중소벤처기업부의 '모두의 창업' 개인정보 유출 사고가 외부 해커 조직 공격이 아니라 프로젝트에 참여한 기업을 통해 발생한 것으로 드러났다. 비공개 처리된 이메일 주소·심사평·창업 아이디어 요약 등이 노출된 것이다.21일 강승규 국민의힘 의원실이 중기부 산하 창업진흥원으로부터 제출받은 자료에 따르면 창진원은 이번 사고 경위를 '프로젝트 참여 AI 솔루션 업체의 비정상적인 응용프로그램인터페이스(API) 호출'로 설명했다.
창진원은 유출 시점이 지난 15일 오전 9시라고 밝혔다. 해당 AI 솔루션 업체가 비공개 이메일 주소를 확보한 뒤 이를 통해 홍보 메일을 보냈다는 것.
이번 사고는 통상적인 해킹과 결이 다르다. 정체를 알 수 없는 국내외 해커 조직이 서버를 공격한 방식이 아니라 프로젝트 관계자로 참여한 기업이 정보에 접근한 사례여서다.
AI 솔루션 업체는 참가자들이 창업 아이디어를 구체화할 수 있도록 AI 활용을 지원하는 역할을 맡고 있었다. 사업을 돕는 업체가 오히려 참가자 정보를 확보한 것이다.
문제는 비공개 정보에 접근할 수 있는 틈이 있었다는 점이다. 창진원은 서비스 화면상으로는 해당 정보가 노출되지 않도록 차단돼 있었다고 설명했다. 하지만 일부 서버 API 보안이 미흡해 도전자 프로필과 심사평 등에 접근할 수 있었던 것으로 파악됐다.
비공개 이메일 주소는 외부 화면에 표시되지 않았다. 하지만 해당 업체는 특정 API 호출과 AI 기반 자동 수집 기능인 웹 크롤링을 통해 정보를 취득할 수 있었던 것으로 보인다.
유출 항목에는 비공개 이메일, 심사평, 아이디어 요약 등이 포함됐다. 합격자들의 개인정보뿐 아니라 창업 아이디어와 관련된 자료도 함께 노출된 것이다. 다만 정확한 유출 규모는 추가 확인이 필요하다.
창진원은 피해 최소화 조치에 나서겠다는 방침이다. 정보 주체가 개인정보 유출 여부를 확인할 수 있도록 홈페이지에 기능을 마련하고 추가 피해를 줄이기 위해 피해접수 담당 창구도 운영하기로 했다.
프로젝트 선정자 전원에게도 유출 사실이 통지됐다. 창진원은 선정자 5000명에게 문자로 관련 내용을 알렸다. 상급기관에도 개인정보 유출 사실을 신고했다.
중기부는 오는 22일 이번 사고와 관련한 브리핑을 열 예정이다. 노용석 중기부 제1차관이 '모두의 창업 진행 현황 및 향후 운영 방향'을 설명한다.
강 의원은 "모두의 창업 AI 솔루션 업체에 포함돼 있던 기업으로부터 이런 개인정보 유출 사고가 발생한 것으로 보인다"며 "국회 예산안 심의 당시 존재하지도 않던 사업을 무리하게 추진할 게 아니라 중기부는 허술한 사업 관리 체계 전반에 대한 재점검을 실시해야 한다"고 주문했다.
김대영 한경닷컴 기자 kdy@hankyung.com
관련뉴스
