서울시설공단, 보안업체 '유출 확인' 보고서 받고도 은폐
최대 455만명 정보 유출 추정
서울시 "보고 누락 관련자 경찰에 통보·개인정보보호위 신고"
최대 455만명 정보 유출 추정
서울시 "보고 누락 관련자 경찰에 통보·개인정보보호위 신고"
|
한정훈 서울시 교통운영관은 6일 시청 브리핑에서 "내부 조사 결과 시설공단이 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출을 인지하고도 아무런 조치를 취하지 않아 초기 대응이 전혀 이뤄지지 않았다"고 밝혔다.
그러면서 "개인정보 유출 사건으로 시민 여러분께 심려를 끼쳐드린 점 진심으로 사과드린다"며 고개를 숙였다.
시에 따르면 따릉이 앱은 2024년 6월 28∼30일 디도스(DDoS) 공격으로 추정되는 사이버 공격을 받아 전산이 마비됐다. 당시 공단은 관계기관에 장애 발생만 신고했다.
보안업체는 같은 해 7월 18일 사이버 공격 분석 보고서를 공단에 제출했으며, 이 보고서에는 개인정보 유출 사실이 명시돼 있었다. 그러나 공단은 서버 증설과 보안 강화 조치만 진행했을 뿐 개인정보 유출에 대해서는 어떠한 조치도 하지 않았고, 시에도 보고하지 않았다.
이 같은 사실은 최근 경찰이 다른 사이버 범죄 수사 중 피의자 컴퓨터에서 따릉이 관련 정보를 발견하면서 뒤늦게 드러났다.
한 운영관은 "경찰이 지난달 27일 공단에 통보해와 시가 사실관계를 확인하는 과정에서 2024년 7월 보고서를 이미 받았던 사실을 뒤늦게 알게 됐다"고 설명했다.
시는 향후 감사를 통해 공단 내 개인정보 유출 사실을 알고 있던 인물과 보고 누락 경위를 파악한 뒤 관련자를 직무 배제하고 법률 검토를 거쳐 경찰에 수사 의뢰할 방침이다.
아울러 개인정보보호위원회 및 한국인터넷진흥원에도 신고하고, 경찰 수사와 개보위 조사 결과를 바탕으로 재발 방지를 위한 관리·감독 체계를 전면 강화하기로 했다.
유출 규모와 관련해 따릉이 가입자는 약 500만명이며, 2024년 6월 당시 전체 회원 수가 455만명이었던 점을 고려하면 최대 이 수준까지 유출됐을 가능성이 있다.
필수 수집 정보는 아이디와 휴대전화 번호, 선택 정보는 이메일·생년월일·성별·체중 등이다. 경찰은 현재 유출 경로와 정확한 범위를 수사 중이다.
시 관계자는 "2024년 7월 이후 개인정보 유출 피해 사례가 접수되지는 않고 있다"며 "정확한 유출 회원 수와 추가 정보 유출 여부는 경찰 수사에서 확인될 것"이라고 말했다.
시는 향후 따릉이 앱 보안 강화 컨설팅 용역을 발주해 재발 방지 대책을 마련할 계획이다. 다만 공단의 보고 누락과 초동 대처 실패가 일차적 책임이지만, 산하기관의 중대 사안을 2년 가까이 파악하지 못한 시의 관리 책임도 피할 수 없다는 지적이 나온다.
이에 대해 한 운영관은 "감독 기관으로서 시에도 관리감독 책임이 있는 것으로 알고 있다"며 "법적 책임은 검토가 필요한 사항"이라고 답했다.
|
