ソウル市内の公共自転車「タルンイ」貸出所(c)news1
ソウル市内の公共自転車「タルンイ」貸出所(c)news1

【02月10日 KOREA WAVE】ソウルの公共自転車「タルンイ」を管理するソウル施設公団が、2024年のサイバー攻撃で会員情報の流出を把握しながら、約1年6カ月にわたりソウル市へ報告していなかったことが明らかになった。市は最大で約450万人分の個人情報が流出した可能性を排除していない。

ソウル市は6日午前、「タルンイ個人情報流出」に関する説明を公表した。内部調査の結果、施設公団が2024年6月のタルンイアプリへのサイバー攻撃時点で情報流出を確認していたにもかかわらず、関係機関へ知らせず、初動対応が遅れたと説明した。市は1月27日にソウル警察庁から流出の疑いを伝えられ、直ちに点検に入ったという。

市によると、タルンイアプリは2024年6月28~30日にDDoS(分散型サービス拒否)攻撃を受け、約80分の障害が発生。その後、サーバー管理を担うKTクラウドの分析報告が同年7月に公団へ届いた。報告には、氏名、ID、携帯電話番号、性別、メールアドレス、生年月日・体重の計6項目について流出の兆候が含まれていたが、公団は市や関係機関へ届け出なかった。

市は、警察の捜査が進む中、公団の初動不備と未報告を警察および個人情報保護委員会へ通達し、追加の捜査・調査につなげる方針だ。あわせて韓国インターネット振興院への通報や、再発防止に向けた管理・監督体制の強化を進める。

現時点で正確な流出件数は確定していない。ただ、2024年当時のタルンイ会員数が約455万人だった点を踏まえ、市は最大450万件超の流出も否定できないとした。具体的な規模や個別の流出項目は、捜査で確定する見通しだ。

市は疑いを把握後、非常対応センターと被害受付窓口を稼働。これまでに名義盗用や金銭被害などの二次被害は確認されていないという。被害が判明した場合、個人情報保護委員会の紛争調整手続きなどを通じ、損害賠償を含む補償を検討する。

(c)news1/KOREA WAVE/AFPBB News