온다.
이송렬 한경닷컴 기자 yisr0203@hankyung.com