[서울=뉴스핌] 이경화 기자 = 서울 공공자전거 '따릉이' 애플리케이션(앱)을 운영하는 서울시설공단이 개인정보 유출 사실을 인지하고도 아무런 조치를 취하지 않은 것으로 드러났다.

서울시는 서울시설공단의 초동 조치 미흡에 따른 관련자를 수사기관에 통보했다. 이번 논란이 불거지기 전까지 별도 조치가 없었다는 점에서 책임론을 피할 수 없을 것으로 보인다.

서울시는 6일 오전 브리핑을 열어 "내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다"고 밝혔다.

서울시에 따르면 따릉이 앱은 2024년 6월 28~30일 분산서비스공격(디도스)으로 약 80분간 서비스 장애를 겪었다. 이후 서버를 관리하는 KT 클라우드 측 분석 보고서가 같은 해 7월 공단에 전달됐고, 해당 보고서에는 이름과 아이디, 휴대전화번호, 성별, 이메일, 생년월일, 체중 등 항목의 개인정보 유출 정황이 포함된 것으로 파악됐다.

그러나 공단은 당시 이 사실을 서울시와 관계기관에 신고하지 않았다. 공단은 지난달 27일 다른 사건을 수사하다가 따릉이 개인정보 유출을 알게 된 경찰청으로부터 관련 사실을 통보받은 뒤에야 서울시에 늦장 보고를 한 것으로 나타났다.

서울시는 무관용 원칙을 적용해 엄중히 대처하겠다는 입장이다. 시는 "현재 관련 수사가 진행 중인 만큼 공단의 초동 조치 미흡 사실을 경찰에 통보해 수사가 이뤄지도록 할 예정"이라고 설명했다. 원활한 수사를 위해 개인정보보호위원회와 한국인터넷진흥원에도 관련 사실을 신고한다.

현재 따릉이 가입자가 455만 명에 이른다는 점을 고려하면 최대 450만 건 이상 유출 가능성도 배제할 수 없다는 게 시 측 설명이다. 다만 구체적인 유출 규모와 개인별 유출 항목은 경찰 수사를 통해 확정될 사안이라고 선 그었다. 경찰은 정확한 유출 경로와 피해 규모를 파악하기 위해 수사를 확대하고 있다.

시는 유출 의심 정황을 인지한 직후 비상대응센터와 피해접수센터를 가동하고 있으며, 지금까지 명의 도용이나 금전 피해 등 2차 피해 신고는 접수되지 않았다고 밝혔다.

한정훈 서울시 교통운영관은 "피해가 확인될 경우 개인정보보호위원회 산하 분쟁조정 절차 등을 통해 손해배상 등 보상 방안을 검토할 것"이라고 말했다. 한 운영관은 "개인정보 관리 주체는 공단이고, 서울시는 관리·감독 책임을 지는 기관"이라며 "수사 결과에 따라 공단 관계자에 대한 책임 소재와 직무배제 등 후속 조치도 검토하겠다"고 덧붙였다.

kh99@newspim.com