서울시 공공자전거 ‘따릉이’에서 회원정보 유출 정황이 드러났다. 불과 석 달 전 성과를 대대적으로 홍보했던 서울시 행정이 책임론을 피하기 어렵게 됐다.
6일 서울시는 시청 브리핑에서 따릉이 회원정보 유출 정황과 관련해 “시민 여러분께 큰 심려와 불편을 끼쳐드려 사과드린다”고 밝혔다. 한정훈 교통운영관은 서울시설공단이 과거 유출 사실을 확인하고도 서울시에 보고하지 않아 필요한 조치가 이뤄지지 못했다고 말했다.
서울시에 따르면 공단은 지난 2024년 6월 28~30일 디도스로 추정되는 사이버 공격으로 당시 서버가 약 80분 중단된 사실만 공유했고, 이후 KT 클라우드 측 분석 보고서에서 개인정보 유출이 확인됐다는 내용은 7월17일에 파악하고도 시에 알리지 않았다는 게 시 설명이다.
이번 사안은 지난달 말 경찰이 따릉이 회원정보 유출 의심 정황을 서울시에 통보하면서 수면 위로 올라왔다. 유출 규모는 최대 450만명까지 거론됐다. 한 운영관은 “보고서에서 언급된 정보는 아이디와 휴대전화 번호, 성별, 이메일, 주소, 체중, 생년월일 등”이라며 “정확한 유출 건수는 아직 확인되지 않았다”고 설명했다.
유출 의혹이 알려진 이후 서울시는 내부 점검에 착수하고, 서울시설공단과 함께 비상대응센터와 피해접수센터를 가동했다. 개인정보보호위원회 등 관계기관에 신고하고 따릉이 시스템 전반에 대한 보안 점검과 강화 조치에도 들어갔다고 밝혔다. 서울시는 현재까지 접수된 피해 건수는 없다고 밝혔다.
다만 1차적 책임 주체가 공단이라는 서울시 설명에도 불구하고, 관리·감독 책임에서 시가 자유롭기 어렵다는 지적도 나온다. 따릉이는 서울시가 사업 주체로서 정책을 총괄하고, 서울시설공단에 운영을 위탁해 관리하는 구조다. 한 운영관 역시 “법적으로 더 검토할 부분이지만, 시는 감독 기관으로서 관리·감독 책임이 있다”고 말했다.
유출 사태가 불거지기 불과 석 달 전만 해도 서울시는 따릉이 성과를 전면에 내세운 홍보에 집중했다. 시는 지난해 11월 따릉이 도입 10주년을 맞아 누적 이용 건수 2억5000만회 돌파, 회원 수 증가 등을 강조한 보도자료를 배포했다. 당시 자료에는 서비스의 개인정보 보호 수준이나 보안 체계 점검·강화와 관련한 내용은 포함되지 않았다.
서울시는 공단의 보고 누락 경위와 책임 소재를 두고 사실관계 확인이 필요하다는 입장이다. 시 관계자는 “누가 어디까지 인지하고 있었는지는 수사나 감사 결과를 통해 확인해야 할 부분”이라며 “형법상 고발 여부를 판단하기 위해서도 감사 등 사전 사실관계 확인을 검토하고 있다”고 말했다.
한편 서울시는 이날 오후 언론 공지를 통해 오후 3시쯤 서울시경찰청에 서울시설공단 공공자전거운영처 시스템관리팀에 대한 수사를 요청했다고 전했다.
