모두의 창업 개인정보 유출 사고

핵심 요약

중소벤처기업부가 추진한 대규모 창업 오디션 프로젝트인 '모두의 창업'에서 참가자들의 개인정보와 창업 아이디어가 유출되는 사고가 발생했습니다. 이번 사고는 외부 해커의 공격이 아닌, 사업에 참여하여 AI 솔루션을 제공하던 협력 업체에 의해 발생한 것으로 밝혀졌습니다. 이 업체는 보안이 취약한 서버 API를 악용해 비공개 정보를 수집하고 이를 홍보 목적으로 활용했습니다.

상세 내용

1. 정보 유출 경위와 수법

이번 사고는 프로젝트 합격자 5,000명의 프로필이 공개된 직후인 지난 15일 오전에 발생했습니다. 사업의 파트너로서 참가자들의 아이디어 구체화를 돕던 AI 솔루션 업체가 비정상적인 방식으로 데이터를 수집했습니다. 해당 업체는 서비스 화면상으로는 접근이 차단되어 있던 비공개 이메일 주소를 확보하기 위해 특정 API(응용 프로그램 인터페이스)를 호출하고, 인공지능 기반의 자동 수집 기능인 웹 크롤링 기술을 사용했습니다. 이렇게 확보한 민감 정보를 바탕으로 업체는 참가자들에게 홍보 메일을 발송한 것으로 파악되었습니다.

2. 유출된 정보와 피해 규모

유출된 항목에는 참가자들의 비공개 이메일 주소뿐만 아니라, 창업의 핵심 자산인 심사평과 아이디어 요약 등 매우 민감한 정보들이 포함되었습니다. 프로젝트 선정자 5,000명 전원에게 유출 사실이 통지되었으며, 정확한 유출 규모에 대해서는 추가적인 조사가 진행 중입니다. 창업진흥원은 피해를 최소화하기 위해 홈페이지에 유출 여부 확인 기능을 마련하고, 별도의 피해 접수 전담 창구를 운영하는 등 사후 조치에 나서고 있습니다.

3. 보안 관리 체계의 부실함과 논란

이번 사고는 정부 사업의 파트너 기업이 해킹의 주체가 되었다는 점에서 사업 설계 단계의 권한 관리와 보안 검증 절차가 매우 부실했다는 비판을 받고 있습니다. 특히 창업진흥원은 지난해 정보보안 감사에서도 관리자 접근통제 미흡 등 15개 항목에서 지적을 받은 바 있으나, 일부 개선 사항이 여전히 이행되지 않은 상태였습니다. 또한, 중소벤처기업부가 사고 초기 대국민 설명 자료를 발표할 때, 해당 업체가 프로젝트 참여 기업이자 유출의 주체라는 핵심 내용을 누락하여 정보 공개의 투명성 문제가 제기되기도 했습니다.

정리

'모두의 창업' 사고는 정부 주도 사업의 협력 업체 관리와 보안 시스템 구축이 얼마나 중요한지를 보여주는 사례입니다. 단순한 외부 침입이 아닌 내부 파트너에 의한 정보 유출이라는 점에서 사업 운영 전반에 대한 재점검이 시급합니다. 향후 참여 기업에 대한 사전 보안 검증 강화, API 설계 및 접근 권한의 재조정, 그리고 사고 발생 시 투명하고 신속한 정보 공개 체계 마련이 핵심 과제가 될 것입니다.