지난 1일 서울 영등포구 한 도로에 있는 따릉이 모습. 연합뉴스

서울시설공단이 공공자전거 따릉이 이용자 450만명의 회원정보 유출을 알고도 2년 가까이 조치하지 않았던 것으로 드러났다. 서울시는 따릉이의 회원정보 유출에 대응하지 않은 관련자를 수사기관에 통보했다.

서울시는 6일 오전 시청에서 브리핑을 열고 “내부 조사 과정에서 서울시설공단이 2024년 6월 따릉이 앱 사이버 공격 당시 개인정보 유출 사실을 확인하고도 별도의 조처를 하지 않아 초기 대응이 이뤄지지 않은 사실을 확인했다”고 밝혔다. 시는 현재 관련 수사가 진행 중인 만큼 공단의 초동 조치 미흡 사실을 경찰에 통보할 예정이다. 또 당시 담당자 등 관련자를 수사기관에 알렸다. 서울시는 “개인정보보호위원회와 한국인터넷진흥원에 신고하고 향후 경찰수사와 개인정보보호위원회 조사결과를 바탕으로 재발 방지를 위한 관리ㆍ감독 체계를 강화해 나갈 방침”이라고 했다.

서울시설공단은 지난달 27일 경찰에서 따릉이 회원 개인정보가 유출됐다는 사실을 통보받은 뒤 같은 달 30일 관계기관에 신고했다. 파악된 유출 건수는 450만 건이다. 현재 따릉이 가입자는 500만명 정도다. 정보 유출은 2024년 디도스(DDoSㆍ분산서비스거부) 공격이 집중됐던 시기에 발생했다.

따릉이 앱의 필수 수집 정보는 아이디와 휴대전화 번호다. 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중 등이다. 이름, 주소 등은 수집 대상에 포함되지 않는다. 공단은 “수집 정보가 아닌 정보들은 데이터베이스에 저장하지 않아 유출도 있을 수 없다”고 설명했다. 다만 회원이 임의로 입력한 개인정보는 유출됐을 수도 있다. 경찰은 유출 경로와 범위, 피해 여부 등을 수사하고 있다.