서울시설공단이 2024년 6월 공공자전거 따릉이앱의 사이버 공격 피해 당시 개인정보 유출 사실을 알고도 2년 가까이 적법한 보고 절차 없이 별다른 조치를 취하지 않은 정황이 드러났다.

한정훈 서울시 교통운영관은 6일 오전 시청 브리핑에서 "지난 1월27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 즉각 내부 조사를 실시, 조사 과정에서 공단이 2024년 개인정보 유출 사실을 확인하고도 적절한 조치를 취하지 않은 사실을 확인했다"면서 "개인정보 유출과 관련해 시민들께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"고 밝혔다.

서울시에 따르면, 따릉이앱은 2024년 6월28~30일 디도스(DDoS·분산서비스거부)로 추정되는 사이버 공격으로 인해 한때 전산이 마비되는 피해를 입었다.

같은 해 7월 중순, 한 서버 보안업체가 해당 사이버 공격에 대한 분석 보고서를 공단에 제출했다. 해당 보고서엔 개인정보 유출 사실이 담겨있었으나 공단 측은 사이버 공격에 대비한 서버 증설과 보안 강화 조치를 하면서도 개인정보 유출과 관련해선 조치하지 않았고, 서울시에도 보고하지 않았다. 개인정보보호위원회 신고나 시민 대상 공지 등도 없었다.

이번 사건은 경찰이 별개 사이버 범죄 사건을 수사하던 중 한 피의자의 컴퓨터에서 따릉이 관련 정보를 발견하고 지난 달 27일 서울시 측에 통보하면서 수면 위로 드러났다. 한 운영관은 경찰의 통보 후 상황에 대해 "시에서 내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 뒤늦게 알게 됐다"고 설명했다.

서울시는 향후 감사를 통해 공단 내에서 개인정보 유출 피해 사실을 인지했던 이가 누구인지, 정확히 어떤 경위로 보고가 누락됐는지 등을 파악할 방침이다. 또한 관련자들을 직무에서 배제하고 법률 검토를 거쳐 경찰에 수사를 의뢰하는 한편, 개인정보 관리 지침이나 보고 체계상 미비점이 있었는지 등도 조사한다.

일각에선 이번 사태와 관련해 서울시도 비판에서 자유롭긴 어려울 것이란 분석도 나온다. 관리 책임이 있는 서울시가 산하기관인 공단의 개인정보 유출 은폐 의혹을 2년 가까이 파악하지 못한 셈이어서다.

박선우 기자

https://v.daum.net/v/20260206143624720