[서울=뉴시스] 이재은 기자 = 서울시가 6일 공공자전거 '따릉이'의 개인정보 유출 사실을 알고도 묵인한 서울시설공단 관계자를 경찰에 수사 요청했다고 밝혔다.

시는 "이날 오후 3시 서울시경찰청에 서울시설공단 공공자전거운영처 시스템관리팀에 대한 수사를 요청했다"며 "해당 팀이 2024년 7월 개인정보 유출 상황을 인지하고도 개인정보보호위원회 신고 등 법정 의무를 다하지 않은 정황이 확인돼 개인정보보호법 및 형법 위반 의혹이 있다고 판단했다"고 밝혔다.

서울시설공단은 2024년 6월 공공자전거 따릉이앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않은 것으로 조사됐다.

시는 이날 브리핑을 열고 내부 조사 과정에서 당시 공단이 초기 대응을 하지 않은 사실을 확인했다고 밝혔다.

한정훈 교통운영관은 "지난 1월 27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 즉각 내부 조사를 실시했다"며 "조사 과정에서 공단이 2024년 7월 개인정보 유출 사실을 확인하고도 적절한 조치를 취하지 않은 사실을 확인했다"고 말했다.

시에 따르면 2024년 6월28일부터 30일까지 따릉이 앱 서버를 겨냥한 디도스(DDoS) 공격이 발생했다. 시는 따릉이 앱이 약 80분간 다운되자 행정안전부에 장애 신고를 했다.

이후 같은 해 7월 KT 클라우드 서버 관리 용역업체가 개인정보 유출 정황을 담은 보고서를 서울시설공단에 전달했다. 그러나 공단은 개인정보 유출 사실을 인지하고도 개인정보보호위원회 신고나 시민 공지 등 법에 따른 후속 조치를 하지 않은 채 1년7개월가량 묵인했다.

시는 개인정보보호위원회 및 한국인터넷진흥원에 신고하고, 향후 경찰수사 및 개인정보보호위원회 조사결과를 바탕으로 재발방지를 위한 관리·감독 체계를 강화해 나갈 방침이다.

앞서 시는 지난달 30일 따릉이의 회원정보 유출 정황을 공개했다. 공단은 서울경찰청 사이버수사대로부터 지난달 27일 따릉이 회원 개인정보 유출이 의심되는 정황을 유선으로 전달 받았다고 밝혔다.

유출 회원 정보는 450만건 이상인 것으로 알려졌다. 현재 따릉이 가입자는 500만명 수준이다.

따릉이는 회원가입 등의 절차를 거쳐 이용할 수 있다. 유출된 정보는 이름, 아이디, 휴대전화번호, 성별, 이메일, 생년월일·체중 등 6개 항목인 것으로 알려졌다.

시는 유출 의심 정황을 인지한 직후 비상대응센터와 피해접수센터를 가동하고 있으며, 현재까지 명의 도용이나 금전 피해 등 2차 피해 신고는 접수되지 않았다고 밝혔다.

한 운영관은 "개인정보 관리의 직접적인 주체는 서울시설공단이고, 서울시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재를 명확히 하고, 필요한 경우 직무 배제 등 후속 조치도 검토하겠다"고 말했다.


◎공감언론 뉴시스 lje@newsis.com