주민등록번호 등 민감한 개인정보가 포함된 서울시시설공단의 자료가 대규모로 검색되는 사고가 발생했다.

지난 15일 서울시설공단이 운영하는 서울시 공공자전거 '따릉이' 홈페이지에는 파일 850여개가 노출됐다. 해당 페이지는 이날 기준으로 구글 등 검색엔진을 통해 누구나 쉽게 접속할 수 있었다. 정확한 사고 발생 시점(파일이 처음 공개된 시점)은 아직 확인되지 않았다.

해당 문서 중에는 주민등록번호와 휴대폰 번호가 다수 포함된 것도 있었다. 특히 사고 보고서, 설치 확인서, 메모 사진 등에도 이름과 휴대폰 번호 등의 개인정보가 있었다. 이번 사고의 개인정보 노출 피해자는 최소 20여명으로 파악된다.

내부 자료도 대거 포함됐다. 특히 따릉이 대여소 증설에 대한 자료가 많았다. IP 주소가 인쇄된 서버 기기 사진과 데이터베이스 접속을 위한 정보로 추정되는 텍스트가 적힌 문서도 있었다.

이번 사고로 노출된 파일 유형은 이미지가 가장 많았고 문서가 뒤를 이었다. 이 외에 실행·설치 파일, 압축파일, 개발 관련 파일(.jsp)도 있었다.

오랜 기간 생성된 자료가 노출된 모양새였다. 2016년 6월 행사 현수막 디자인으로 보이는 이미지 파일부터 지난해 11월 출시된 '따릉이 3시간권' 안내문까지 있었기 때문이다.

이번 사고는 지난 14일 필자가 따릉이 관련기사를 쓰기 위해 로고 파일을 찾는 과정에서 드러났다. 기자가 구글 검색창에 '따릉이 로고'를 검색하자 '서울자전거 따릉이' 사이트가 상단에 노출됐다. 공식 홈페이지에서 로고를 내려받고자 했던 터, 해당 링크를 클릭하니 문제 페이지와 연결됐다.