서울 시민들의 발이 되어주던 공공자전거 따릉이 앱에서 믿기 힘든 보안 사고가 터졌다. 서울 공공자전거 따릉이를 운영하는 서울시설공단이 개인정보 유출 사실을 인지하고도 무려 2년 가까이 이를 숨기며 아무런 조치를 취하지 않았던 것으로 드러나 충격을 주고 있다. 서울시는 6일 오전 시청 브리핑룸에서 긴급 기자회견을 열고 내부 조사 결과 공단 측의 초동 대응 미흡과 보고 누락 사실을 확인했다고 공식 발표했다.사건의 발단은 2024년 6월로 거슬러 올라간다. 당시 따릉이 앱은 사흘간 분산서비스거부(DDoS·디도스) 공격을 받아 전산망이 마비되는 혼란을 겪었다. 공단은 즉시 관계기관에 장애 발생을 신고했으나 진짜 문제는 그 이후에 발생했다. 서버 보안업체가 해당 공격을 정밀 분석한 보고서를 같은 해 7월 18일 공단에 제출했는데, 이 보고서에는 단순한 서비스 장애를 넘어 사용자들의 개인정보가 외부로 유출되었다는 치명적인 사실이 명시되어 있었다.하지만 공단은 보고서를 받은 뒤에도 침묵을 선택했다. 서버를 증설하고 보안을 강화하는 척하면서도 정작 가장 중요한 개인정보 유출 사실은 서울시에 보고하지 않았고 시민들에게 알리는 공지조차 하지 않았다. 공공기관이 시민의 소중한 정보를 담보로 위험한 도박을 벌인 셈이다. 이 같은 은폐 행위는 최근 경찰이 다른 사이버범죄 사건을 수사하던 중 피의자의 컴퓨터에서 따릉이 관련 데이터베이스를 발견하면서 2년 만에 세상에 알려지게 되었다.경찰은 지난달 27일 서울시설공단에 관련 사실을 통보했고, 서울시가 내부 확인 절차를 거치는 과정에서 2024년 당시 이미 유출 보고서가 존재했다는 사실이 뒤늦게 밝혀졌다. 한정훈 서울시 교통운영관은 브리핑에서 고개를 숙이며 시민 여러분께 심려와 불편을 끼쳐드린 점 진심으로 사과드린다고 밝혔다. 또한 공단의 초동 조치 미흡 사실을 경찰에 통보해 철저한 수사가 이루어지도록 하겠다고 덧붙였다.이번에 유출된 것으로 추정되는 정보의 범위는 매우 광범위하다. 따릉이의 가입자는 현재 약 500만 명에 달하며, 회원 가입 시 필수로 수집하는 아이디와 휴대전화 번호는 물론 선택 사항인 이메일 주소, 생년월일, 성별, 심지어 이용자의 체중 정보까지 포함되어 있다. 특히 유출 시점으로 파악되는 2024년 6월 당시 전체 회원 수가 약 455만 명이었던 점을 고려하면, 사실상 당시 가입자 전원의 정보가 유출되었을 가능성도 배제할 수 없는 상황이다.서울시는 2024년 7월 이후 현재까지 접수된 구체적인 피해 사례는 없다고 밝혔으나, 개인정보가 어둠의 경로를 통해 보이스피싱이나 스팸 광고 등에 악용되었을 가능성이 커 시민들의 불안감은 극에 달하고 있다. 시는 향후 감사를 통해 공단 내에서 유출 사실을 알고도 묵인한 관련자들을 직무 배제하고 법적 책임을 물을 계획이다. 또한 개인정보보호위원회와 한국인터넷진흥원(KISA)에도 해당 사실을 신고하고 관리 감독 체계를 대대적으로 개편하겠다고 약속했다.산하기관의 중대한 보안 사고를 2년 가까이 파악하지 못한 서울시의 책임론도 피하기 어려워 보인다. 공단이 보고를 누락했다 하더라도 공공 시스템 운영 전반에 대한 시의 감시망이 제대로 작동하지 않았다는 지적이다. 이에 대해 한 운영관은 감독 기관으로서 관리 감독 책임이 있는 것을 알고 있다며 법적 책임에 대해서도 면밀히 검토하겠다고 답변했다.서울시는 재발 방지를 위해 외부 전문 업체를 통한 보안 컨설팅 용역을 발주하고 따릉이 앱의 보안 시스템을 근본적으로 뜯어고치겠다는 방침이다. 하지만 이미 유출된 500만 명에 육박하는 시민들의 정보와 무너진 행정 신뢰도를 회복하기까지는 상당한 시간이 걸릴 것으로 보인다. 따릉이를 애용하던 시민들은 내가 운동하려고 입력한 몸무게까지 털린 거냐며 배신감을 토로하고 있다.