2024년 6월 디도스 공격에 장애 신고만
KT클라우드 보고서 받고도 유출 신고 안해
市, 관련자 수사 기관 통보하고 감사 검토
서울시가 공공자전거 따릉이의 개인정보 유출 정황 보고를 누락한 관련자를 수사기관에 통보했다. 해당 사이버 공격은 2024년 6월에 발생했는데, 유출 사실을 알고도 2년 가까이 조치하지 않았던 셈이다. 따릉이를 관리하는 서울시설공단은 물론 서울시도 정보 관리 시스템에 대한 점검이 필요하다는 지적이다.
6일 서울시는 최근 내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않아 초기 대응이 이뤄지지 않았다고 밝혔다.
이에 서울시는 당시의 담당자 등을 확인해 관련자를 수사기관에 전달하기로 했다. 또한 공단의 초동 조치 미흡 사실도 경찰에 통보하기로 했다.
사건의 전말은 이렇다. 2024년 6월28일부터 30일까지 분산서비스거부(DDoS·디도스) 공격으로 추정되는 사이버 공격이 발생해 따릉이 관련 페이지가 80분가량 다운됐다. 이에 서울시설공단은 행정안전부 산하 디지털 안전상황실에 장애 신고만 했을 뿐 개인정보 유출 신고를 하진 않았다.
한정훈 교통운영관은 이날 브리핑을 통해 "해당 서버는 KT클라우드가 운영했는데, KT클라우드 측이 당시 상황에 대한 분석 보고서를 그해 7월18일에 시설관리공단에 제출했다. 보고서에는 '(개인정보) 유출 확인이 된다'는 내용이 포함됐다"고 전했다.
이어 "공단에서 이 사실을 서울시에 보고하지 않고 묵인했다"며 "그 후에 개인정보 유출 관련해서 조치를 하지 못했다"고 덧붙였다. 시는 보고를 누락한 공단 관련자에 대해선 감사를 검토 중이다.
경찰은 디도스 공격을 통해 개인정보를 빼낸 해커에 대해 피의자 조사를 진행 중이다. 경찰은 다른 사건 수사를 하던 중 유출된 따릉이 회원 정보가 존재하는 사실을 파악해 이 사건을 인지했다. 한 운영관은 "경찰이 다른 건에 대해 피의자 조사를 하다가 이자의 컴퓨터에 따릉이 관련 정보가 있어서 사실 확인차 서울시에 문의한 것"이라고 말했다.
한 운영관은 개인정보 유출이 발생한 시점부터 약 1년6개월 사이에 추가적인 유출이나 사이버 침해 사실이 발견된 바는 없다고 했다.
시는 개인정보보호위원회와 한국인터넷진흥원에도 KT클라우드 측의 보고서를 전달하는 등 원활한 수사에 협력한다는 방침이다. 시는 경찰수사 및 개인정보보호위원회 조사 결과를 바탕으로 재발 방지를 위한 관리·감독 체계를 강화할 계획이다.
앞서 지난달 30일 시는 따릉이의 회원정보 유출 정황을 공개했다. 따릉이 가입자 500만명의 90%에 달하는 450만명 이상의 개인정보가 유출된 것으로 파악됐다.
따릉이 애플리케이션(앱)의 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중이다. 이름, 주소 등은 수집 대상에 포함되지 않는다. 공단은 "수집 정보가 아닌 정보들은 데이터베이스에 저장하지 않아 유출도 있을 수 없다"고 설명했다. 다만 회원이 임의로 입력한 개인정보는 유출됐을 수도 있다. 민감한 정보가 유출된 만큼 명의 도용이나 사기 등 2차 피해 가능성도 배제할 수 없다.
서울시의 조치에도 개인정보 유출이 공공부문으로 확대하자 정부 여당까지 대응에 나섰다. 더불어민주당과 개인정보보호위원회는 개인정보보호법을 개정해 기업(기관) 등의 개인정보 유출 사고에 대한 기업의 과실 여부와 관계없이 법정 손해배상 책임을 강화하기로 했다. 유출 기업이 조사에 비협조하는 경우 이행강제금도 부과하기로 했다.
현행법은 개인정보 유출 사고가 발생했을 때 피해를 본 개인이 손해액을 입증하지 않더라도 법원이 배상 한도 내에서 유출 경위와 피해 규모 등을 종합해 배상액을 정할 수 있도록 하고 있다. 다만 이 경우에도 유출 기업이 '고의' 또는 '과실'이 없었음을 입증하면 유출 피해 책임이 면책된다. 이에 현행법상 법정 손해배상 규정에서 '고의 또는 과실' 요건을 삭제해 기업 등이 개인정보 유출에 대해 전반적인 입증 책임을 지도록 할 방침이다.
지금 뜨는 뉴스
특히 개인정보보호위원회는 공공부문 개인정보 보호체계를 점검하기 위해 공공기관 653곳을 대상으로 개인정보 보호 시스템과 전담 인력 현황 조사에 나섰다. 공공분야 개인정보 보호 강화를 위한 제도 개선 방향도 공개했다. 기관장의 최종 책임을 명확히 하고 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 단계적으로 의무화하는 내용의 개인정보보호법 개정안에 대한 후속 절차를 진행 중이다.
배경환 기자 khbae@asiae.co.kr
김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![전문가 4인이 말하는 '의료 생태계의 대전환'[비대면진료의 미래⑥]](https://cwcontent.asiae.co.kr/asiaresize/319/2026013014211022823_1769750471.png)
![[속보]'尹내란재판' 지귀연 판사 북부지법으로 전보](https://cwcontent.asiae.co.kr/asiaresize/308/2026020515404130595_1770273641.png)
![[단독]훔쳐갔는데 또 훔쳐갔다…두 번 도둑질 당한 '임창용 파우치'](https://cwcontent.asiae.co.kr/asiaresize/308/2026020609150531338_1770336905.png)
