중소벤처기업부의 대표 사업인 ‘모두의창업’ 개인정보 유출 사태가 예견된 사고였다는 지적이 나오고 있다. 사고가 발생하기 한 달 전 보안 취약점 제보가 있었다는 사실이 확인됐다.21일 중기부에 따르면 지난달 7일 모두의창업 플랫폼에는 개인정보 보안 취약점 관련 제보가 접수됐다. 모두의창업 1차 합격팀사인 오브이오가 응용프로그램인터페이스(API) 응답 과정에서 지원자 정보가 노출되는 문제를 발견해 운영팀에 문의하기(사진)를 통해 알렸다. 오브이오는 취약점 재현 경로와 영향 범위, 개선 권고안, 개념검증(PoC) 자료 등을 전달했다.
실제 사고가 발생한 이달 15일보다 약 한 달 전 사전 경고가 이뤄진 것이다. 하지만 모두의창업 운영 주체인 중기부와 창업진흥원은 이 같은 제보 사실을 무시하다가 사고 이후에야 파악했다. 중기부 관계자는 “해당 업체에서 별다른 보고 없이 처리하다 보니 중기부와 창진원은 해당 사항을 파악하지 못했다”고 인정했다.
업계에선 보안 취약점 제보가 개별 기능 보완 수준에서 처리된 것이 문제라는 지적이 나온다. API 응답 과정에서 개인정보 노출 가능성이 확인됐다면, 해당 경로만 막을 게 아니라 플랫폼 전체의 접근 권한과 비공개 정보 노출 가능성을 점검했어야 한다는 것이다. 중기부 관계자는 “해당 제보와 이번 사고의 관련성은 개인정보보호위원회와 국정원 등 전문기관이 조사해 추후 설명하겠다”고 했다.
중기부는 이달 125일 오전 9시 1차 합격자 5000명의 프로필을 공개한 뒤 비공개 정보에 허가되지 않은 접근이 이뤄졌다고 밝혔다. 피해자 통지는 사흘 뒤인 18일 이뤄졌다. 현재까지 중기부가 밝힌 유출 정보는 이메일 주소, 창업 아이디어 요약, 심사평이다. 실명과 휴대폰 번호, 상세 도전 신청서는 유출 확인 사례가 없다고 밝혔다.
스타트업 회사들은 유출된 아이디어와 심사평이 가장 큰 문제라고 보고 있다. A 스타트업 관계자는 “아이디어와 평가 자료가 노출됐다면 회사 존립 자체의 문제로 이어질 수 있다”고 했다. 일부 합격자에게는 홍보성 이메일이 발송된 정황도 확인됐다.
안정훈/유지희 기자 ajh6321@hankyung.com
관련뉴스
