서울 공공자전거 '따릉이' 애플리케이션을 운영하는 서울시설공단이 개인정보 유출 사실을 알고도 1년 6개월 이상 조치를 취하지 않은 것으로 드러났다.
서울시는 6일 "내부조사 과정에서 서울시설공단이 2024년 6월 따릉이앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별도의 조치를 취하지 않아 초기대응이 이루어지지 않은 사실을 확인했다"고 밝혔다.
서울시에 따르면 2024년 6월 28~30일 공단에 대한 디도스 공격이 발생하자 공단은 장애신고를 했다. 그러자 KT는 같은 해 7월 17일 디도스 공격 때 따릉이 개인정보 유출이 있었다고 보고서를 통해 공단에 알렸다.
하지만 공단은 이같이 개인정보 유출을 확인하고도 서울시에 디도스 공격에 대해서는 보고했으나 따릉이 개인정보 유출은 누락한 것으로 조사됐다.
공단은 지난달 27일 다른 사건을 수사하다 따릉이 개인정보 유출을 알게 된 경찰청으로부터 관련 사실을 통보받은 뒤에야 서울시에 뒤늦게 보고한 것으로 나타났다.
이에 따라 서울시는 "현재 관련 수사가 진행 중인 만큼 공단의 초동조치 미흡 사실을 경찰에 통보해 수사가 이루어지도록 할 예정이다"고 말했다.
아울러 "이 사실을 개인정보보호위원회와 한국인터넷진흥원에 신고하고 향후 경찰수사와 개인정보보호위원회 조사결과를 바탕으로 재발 방지를 위한 관리·감독체계를 강화할 방침이다"고 덧붙였다.
따릉이 가입자는 500만명 수준이며 필수수집정보는 아이디와 휴대전화 번호, 선택수집정보는 이메일 주소와 생년월일, 성별, 체중 등이다.
서울시는 "개인정보 유출 사실이 알려진 뒤 현재까지 피해접수는 없었다"면서도 "경찰 수사 결과에 따라 보상 방안을 검토할 수 있다"고 말했다.