[단독]'따릉이 사태' 정보유출 보험금 고작 1000만원…"보장 범위 상향"

보험상품 보장 범위 보니…과징금 등 1천만원
공공기관 개인정보 유출 시 과징금 최대 20억
불필요한 데이터 일괄 정비…피해자 보상 검토

서울시 산하 기관인 서울시설공단이 가입한 개인정보 배상보험의 과징금 보장 한도가 1000만원 수준에 그치는 것으로 드러났다. 서울시설공단은 공공자전거 따릉이 회원 462만명의 개인정보가 유출된 사실이 뒤늦게 알려져 조사를 받고 있다.

서울시 공공자전거 '따릉이' 회원정보 462만건이 유출된 서울시설공단은 개인정보 배상책임보험 보장 범위 상향, 정보보안 전담 인력 채용, 모의해킹 훈련 실시 등 대응 역량을 강화하기로 했다. 강진형 기자aymsdream@

29일 서울시에 따르면 서울시설공단은 2024년 10월 개인정보 배상책임보험에 가입해 상시 운용 중이다. 개인정보 배상책임보험이란 개인정보 유출, 사이버 사고 등 각종 정보보안 사고로 인해 발생하는 비용을 보장해주는 보험상품이다.

공단이 가입한 보험의 보장 범위는 과징금, 사고 발생 시 문자 통지 비용, 위기관리 컨설팅 비용 등에 대해 각각 1000만원 한도 내 보상을 지원하고 있다.

서울시설공단은 2024년 6월 따릉이 회원의 개인정보가 대규모 유출됐지만 2년 가까이 조치를 취하지 않아 개인정보보호위원회의 조사와 경찰 수사를 받고 있다. 유출 항목은 아이디와 이메일, 휴대전화번호, 생년월일, 성별, 체중 등으로 회원별 세부 유출 항목에 대해선 수사기관과 확인 중에 있다.

개인정보위는 매출액이 없거나 매출액을 산정하기 힘든 공공기관에 대해선 개인정보 유출 시 최대 과징금을 20억원으로 정하고 있다. 또한 ▲위반 행위의 기간 ▲고의·중과실 여부 ▲사업자의 위반행위 주도 여부 등을 따져 과징금을 산정한다. 해킹 공격으로 개인정보가 유출된 전북대학교에 약 6억원, 법원행정처에 2억원의 과징금을 부과한 바 있다.

서울시설공단의 경우 유출된 따릉이 회원정보가 462만명에 달하는 점과 사이버 공격 이후 초기 대응이 제대로 이뤄지지 않은 점을 감안하면 과징금 보장 한도 1000만원은 턱없이 부족할 것으로 보인다. 이에 서울시 관계자는 "공단의 개인정보 배상책임보험 보장범위를 상향하는 방안을 검토 중"이라고 밝혔다.

아울러 송도호 더불어민주당 서울시의원실이 시와 공단으로부터 제출받은 '따릉이 개인정보 유출 후속 조치 및 재발 방지 대책'에 따르면 공단은 올해 안에 정보보호 전담인력 2명을 채용하고, 따릉이 시스템 점검을 통해 연내 취약점에 대한 보완 조치를 취할 계획이다.

그밖에 현재 공단이 운용 중인 '정보시스템 처리업무 매뉴얼'을 보다 체계화한 '사이버 공격 및 시스템 장애 대응 통합 매뉴얼'을 신설해 대응 역량을 강화한다는 방침이다. 서울시와 공단 간의 모의해킹 훈련을 진행하고, 직원들을 대상으로 정보보안 교육을 실시하는 등 예방에도 만전을 기한다.

서울시 관계자는 "따릉이 회원 가입에 필요한 개인정보 수집항목에 대한 전수조사를 진행하고, 불필요한 데이터에 대해선 일괄 정비할 계획"이라고 밝혔다. 이어 "향후 유출 피해 규모와 내용 등이 구체적으로 파악되면 피해자 보상에 대해서도 조치할 예정"이라고 덧붙였다.

이와 관련해 28일 서울시의회에서는 공공자전거 이용 시 시스템 장애, 개인정보 유출 등으로 불편이 발생할 경우 '따릉이 이용권' 등 보상을 제공할 수 있다는 내용의 조례안이 본회의에서 가결됐다.

김보경 기자 bkly477@asiae.co.kr