'따릉이' 개인정보 450만건 유출..."아이디·휴대전화 유출 가능성"

"이메일, 생년월일, 성별, 체중은 선택사항...데이터 저장 안돼" 

지난해 6월 서울 광진구 뚝섬한강공원에서 열린 '제2회 쉬엄쉬엄 한강 3종 축제'를 위한 자전거가 운동장에 놓여 있다. [사진=연합뉴스].

서울시 공공자전거 '따릉이'의 회원 정보가 450만건 이상 유출된 것으로 파악됐다. 

30일 서울시와 경찰 등에 따르면 서울시설공단이 보관하던 따릉이 회원 정보 가운데 이름, 전화번호, 생년월일 등 개인 정보가 대거 유출된 것으로 전해졌다. 경찰은 이번 사건이 해킹에 의한 것으로 보고 유출자와 유출 경로를 추적 중이다.

현재까지 파악된 유출 건수는 450만건 정도로, 지난해 말 기준 따릉이 가입자 수가 506만명 수준인 점을 고려하면 거의 대부분의 이용자 정보가 유출된 셈이다.

따릉이 앱의 필수 수집 정보는 아이디와 휴대전화 번호, 선택 수집 정보는 이메일 주소, 생년월일, 성별, 체중이다. 이름, 주소 등은 수집 대상에 포함되지 않는다.

시 관계자는 "이메일, 생년, 성별, 체중은 선택사항으로, 그 외에 정보들은 데이터베이스에 저장되지 않기 때문에 유출될 수가 없다"고 설명했다. 

다만 회원이 임의로 입력한 개인정보도 이번 유출에 포함된 것으로 보인다. 이에 공단은 서울시와 합동으로 유출사고에 대한 분석 및 대응을 총괄하는 비상 대응센터를 가동하고 따릉이 앱 및 홈페이지 운영체계 전반에 대한 시스템 보안 강화에 들어갔다.

경찰은 다른 사건 수사를 하던 중 유출된 따릉이 회원 정보가 존재하는 사실을 파악해 이 사건을 인지했다. 이후 서울경찰청 사이버수사대는 따릉이 운영기관인 서울시설공단에 회원 정보 유출 정황을 유선으로 통보했다.

공단은 지난 27일 경찰에서 이 같은 내용을 통보받은 뒤 법령상 시한이 임박한 이날 관계기관에 신고했다는 설명이다. 개인정보보호법 시행령은 개인정보처리자가 개인정보 유출 사실을 인지한 경우 72시간 안에 관계기관에 신고할 의무가 있다고 규정하고 있다.

공단은 "정확한 유출 경로나 피해는 경찰의 수사를 더 지켜봐야 한다. 법령기한(피해 인지 후 72시간 내) 준수를 위해 30일 신고했다"며 "경찰 수사에 최대한 협조하는 한편, 수사 결과에 따라 필요한 후속조치를 신속히 시행할 예정"이라고 말했다.