서울시 공공자전거 서비스 '따릉이'에서 대규모 개인정보 유출 정황이 확인됐다. 생활 플랫폼을 겨냥한 유출 사고가 민간을 넘어 공공으로 번지는 흐름이다.
1일 개인정보보호위원회와 수사 당국 등에 따르면 서울경찰청 사이버수사대는 최근 다른 사건을 수사하던 중 따릉이 회원 정보가 외부로 빠져나간 정황을 포착했다. 경찰은 이를 서울시설공단에 통보했다. 공단과 서울시는 즉각 사실 확인에 착수했다.
현재까지 파악된 유출 규모는 약 450만건이다. 전체 가입자가 500만명을 웃도는 점을 감안하면 상당수 이용자 정보가 노출됐을 가능성이 크다. 유출 항목에는 아이디, 휴대전화 번호, 생년월일, 주소 등 개인 식별 정보가 포함된 것으로 전해졌다. 이름과 주민등록번호는 수집 대상이 아니어서 포함되지 않았고, 결제 정보는 외부 결제대행사를 통해 관리돼 이번 사고와 무관하다는 설명이다. 다만 이용자가 임의로 입력한 개인정보는 포함됐을 가능성이 있다.
유출 시점은 지난해 4월 전후로 추정된다. 당시 서울시를 포함한 여러 공공기관에 디도스 공격이 잇따르던 시기와 겹친다. 경찰은 해킹 가능성에 무게를 두고 서버 로그와 접속 기록을 분석 중이다.
서울시는 비상 대응체계를 가동했다. 시스템 전반에 대한 보안 점검과 강화 조치에 들어갔다. 개인정보보호위원회와 한국인터넷진흥원에도 신고를 마쳤다.
따릉이 데이터는 단순 회원 정보와 다르다. 이용 시간과 이동 동선이 결합된 위치 기반 정보다. 2차 범죄에 악용될 위험이 크다.
공공부문 보안 실태에 대한 우려가 커지고 있다. 감사원이 최근 발표한 '개인정보 보호 및 관리실태' 감사보고서에 따르면, 감사원은 화이트해커 11명을 투입해 공공부문 집중관리시스템 7곳을 모의 해킹했다. 그 결과 7곳 모두에서 권한이 없는 타인의 개인정보 조회가 가능한 취약점이 확인됐다. 일부 시스템은 관리자 권한 탈취 시 수만명 규모의 주민번호까지 빼낼 수 있는 구조였다.
공공부문 개인정보 유출의 95.5%가 외부 해킹에 의해 발생했는데도, 그간 대책은 내부자 통제에 치우쳐 있었다는 지적도 나왔다. 접근 권한 말소 누락, 웹사이트 주소 현행화 미흡 등 기본적인 관리 문제도 확인됐다. 사실상 공공 시스템이 외부 침입에 무방비 상태였다는 감사 결과다.
송경희 개인정보보호위원장은 최근 "공공기관도 개인정보 유출 사고의 예외가 될 수 없다"고 밝힌 바 있다. 민간과 공공을 구분하지 않겠다는 메시지다. 앞서 쿠팡 정보유출 사안에 강경 기조를 밝힌 상황에서, 공공이라고 다른 잣대를 적용하기는 어렵다는 관측이 나온다.
서울시와 운영 주체의 관리 책임도 도마에 오를 전망이다. 시민 다수가 사용하는 도시 인프라 서비스에서 위치 기반 개인정보 유출 정황이 확인됐다는 점에서 파장이 크다.
서울시는 피해가 확인될 경우 즉시 안내와 후속 조치에 나설 계획이다. 관련 신고는 다산콜센터와 서울시설공단 콜센터, 이메일을 통해 접수하고 있다.