▲(좌) 1월 30일 서울시설공단 공지사항 안내문 (우) 2월 6일 서울시 보도자료 ⓒ 서울시설공단,서울시 홈페이지 갈무리
서울 시민의 발, 공공자전거 '따릉이'가 시민들의 개인정보를 털어가는 구멍이 됐습니다. 무려 450만 명에 달하는 회원의 정보가 유출된 것으로 추정됩니다.
더 충격적인 사실은 관리를 맡은 서울시설공단이 이 사실을 2년 전 알고도 제대로 된 조치를 취하지 않았다는 점입니다.
지난 1월 30일, 서울시설공단 홈페이지에 '서울자전거 따릉이 회원정보 유출 의심 정황에 대한 안내'라는 공지사항이 게재됐습니다. 공단 측은 안내문에서 "공단은 지난 2026년 1월 27일, 서울경찰청 사이버수사대로부터 '따릉이' 회원 정보 유출이 의심되는 정황을 유선으로 전달받았다"면서 "사고 인지 후 공단은 서울시와 합동으로 유출사고에 대한 분석 및 대응을 총괄하는 '비상대응센터'를 가동하고, 관계기관에 신고를 마쳤다"고 밝혔습니다.
그러나 서울시의 조사 결과는 시설공단의 안내와는 전혀 달랐습니다. 6일 브리핑에 나선 한정훈 서울시 교통운영관은 "경찰이 다른 사이버범죄 사건을 수사하던 중 피의자의 컴퓨터에 따릉이 관련 정보가 있어 지난달 27일 공단에 통보했다"고 밝혔습니다.
한 운영관은 "내부적으로 사실관계를 확인하던 중 2024년 7월에 이미 공단이 보안 업체로부터 개인정보 유출 사실을 담은 보고서를 제출받았음을 지난 5일 뒤늦게 알게 됐다"고 말했습니다.
서울시 조사 결과를 요약하면 이렇습니다. 2024년 6월 따릉이 앱에 디도스 공격이 있었고, 당시 보안업체는 7월 18일 자로 "개인정보 유출이 확인된다"는 보고서를 공단에 제출했습니다. 하지만 공단은 서버만 증설하고 유출 사실을 알리지 않았습니다. 시민들이 자신의 정보가 범죄에 악용될지도 모르는 상태로 2년을 보낸 셈입니다. 서울시는 부랴부랴 해당 팀을 경찰에 수사 의뢰하고 직무에서 배제했지만, '꼬리 자르기'라는 비판을 피하기 어려워 보입니다.
유출 사실 방치하던 그 시기, 이사장 임기는 1년 연장됐다
▲오세훈(왼쪽 두 번째) 서울시장이 15일 도봉지하차도를 찾아 김성보(왼쪽) 재난안전실장, 한국영(오른쪽) 서울시설공단 이사장 등 관계자들과 함께 인근 침수예방시설 현황을 점검하고 있다. 2024.7.15 ⓒ 서울시 제공
이 사건을 단순한 실무진의 보고 누락으로만 볼 수 있을까요? 개인정보 유출 시점으로 추정되는 2024년 6월 당시 따릉이 앱의 전체 회원 수는 455만 명이었습니다. 이들의 개인정보가 유출됐을 수도 있는 상황에서 조직의 수장인 이사장이 몰랐다면 그건 무능이고, 혹시 알면서도 모른 척했다면 직무유기입니다.
당시 서울시설공단을 이끌던 한국영 이사장은 서울시 공무원 출신으로 오세훈 시장 재임 시절 비서실장을 지내기도 했습니다. 오 시장이 2021년 4월 보궐선거에 당선된 뒤 투자출연기관 26곳 중 19곳의 수장이 새 얼굴로 바뀌었는데, 그 중에는 한국영 서울시설공단 이사장도 있습니다.
2024년 7월, 공단 내부에 '개인정보 유출 보고서'가 들어와 있을 때 공단은 아무런 조치도 취하지 않았습니다. 그리고 1년 뒤인 2025년 6월, 오세훈 시장은 한국영 이사장의 임기를 1년 연장합니다.당시 서울시와 공단 임원추천위원회는 "차질 없는 기관 운영"을 이유로 들었습니다. 개인정보가 털린 사실을 2년이나 방치한 기관 운영이 과연 '차질 없는 운영'이었는지 묻지 않을 수 없습니다.
서울시는 6일 브리핑을 통해 사과하고 공단 관계자들을 수사 의뢰했습니다. 산하기관을 관리·감독해야 할 서울시가 2년 동안이나 이 사안을 몰랐다는 사실이 다소 허탈합니다. 매년 감사를 진행해야 할 책임이 있기 때문입니다. 특히 자신의 최측근 인사를 산하기관장에 앉히고, 심지어 사고가 은폐되던 시기에 임기까지 연장해 준 오세훈 시장에 대한 책임론이 불가피할 것으로 보입니다.
덧붙이는 글 | 이 기사는 독립언론 '아이엠피터뉴스'에도 실립니다.