‘따릉이’ 450만명 정보 유출…서울시설공단 2년 전 알고도 덮었다

서울시 ‘초동 조치 미흡’ 수사기관 통보

30일 오후 서울 시내의 한 따릉이 대여소에 따릉이가 세워져 있다. 서울시는 30일 경찰로부터 따릉이 회원정보 유출이 의심된다는 정황이 서울시설공단에 전달됐다고 밝혔다. 2026.1.30. 뉴스1

서울 공공자전거 ‘따릉이’가 지난 2024년 사이버공격으로 회원정보의 유출이 사전에 있었음에도 초동조치를 하지 않은 것으로 밝혀졌다.

6일 서울시에 따르면, 시는 내부조사결과 서울시설공단이 지난 2024년 6월 따릉이 앱에 대한 사이버 공격 당시 개인정보 유출 사실을 확인하고도 이를 보고하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다고 밝혔다.

공단은 당시 개인정보 유출 정황을 인지하고도 별도의 후속 조치나 상급기관 보고를 하지 않았고, 이로 인해 관련 대응이 지연된 것이다. 서울시는 현재 경찰 수사가 진행 중인 만큼, 공단의 초동 조치 미흡 사실을 수사기관에 통보해 추가 수사가 이뤄지도록 할 방침이다.

아울러 서울시는 해당 사안을 개인정보보호위원회와 한국인터넷진흥원에 신고하고, 향후 경찰 수사와 개인정보보호위원회 조사 결과를 토대로 재발 방지를 위한 관리·감독 체계를 강화하겠다고 밝혔다.

앞서 경찰 수사 과정에서 따릉이 회원정보가 대규모로 유출된 정황이 포착됐다. 경찰은 이번 사건으로 이름과 전화번호, 생년월일 등 개인정보가 포함된 회원정보 450만건 이상이 외부로 유출됐을 가능성을 염두에 두고 수사를 진행 중이다.

현재까지 파악된 유출 규모는 약 450만 건으로, 전체 가입자 약 500만 명 가운데 대부분이 포함된 수준이다. 경찰은 이번 유출이 내부 관리 미흡이 아닌 외부 해킹에 의한 직접 침입일 가능성에 무게를 두고 유출 경로와 가담자를 추적하고 있다.

정보 유출은 2024년 4~6월쯤 따릉이 앱을 겨냥한 디도스(DDoS·분산서비스거부) 공격이 집중됐던 시기에 발생한 것으로 추정된다. 다만 서울시설공단은 현재까지 명의 도용이나 금전 피해 등 구체적인 피해 신고는 접수되지 않았다는 입장이다.

(서울=뉴스1)