서울 공공자전거 따릉이 애플리케이션(앱)을 운영하는 서울시설공단이 개인정보유출 사실을 알고도 2년 가까이 아무런 조치를 하지 않고 숨긴 것으로 확인됐다.

서울시는 감사를 통해 구체적인 사실 여부를 파악하고, 관련자들을 조사하겠다고 밝혔다.

서울시는 6일 시청에서 브리핑을 열고 “내부 조사 과정에서 공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다”고 발표했다.

시는 개인정보보호위원회와 한국인터넷진흥원에도 해당 사실을 신고하고, 향후 경찰 수사와 개인정보보호위원회 조사 결과를 바탕으로 재발 방지를 위해 관리·감독 체계를 강화할 방침이다.

시에 따르면 따릉이 앱은 2024년 6월 28∼30일 분산서비스거부(DDoS·디도스)로 추정되는 사이버공격에 전산이 마비됐다. 당시 공단은 관계기관에 ‘장애 발생’ 이라고 신고했다.

그 후 서버 보안업체가 사이버공격에 대한 분석 보고서를 그해 7월 18일 공단에 제출했다. 이 보고서에는 ‘개인정보가 유출됐다’는 사실이 담겨 있었다.

공단은 그러나 당시 개인정보 유출과 관련해 아무런 조치를 하지 않았다. 서울시에도 보고 하지 않았다. 대신 사이버공격에 대비한 보안 강화 조치만 취했다.

공단이 개인정보 유출을 알고도 이를 숨긴 사실은 최근 경찰 수사에서 따릉이 앱 개인정보 유출이 확인되고 시가 자체 조사를 하는 과정에서 확인됐다.

한정훈 서울시 교통운영관은 “시에서 내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안 업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 뒤늦게 알게 됐다”고 말했다.

시는 향후 감사를 통해 공단에서 유출 사실을 알고 있던 사람이 누구인지, 어떻게 보고가 누락했는지 등을 파악할 방침이다.

또 관련자들을 직무에서 배제하고 법률검토를 거쳐 경찰에 수사를 의뢰할 계획이다. 그 외 개인정보 관리 지침이나 보고체계에 미비점이 있었는지에 대해서도 점검할 예정이다.

한 운영관은 개인정보 유출 범위에 대해 “2024년 7월 이후로는 개인정보 유출 피해 사례가 접수되지는 않고 있다”고 밝혔다.

개인정보가 유출된 회원 수가 450만을 넘을 것이라는 예측과 관련해서는 “유출 시점으로 추정되는 2024년 6월 당시 따릉이 앱의 전체 회원 수가 455만이라 유출 가능한 최대 인원 숫자가 알려진 것으로 보인다”고 말했다.

한 운영관은 “개인정보 유출 회원 수는 경찰 수사에서 확인될 것”이라며 “필수 수집 정보와 선택 정보 이외에도 다른 정보가 추가로 유출됐는지는 시에서 확인하지 못했다. 경찰 수사를 지켜봐야 한다”고 덧붙였다.

시는 수사결과가 나오는대로 피해자들에게 개별적으로 유출사실을 통보하고, 보상방안을 검토할 계획이다. 시는 현재 비상 대응 센터와 피해 접수센터를 운영하고 있다. 다만 유출 사실이 알려진 뒤 접수된 추가 피해 신고는 현재까지 없는 것으로 알려졌다.

따릉이 가입자는 현재 약 500만 명이다. 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중 등이다. 시는 따릉이 앱 보안을 강화하기 위한 컨설팅용역을 발주해 재발 방지 대책을 마련할 계획이다.

한 운영관은 서울시의 관리·감독 부실 지적에 대해 “시가 감독 기관인 만큼 시에도 관리·감독 책임이 있는 것으로 알고 있다”며 “법적 책임은 검토해봐야 할 사항”이라고 답했다.