서울시설공단, 2024년 유출 사실 인지하고도 미보고
경찰·개인정보보호위원회 조사 본격화…시민단체 “은폐 의혹” 서울시가 운영중인 따릉이 모습 / 연합뉴스

[도시경제채널 = 유주영 기자] 서울시가 공공자전거 ‘따릉이’ 개인정보 유출 사태와 관련해 서울시설공단이 2024년 당시 유출 사실을 확인하고도 보고하지 않은 정황을 확인했다. 

시는 해당 누락 행위 관련자를 경찰에 통보하고, 개인정보보호위원회와 한국인터넷진흥원에도 신고해 수사가 진행되도록 하겠다고 6일 밝혔다.

보고 누락 관련자 경찰 통보

서울시는 내부 조사 결과에 따르면 서울시설공단은 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 인지했음에도 불구하고 관계기관에 보고하지 않고 은폐한 것.

「개인정보보호법」상 유출 사실을 72시간 내 신고해야 하지만, 서울시설공단은 2026년 1월 말 경찰로부터 역으로 통보받은 이후에야 뒤늦게 신고를 진행했다. 

이로인해 2년 가까이 유출 사실이 은폐된 채 방치됐다는 비판이 제기됐다. 시는 내부조사 결과 관련자를 경찰에 통보해 수사가 이루어지도록 하고, 향후 조사 결과를 바탕으로 관리·감독 체계를 강화할 방침이다.

유출 규모와 범위

서울시에 따르면 이번 사건으로 따릉이 이용자 약 450만 건의 개인정보가 유출된 것으로 추정된다. 가입자 500만 명 중 대부분이 포함된 규모다.

유출된 정보에는 아이디(ID), 휴대전화 번호, 이메일 주소, 생년월일, 성별, 체중 등이 포함됐는데, 이름·주소·주민등록번호 등은 데이터베이스화되지 않아 유출 가능성이 낮은 것으로 알려졌다.

결제정보나 이용경로 등 민감정보는 현재까지 확인되지 않았으나 경찰의 추가적인 조사가 필요하다.

현재 수사 상황

경찰은 유출 경로와 범위를 수사 중이며, 개인정보보호위원회도 신고를 접수해 조사에 착수했다.

현재까지 개별 피해 신고는 접수되지 않았으나, 서울시민 절반 이상이 위험에 노출된 상황으로 파장이 크다.

사회적 파장과 시민단체 반발

참여연대 등 시민단체는 서울시와 시설공단의 은폐·늑장 대응을 강력히 비판하며 피해 범위와 현황을 투명하게 공개할 것을 요구했다.

SK텔레콤, KT, 쿠팡 등 민간기업의 유출 사고에 이어 공공서비스에서도 대규모 유출이 발생하면서 공공기관의 보안 관리 부실이 사회적 문제로 떠오르고 있다.

[ⓒ 도시경제채널. 무단전재-재배포 금지]