모두의 창업, 참여 기업이 해킹…중기부 보안 의식도 논란

중소벤처기업부의 창업 프로젝트 ‘모두의 창업’에서 발생한 개인정보 유출사태가 외부 공격이 아닌 참가자들을 지원하는 업체의 해킹에 의해 발생한 것으로 드러났다. 외부 해커 조직이 서버를 공격하는 통상적인 해킹 사고와 달리, 관계자로 참여한 기업이 해킹의 주체가 된 점에서 충격을 안기고 있다.

21일 국민의힘 강승규 국민의힘 의원이 창업진흥원으로부터 제출받은 ‘개인정보 유출신고서’에 따르면 해당 프로젝트에 참여한 인공지능(AI) 솔루션 업체는 지난 15일 오전 9시 비정상적인 응용 프로그램 인터페이스(API) 호출로 비공개된 이메일 주소를 확보했다. 이 업체는 해당 메일 주소로 홍보 메일을 발송한 것으로 드러났다. 창업진흥원은 중기부 산하 기관으로 모두의 창업 프로젝트에서 개인정보 운용을 담당했다.

국무총리 후보자인 한성숙 중소벤처기업부 장관이 지난 16일 서울 마포구 SVC 서울에서 열린 모두의 창업 1기 출범식에서 축사를 하고 있다. 뉴스1

비공개로 설정된 이메일 주소는 외부 화면상으로 표출이 되지 않지만, 해당 업체는 특정 API 호출을 비롯해 AI 기반의 자동 수집 기능인 ‘웹 크롤링’을 통해 취득한 것으로 창진원은 파악했다. 이 업체는 참가자들이 창업 아이디어를 구체적으로 발전시킬 수 있도록 다양한 AI 이용을 지원하는 역할을 했다. 정보 유출의 구체적인 이유는 아직 밝혀지지 않았지만 향후 조사를 통해 드러날 것으로 보인다.

유출 항목은 비공개로 처리된 이메일, 심사평, 아이디어 요약 등이다. 앞서 중기부는 개인정보 유출 피해가 의심되는 대상은 모두의 창업 지원자 6만2944명 중 1차에 합격한 5000명이라고 밝혔다.

창진원은 “서비스 화면상에선 해당 정보에 접근할 수 없도록 기능이 차단됐지만, 도전자 프로필과 심사평 등 일부 서버 API의 보안이 미흡했다”고 설명했다. 그러면서 “유출 피해 최소화 대책으로 정보 주체가 개인정보 유출 여부를 확인할 수 있도록 홈페이지에 기능을 마련하고, 추가 피해를 최소화하기 위해 피해 접수 담당 창구를 마련해 안내하겠다”고 전했다.

강 의원은 "중기부는 국회 예산안 심의 당시 존재하지도 않던 사업을 무리하게 추진할 게 아니라, 허술한 사업 관리 체계 전반에 대한 재점검을 실시해야 한다"고 강조했다.

중기부의 허술한 보안 의식도 문제로 지적된다. 2025년 중기부 정보보안 감사 미비점 개선 계획에 따르면 창진원은 지난해 중기부 정보보안 감사 15개 항목에서 미비점이 확인돼 감점을 받았다. 하지만 지난달 창진원이 제출한 개선 계획에는 감점 항목 가운데 8개만 개선 조치가 포함됐고, 나머지 7개는 조치가 이뤄지지 않았다. 중기부가 모두의 창업 개인정보 관리를 창진원에 맡긴 것이 부적절했다는 지적이 나오는 이유다.

중기부는 오는 22일 노용석 제1차관을 발표자로 이번 해킹 사고와 관련해 브리핑을 열 계획이다.

임선영 기자 youngcan@joongang.co.kr