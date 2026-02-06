본문 바로가기
따릉이 개인정보 유출 2년 가까이 방치했다… 관련자 수사기관 통보

배경환기자

입력2026.02.06 09:47

수정2026.02.06 09:57

서울시, 정보 유출 내부조사 결과 발표
개인정보보호위원회 등에도 즉각 신고
총 500만 회원 중 450만 정보 유출된 듯
정부·여당 대응…관련 법 개정 책임 강화

서울시가 공공자전거 따릉이의 회원정보 유출에 대응하지 않은 관련자를 수사기관에 통보했다. 해당 사건은 2024년 6월 발생했는데, 유출 사실을 알고도 2년 가까이 조치하지 않았던 셈이다. 따릉이를 관리하는 서울시설공단은 물론 서울시도 정보 관리 시스템에 대한 점검이 필요하다는 지적이다.


6일 서울시는 최근 내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않아 초기 대응이 이뤄지지 않았다고 밝혔다.

이에 서울시는 당시의 담당자 등을 확인해 관련자를 수사기관에 전달하기로 했다. 또한 공단의 초동 조치 미흡 사실도 경찰에 통보하기로 했다.


향후 원활한 수사를 위해 개인정보보호위원회와 한국인터넷진흥원에도 이 사실을 전할 방침이다. 시는 경찰수사 및 개인정보보호위원회 조사결과를 바탕으로 재발 방지를 위한 관리·감독 체계를 강화할 계획이다.


지난달 30일 시는 따릉이의 회원정보 유출 정황을 공개했다. 따릉이 가입자 500만명의 90%에 달하는 450만건 넘게 유출된 것으로 파악됐다. 정보 유출은 2024년 디도스(DDoS·분산서비스거부) 공격이 집중됐던 시기에 발생했다.


따릉이 앱의 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중이다. 이름, 주소 등은 수집 대상에 포함되지 않는다. 공단은 "수집 정보가 아닌 정보들은 데이터베이스에 저장하지 않아 유출도 있을 수 없다"고 설명했다. 다만 회원이 임의로 입력한 개인정보는 유출됐을 수도 있다. 민감한 정보가 유출된 만큼 명의 도용이나 사기 등 2차 피해 가능성도 배제할 수 없다.


경찰은 다른 사건 수사를 하던 중 유출된 따릉이 회원 정보가 존재하는 사실을 파악해 이 사건을 인지했다. 이후 서울경찰청 사이버수사대는 따릉이 운영기관인 공단에 회원 정보 유출 정황을 유선으로 통보했다.


공단은 지난 27일 경찰에서 이 같은 내용을 통보받은 뒤 법령상 시한이 임박한 이날 관계기관에 신고했다. 개인정보보호법 시행령은 개인정보처리자가 개인정보 유출 사실을 인지한 경우 72시간 안에 관계기관에 신고할 의무가 있다고 규정하고 있다.


서울시의 조치에도 개인정보 유출이 공공부문으로 확대하자 정부 여당까지 대응에 나섰다. 더불어민주당과 개인정보보호위원회는 개인정보보호법을 개정해 기업(기관) 등의 개인정보 유출 사고에 대한 기업의 과실 여부와 관계없이 법정 손해배상 책임을 강화하기로 했다. 유출 기업이 조사에 비협조하는 경우 이행강제금도 부과하기로 했다.


현행법은 개인정보 유출 사고가 발생했을 때 피해를 본 개인이 손해액을 입증하지 않더라도 법원이 배상 한도 내에서 유출 경위와 피해 규모 등을 종합해 배상액을 정할 수 있도록 하고 있다. 다만 이 경우에도 유출 기업이 '고의' 또는 '과실'이 없었음을 입증하면 유출 피해 책임이 면책된다. 이에 현행법상 법정 손해배상 규정에서 '고의 또는 과실' 요건을 삭제해 기업 등이 개인정보 유출에 대해 전반적인 입증 책임을 지도록 할 방침이다.


배경환 기자 khbae@asiae.co.kr
