서울시가 공공자전거 따릉이 회원정보 유출을 인지하고도 대응하지 않은 관련자를 수사기관에 통보했다. 2024년 발생한 해킹 당시 유출 사실을 확인하고도 약 2년 가까이 별도 조치를 하지 않은 것으로 드러나 관리 책임 논란이 커지고 있다.
서울시는 6일 오전 서울시청에서 브리핑을 열고 "내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다"고 밝혔다.
시는 당시 담당자 등을 특정해 수사기관에 전달하기로 했다. 공단의 초동 대응 미흡 정황도 경찰에 함께 통보할 방침이다. 원활한 수사를 위해 개인정보보호위원회와 한국인터넷진흥원에도 관련 사실을 신고한다.
앞서 서울시는 지난달 30일 따릉이 회원정보 유출 정황을 공개했다. 유출 규모는 450만건 이상으로 전체 가입자 약 500만명의 90% 수준에 달하는 것으로 파악됐다. 정보 유출은 2024년 디도스 공격이 집중됐던 시기에 발생한 것으로 조사됐다.
따릉이 앱이 수집하는 필수 정보는 아이디와 휴대전화 번호이며 선택 정보는 이메일, 주소, 생년월일, 성별, 체중 등이다. 공단은 필수수집 정보 외 데이터베이스에 저장되지 않은 정보는 유출 가능성이 없다고 설명했다. 다만 이용자가 임의 입력한 이름 등 개인정보는 유출됐을 가능성을 배제할 수 없다는 입장이다. 명의 도용이나 사기 등 2차 피해 우려도 제기된다.
경찰은 별도 사건 수사 과정에서 유출된 따릉이 회원 정보를 확인하며 이번 사건을 인지했다. 이후 서울경찰청 사이버수사대가 공단에 관련 정황을 통보했다.
공단은 지난 27일 경찰 통보를 받은 뒤 법정 신고 시한에 맞춰 관계기관에 신고했다. 개인정보보호법 시행령은 개인정보처리자가 유출 사실을 인지할 경우 72시간 내 신고하도록 규정하고 있다.
사건 파장이 공공부문 전반으로 확산되자 정치권과 정부도 제도 보완에 착수했다. 더불어민주당과 개인정보보호위원회는 개인정보 유출 사고 발생 시 기업이나 기관의 과실 여부와 관계없이 법정 손해배상 책임을 강화하는 방향으로 법 개정을 추진하기로 했다. 조사 비협조 기관에 대해서는 이행강제금 부과 방안도 검토 중이다.
현행법은 피해자가 손해액을 입증하지 않아도 법원이 배상액을 산정할 수 있도록 하고 있으나 유출 기관이 고의 또는 과실이 없음을 입증하면 책임이 면책된다. 개정안은 이 요건을 삭제해 입증 책임을 기관에 폭넓게 부과하는 내용이 핵심이다.
개인정보보호위원회는 공공부문 보호체계 점검에도 착수했다. 공공기관 653곳을 대상으로 개인정보 보호 시스템과 전담 인력 현황 조사를 진행 중이다. 기관장 책임 명확화와 정보보호 및 개인정보보호 관리체계 인증 의무화 등을 담은 제도 개선도 추진하고 있다. 서울시는 수사 결과를 토대로 관리·감독 체계를 전면 재점검하고 재발 방지 대책을 마련한다는 계획이다.
권용훈 기자 fact@hankyung.com
관련뉴스
