서울시설공단, 2024년 7월 관리업체로부터 "개인정보 유출이 확인된다" 통보 받아
서울시, 지난 5일에서야 관련사실 인지 후 사실관계 확인 중
유출정확 묵인 수사의뢰하려면 감사 거쳐야
최대 450만명 유출 가능성에 서울시 관리 책임론 피하기 어려울 듯
서울시 산하 기관인 서울시설공단이 2년 전에 이미 따릉이 회원정보가 대규모로 유출된 정황을 확인하고도 관계기관에 신고하지 않은 것으로 확인됐다. 서울시설공단은 상급 기관인 서울시뿐 아니라 관련법에 따라 개인정보 유출시 72시간 내에 관련 사실을 신고해야 하는 개인정보보호위원회와 한국인터넷진흥원(KISA) 등에 신고해야 하지만 이런 조치를 하지 않았다. 이 때문에 450만명의 개인 정보가 유출된 것으로 알려진 이번 사태는 발생 2년 후에야 경찰 수사를 통해 알려졌다.
한정훈 서울시 교통운영관은 6일 오전 따릉이 개인정보 유출 관련 브리핑을 열고 "지난달 27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 즉각 내부 조사를 실시했고 그 과정에서 공단이 2024년 7월 개인정보 유출 사실을 확인하고도 적절한 조치를 하지 않은 사실을 확인했다"며 이같이 밝혔다.
서울시가 밝힌 경위에 따르면 전날(5일) 오후 3시쯤 시설공단 측에서 개인정보보호위에 제출한 문서 중 '침해사고 분석 보고서'의 존재를 서울시 실무자가 확인하면서 관련 사실을 인지했다. 앞서 따릉이를 운영하는 서울시 산하기관 서울시설공단은 지난달 27일 서울경찰청 사이버범죄수사대로부터 따릉이 개인정보가 유출된 정황이 있다는 통보를 받았다. 이후 개인정보보호법 시행령에 따라 서울시와 개인정보보호위원회(개보위)와 KISA 등에 관련 사실을 신고했고 개보위도 수사에 착수했다.
수사 과정에서 시설공단 측은 개보위에 'KT 침해사고 분석 보고서' 등을 포함한 자료를 제공하고 서울시에도 공유했다. KT 침해사고 분석보고서는 2024년 6월 있었던 디도스(DDoS·분산서비스거부) 공격 이후 피해를 조사한 자료인데 10여 쪽의 보고서에는 아이디, 휴대전화번호 등 6개 항목의 개인정보가 유출됐다는 내용이 담겼다. 해당 보고서는 따릉이 개인정보가 저장된 KT클라우드가 디도스 공격을 받은 후 보안업체에 피해분석을 의뢰해 작성된 것이다. 보안업체는 해당 보고서를 2024년 7월 시설공단측에 제공했지만 시설공단에선 서울시에 보고하지 않아 침해사실을 몰랐다는 게 서울시 설명이다.
서울시는 전날 관련 보고서의 존재를 인지한 즉시 사실 관계 확인에 나섰다. 시설공단 담당자 등을 상대로 사실관계 확인했고 현재까지 조직적 은폐 가능성은 낮은 것으로 보고 있다. 서울시 관계자는 "시설공단 측이 개인정보 유출 피해를 인지하고도 조치하지 않은 점에 대해서 감사를 진행할 예정"이라며 "감사를 통해 형법상 직무유기나 배임 등에 대한 사실관계가 확인이 되면 수사의뢰 등 형사적 절차를 진행할 것"이라고 말했다. 관련 사실 관계 확인 전까지 담당자에 대한 대기 발령 등 조치는 어렵다는 입장이다. 구체적인 은폐 정황 확인을 위해선 경찰 수사가 필요한 상황이다.
대응이 늦어지면서 개인정보 유출에 따른 피해를 확인할 길도 막막해졌다. 서울시는 경찰 수사 중인 상황이라 정확한 유출 건수를 알 수 없다는 입장이다. 2024년 따릉이 회원수가 456만명이었던 점을 감안하면 최대 450만건에 달하는 개인정보가 유출됐을 가능성도 배제할 수 없다. 당시 탈취된 개인정보를 악용해 범죄가 발생해도 피해자 입장에선 따릉이 가입 때 입력한 개인정보가 범죄에 사용됐다는 사실을 입증하기 어렵다. 서울시는 현재 비상대응센터와 피해접수센터를 가동하고 있다며 명의 도용이나 따릉이 사칭 문자 등 2차 피해 신고는 접수되지 않았다고 밝혔다.
