아이디·전화번호·생년월일 포함
회원정보 유출규모 450만건 달해
시간대·동선 결합 범죄악용 우려
서울시·시설공단, 비상대응 가동
서울시 공공자전거 서비스 '따릉이'에서 대규모 개인정보 유출정황이 확인됐다. 생활플랫폼을 겨냥한 유출사고가 민간을 넘어 공공으로 번지는 흐름이다.
1일 개인정보보호위원회와 수사당국 등에 따르면 서울경찰청 사이버수사대는 최근 다른 사건을 수사하던 중 따릉이 회원정보가 외부로 빠져나간 정황을 포착했다. 경찰은 이를 서울시설공단에 통보했다. 공단과 서울시는 즉각 사실확인에 착수했다.
현재까지 파악된 유출규모는 약 450만건이다. 전체 가입자가 500만명을 웃도는 점을 감안하면 상당수 이용자 정보가 노출됐을 가능성이 크다. 유출항목에는 아이디, 휴대전화 번호, 생년월일, 주소 등 개인식별 정보가 포함된 것으로 전해졌다. 이름과 주민등록번호는 수집대상이 아니어서 포함되지 않았고 결제정보는 외부 결제대행사를 통해 관리돼 이번 사고와 무관하다는 설명이다. 다만 이용자가 임의로 입력한 개인정보는 포함됐을 가능성이 있다.
유출시점은 지난해 4월 전후로 추정된다. 당시 서울시를 포함한 여러 공공기관에 디도스(DDos·분산서비스거부) 공격이 잇따른 시기와 겹친다. 경찰은 해킹 가능성에 무게를 두고 서버로그와 접속기록을 분석 중이다.
서울시는 비상대응 체계를 가동했다. 시스템 전반에 대한 보안점검과 강화조치에 들어갔다. 개인정보보호위원회와 한국인터넷진흥원에도 신고를 마쳤다. 따릉이 데이터는 단순 회원정보와 다르다. 이용시간과 동선이 결합된 위치 기반 정보다. 2차 범죄에 악용될 위험이 크다.
공공부문 보안실태에 대한 우려가 커진다. 감사원이 최근 발표한 '개인정보보호 및 관리실태' 감사보고서에 따르면 감사원은 화이트해커 11명을 투입해 공공부문 집중관리시스템 7곳을 모의해킹했다. 그 결과 7곳 모두에서 권한이 없는 타인의 개인정보 조회가 가능한 취약점이 확인됐다. 일부 시스템은 관리자 권한탈취시 수만 명 규모의 주민등록번호까지 빼낼 수 있는 구조였다.
공공부문 개인정보 유출의 95.5%가 외부해킹에 의해 발생했는데도 그간 대책은 내부자 통제에 치우쳐 있었다는 지적도 나왔다. 접근권한 말소누락, 웹사이트 주소 현행화 미흡 등 기본적인 관리문제도 확인됐다. 사실상 공공시스템이 외부침입에 무방비 상태였다는 감사결과다.
독자들의 PICK!
송경희 개인정보보호위원장은 최근 "공공기관도 개인정보 유출사고의 예외가 될 수 없다"고 밝혔다. 민간과 공공을 구분하지 않겠다는 메시지다.
서울시는 피해가 확인될 경우 즉시 안내와 후속조치에 나설 계획이다. 관련 신고는 다산콜센터와 서울시설공단 콜센터, 이메일을 통해 접수한다.
