한정훈 서울시 교통운영관은 6일 오전 시청 브리핑에서 "지난 1월27일 서울경찰청으로부터 회원정보 유출 의심 정황을 통보받은 뒤 즉각 내부 조사를 실시, 조사 과정에서 공단이 2대전출장샵024년 개인정보 유출 사실을 확인하고도 적절한 조치를 구미출장샵취하지 않은 사실을 확인했다"면서 "개인정보 유출과 관련해 시민들께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"고 밝혔다.

서울시에 따르면, 따릉이앱은 2024년 6월28~30일 디도스(DDoS·분산서비스거부)로 추정되는 사이버 공격으로 인해 한때 전산이 마비되는 피해를 입었다.

같은 해 7월 중순, 한 서버 보안업체가 해당 사이버 공격에 대한 분석 보고서를 공단에 제출했다. 해당 보고서엔 개인정보 유출 사실이 담겨있었으나 공단 측은 사이버 공격에 대비한 서버 증설과 보안 강화 조치를 하면서도 개인정보 유출과 관련해선 조치하지 않았고, 서울시에도 보고하지 않았다. 개인정보보호위원회 신고나 시민 대상 공지 등도 없었다.

이번 사건은 경찰이 별개 사이버 범죄 사건을 수사하던 중 한 피의자의 컴퓨터에서 따릉이 관련 정보를 발견하고 지난 달 27일 서울시 측에 통보하면서 수면 위로 드러났다. 한 운영관은 경찰의 통보 후 상황에 대해 "시에서 내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 뒤늦게 알게 됐다"고 설명했다.

서울시는 향후 감사를 통해 공단 내에서 개인정보 유출 피해 사실을 인지했던 이가 누구인지, 정확히 어떤 경위로 보고가 누락됐는지 등을 파악할 방침이다. 또한 관련자들을 직무에서 배제하고 법률 검토를 거쳐 경찰에 수사를 의뢰하는 한편, 개인정보 관리 지침이나 보고 체계상 미비점이 있었는지 등도 조사한다.

최근 따릉이 가입자 수는 약 500만 명으로, 필수 수집 정보는 △아이디 △휴대전화 번호다. 선택 수집 정보는 △이메일 주소 △생년월일 △성별 △체중 등이다. 서울시 측은 개인정보 유출 피해를 입은 회원 수가 450만 명 이상이라는 일각의 분석에 대해 "유출 시점으로 추정되는 2024년 6월 당시 따릉이앱의 전체 회원 수가 약 455만 명"이라며 "유출 가능한 최대 인원 숫자가 알려진 것으로 보인다"고 추측했다.

아울러 "개인정보가 유출된 회원 수는 경찰의 수사를 통해 확인될 것으로 보인다"면서 "필수 수집 정보와 선택 정보 외 다른 정보가 추가로 유출됐는지는 시에서 확인하지 못했다. 경찰의 수사를 지켜봐야 한다"고 설명했다.

한편 일각에선 이번 사태와 관련해 서울시도 비판에서 자유롭긴 어려울 것이란 분석도 나온다. 관리 책임이 있는 서울시가 산하기관인 공단의 개인정보 유출 은폐 의혹을 2년 가까이 파악하지 못한 셈이어서다.

관련 지적에 한 운영관은 "(공단의) 감독 기관인만큼 시에도 관리감독 책임이 있는 것으로 알고 있다"면서도 "법적 책임은 검토해봐야 할 사항"이라고 설명했다.