단독 개인정보 노려 '따릉이' 공격했는데알고도 뭉개

뉴스데스크강은

Your browser doesn't support HTML5 video.

◀ 앵커 ▶

서울시 공유자전거 따릉이 앱에서 개인 정보가 무더기로 유출됐다는 소식 전해드렸지요.

서울시 자체조사 결과, 따릉이를 관리하는 서울시설공단이 이미 2년 전 정보 유출 사실을 알고서도 그동안 아무 조치를 하지 않았다고 밝혔는데요.

사이버 공격도 애초부터 데이터 탈취를 노렸던 것으로 드러났습니다.

강은 기자 단독보도입니다.

◀ 리포트 ▶

서울시는 따릉이 앱에서 개인 정보가 유출된 것에 대해 공식 사과했습니다.

[한정훈/서울시 교통운영관]
″심려와 불편을 끼쳐드린 점에 대해서 진심으로 사과드립니다.″

이어 내부 조사를 실시한 결과라면서 서울시설공단에 책임을 돌렸습니다.

공단이 2년 전 정보 유출을 알고도 적절한 조치를 취하지 않았다는 겁니다.

따릉이 앱은 2024년 6월 말 사이버 공격을 받아 80분 동안 중단됐습니다.

20일 뒤 서버 보안업체가 해당 공격을 분석한 보고서를 공단에 제출했습니다.

10쪽 분량의 보고서에는 따릉이 이용자의 개인 정보가 유출된 것으로 확인됐다는 내용이 담겼습니다.

휴대전화번호와 이메일 주소, 생년월일 등 6개 정보로, 당시 이용자는 455만 명이었습니다.

관련 법에 따라 즉각 관계기관에 신고해야 했지만 공단은 그러지 않았습니다.

서울시에도 보고하지 않았습니다.

이로 인해 개인 정보 유출 문제가 2년 가까이 방치돼 있었다고 서울시는 인정했습니다.

[한정훈/서울시 교통운영관]
″공단에서 시에 보고하지 않고 묵인해서 그 후에 개인정보 유출 관련해서 조치는 못 취했고…″

당시 따릉이 앱 장애와 관련해 서울시와 공단은 ′디도스′ 공격으로 추정하고 보안 강화 조치만 취했습니다.

하지만 최근 서울시 조사에서 당시 공격은 디도스처럼 보이긴 하지만, 데이터 탈취를 노린 ′웹 취약점 공격′이었던 것으로 드러났습니다.

[김명주/인공지능안전연구소장]
″웹 취약성(공격)은 디도스처럼 요란하게 하지 않고 목적이 달라요. 보안 쪽 전문가는 그냥 ABC에 해당하는 용어라서 두 개 헷갈릴 줄 알았다고 하는 건 말이 안 되죠.″

서울시와 공단 모두 당시 보고서가 어느 선까지 올라갔는지, 왜 신고가 누락됐는지 등을 확인 중이라고 밝혔습니다.

서울시는 개인정보보호법 위반 혐의로 공단 담당 부서에 대해 경찰 수사를 의뢰했습니다.

하지만 관리·감독 기관인 서울시 역시 장기간 문제점을 제대로 파악하지 못했다는 책임을 피하기는 어려워 보입니다.

MBC뉴스 강은입니다.

영상취재: 조윤기 이관호 / 영상편집: 김관순

[단독] 개인정보 노려 '따릉이' 공격했는데‥알고도 뭉개