2024년 디도스 공격 한 달 뒤 보안업체 개인정보 유출 파악
서울시설공단, 서울시 등에 미보고…“수사 요청”

서울 공공자전거 ‘따릉이’ 앱을 운영하는 서울시설공단이 2024년 사이버 공격 당시 개인정보 유출 사실을 인지하고도 초동 조치를 하지 않은 것으로 드러났다. 서울시는 서울시설공단의 관련팀을 서울시 경찰청에 수사 요청했다.



한정훈 서울시 교통운영관은 6일 브리핑을 열고 “내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다”고 밝혔다. 이어 “현재 관련 수사가 진행 중인 만큼 공단의 초동 조치 미흡 사실을 경찰에 통보해 수사가 이뤄지도록 할 예정”이라고 설명했다.

또 “개인정보보호위원회와 한국인터넷진흥원에도 이 사실을 신고하고, 향후 경찰 수사와 개인정보보호위 조사 결과를 바탕으로 재발 방지를 위해 관리·감독 체계를 강화할 방침”이라고 덧붙였다.

아울러 “개인정보 유출 사건과 관련해 시민 여러분께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다”며 고개를 숙였다.

따릉이 앱은 2024년 6월 28∼30일 분산서비스거부(DDoS·디도스)로 추정되는 사이버 공격에 전산이 80여분 동안 마비됐다. 당시 공단은 관계기관에 장애 발생 사실을 신고했고 이후 서버 보안업체가 사이버 공격에 대해 분석한 보고서를 7월 18일 제출했다. 10페이지 분량의 보고서에는 아이디 등 6개 항목의 개인정보가 유출됐다는 사실이 담겼지만 공단은 시에 보고하지 않았다는 것이 시의 설명이다.



초동 대처 미흡 사실은 최근 경찰이 수사를 통해 따릉이 앱 개인정보 유출을 확인하고 통보한 뒤 시가 사실관계를 파악하는 과정에서 드러났다. 한 운영관은 “경찰이 다른 사이버 범죄 사건을 수사하던 중 피의자의 컴퓨터에 따릉이 관련 정보가 있어서 공단에 지난달 27일 통보해왔다”며 “시에서 내부적으로 사실관계를 확인하던 중 2024년 7월 공단이 보안 업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 뒤늦게 알게 됐다”고 했다.

시는 향후 감사를 통해 공단 내에서 개인정보 유출 사실을 알고 있던 이들이 누구인지, 어떤 경위로 보고를 누락했는지 등을 파악하겠다고 밝혔다. 시는 이날 오후 3시쯤 서울시경찰청에 서울시설공단 공공자전거운영처 시스템 관리팀에 대한 수사를 요청했다.

개인정보 유출 범위에 대해선 “2024년 7월 이후로 개인정보 유출 피해 사례가 접수되지는 않고 있다”고 밝혔다. 당시 따릉이 가입자 수를 감안하면 최대 450만명의 정보가 유출됐을 가능성이 있다. 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중 등이다.