2024년 발생한 디도스(DDoS·분산서비스거부) 공격 당시 서울시 공공자전거 ‘따릉이’ 회원 개인정보 450만 건 이상이 유출된 것으로 뒤늦게 확인됐다. 경찰은 해킹에 의한 유출로 보고 정보 유출자와 경로를 추적하고 있다.

 

30일 서울시와 경찰 등에 따르면, 서울시설공단은 지난 27일 서울경찰청 사이버수사대로부터 따릉이 회원 개인정보 유출이 의심된다는 내용을 유선으로 전달받았다.

 

현재까지 파악된 유출 건수는 450만건 정도로, 더 늘어날 가능성도 있다. 따릉이 전체 가입자는 약 500만 명 수준이다. 따릉이 앱의 필수 수집 정보는 아이디와 휴대전화 번호이며, 이메일 주소, 생년월일, 성별, 체중 등은 선택 항목이다. 이름이나 주소 등은 수집 대상에 포함되지 않는다.

 

서울시설공단은 “수집 대상이 아닌 정보들은 데이터베이스에 저장하지 않아 유출 가능성이 없다”고 설명했다. 다만 회원이 임의적으로 입력한 개인정보가 이번 유출에 포함됐을 가능성은 있는 것으로 전해졌다. 민감한 개인정보가 유출된 만큼 명의 도용이나 사기 등 2차 피해 우려도 제기된다.

 

경찰은 다른 사건을 수사하던 중 유출된 따릉이 회원 정보가 존재하는 사실을 확인해 수사에 착수했다. 경찰로부터 이를 통보받은 서울시설공단은 이날 관계기관에 신고했다. 개인정보보호법 시행령은 개인정보처리자가 개인정보 유출 사실을 인지한 경우 72시간 안에 관계기관에 신고하도록 규정하고 있다.

 

서울시설공단은 현재까지 관련 피해 신고는 접수되지 않았다고 밝혔다.