티스토리 뷰
목차
고양이에게 생선을 맡긴 격: 중소벤처기업부 '모두의 창업' 핵심 정보 유출 사고의 전말과 허술한 관리 시스템
중소벤처기업부의 창업 지원 프로젝트인 '모두의 창업'에서 발생한 수천 명의 개인정보 유출 사고가 외 외부 해커가 아닌, 프로젝트 내부 협력 기업인 AI 솔루션 업체의 해킹 행위로 밝혀졌습니다. 국민의힘 강승규 의원이 공개한 자료에 따르면, 해당 업체는 비정상적인 API 호출과 웹 크롤링 방식을 동원해 화면에 표출되지 않는 비공개 이메일 주소, 심사평, 창업 아이디어 요약 등을 탈취해 홍보에 활용했습니다. 창업진흥원은 피해자 5,000여 명에게 통지하고 대응에 나섰으며, 중기부는 노용석 제1차관 주재로 긴급 브리핑을 열 예정인 가운데 정부의 허술한 사업 관리 체계에 대한 비판이 고조되고 있습니다.
1. 충격적인 유출 경위: 외부 테러가 아닌 내부 조력자에 의한 '도끼등 찍기' 해킹 사태
대한민국 창업 생태계를 활성화하고 혁신 아이디어를 발굴하기 위해 출범한 정부 주도 프로젝트가 도리어 참가자들의 핵심 자산을 유출하는 통로로 전락하는 참사가 발생하였다. 국무총리 후보자로 지명된 한성숙 중소벤처기업부 장관이 이끄는 중기부의 대표 사업인 '모두의 창업'에서 대규모 개인정보 및 지식재산권 유출 사고가 발생하여 정국에 커다란 파문을 던지고 있다. 이번 사태가 더욱 충격적인 이유는 그동안의 통상적인 사이버 테러와 달리, 정부 사업의 정식 파트너로 참여한 기업이 가해자라는 기상천외한 내막이 드러났기 때문이다.
국회 산업통상자원중소벤처기업위원회 소속 국민의힘 강승규 의원이 중기부 산하 창업진흥원으로부터 단독 입수한 '개인정보 유출신고서'의 세부 내용을 보면 사태의 심각성은 명확해진다. 유출은 지난 15일 오전 9시경 전격적으로 단행되었다. 도전자들의 아이디어를 기술적으로 보조하고 멘토링해야 할 임무를 부여받은 공식 AI 솔루션 업체가 자신들에게 부여된 접근 권한의 허점을 악용해, 시스템 내부의 비공개 데이터베이스에 고의로 침투하는 비도덕적 해킹 행위를 감행한 것으로 공식 확인되었다.
2. 고도화된 탈취 수법: 비정상적 API 호출과 웹 크롤링을 동원한 은밀한 침투
해당 AI 솔루션 업체가 비공개 정보를 수집하기 위해 동원한 기술적 수법은 대단히 치밀하면서도 대담했다. 일반적인 웹 브라우저 화면상으로는 참가자들의 이메일 주소나 민감한 심사평 등이 전혀 표출되지 않도록 차단막이 형성되어 있었다. 그러나 해당 업체는 시스템 내부적으로 데이터를 주고받는 통로인 서버 API(응용 프로그램 인터페이스)의 보안 취약점을 정확히 인지하고 있었으며, 이를 비정상적인 방식으로 반복 호출하는 비정형 공격을 감행하였다.
여기에 그치지 않고, 인공지능 기반의 자동 데이터 수집 소프트웨어 기술인 '웹 크롤링(Web Crawling)' 기법을 결합하여 보안 벽 뒤에 숨겨진 비공개 이메일 주소들을 대량으로 긁어모았다. 이렇게 부정한 방법으로 확보된 민감한 개인정보들은 해당 업체의 자사 비즈니스 확장을 위한 마케팅 및 홍보 메일 발송용 데이터로 즉각 악용되었다. 결국 도전자들을 돕겠다는 명목으로 정부 사업에 합류한 인공지능 전문 기업이, 실제로는 정부의 허술한 백엔드 보안 체계를 비웃으며 참가자들의 개인정보를 무단 탕진한 셈이다.
3. 뚫려버린 중기부 보안망: 프로필부터 심사평, 아이디어 요약까지 전방위 탈취 피해
이번 유출 사고로 인해 사법적·경제적 피해를 입게 된 대상은 '모두의 창업' 프로젝트에 당당히 합격한 유망 창업가 전원인 5,000여 명에 달한다. 창업진흥원의 자체 조사 결과, 외부로 흘러 나간 데이터의 항목들은 단순히 이름이나 연락처 수준에 머무는 것이 아니다. 화면 비공개 처리된 이메일 주소는 물론이고, 외부로 절대 유출되어서는 안 되는 심사위원들의 냉정한 비공개 심사평, 그리고 예비 창업가들의 생명줄과 다름없는 창업 아이디어 요약본까지 고스란히 털린 것으로 파악되었다.
창업 시장에서 아이디어 요약과 비공개 평가 데이터는 비즈니스의 성패를 가르는 핵심 대외비 자산이다. 이것이 동종 업계인 AI 솔루션 업체에 고스란히 넘어갔다는 것은 기술 도용 및 아이디어 표절 등 2차 피해로 이어질 가능성이 대단히 높은 심각한 재앙이다. 창진원 측은 도전자 프로필과 심사 시스템을 연결하는 서버 API의 보안 관리에 명백한 미흡점이 존재했음을 공식 인정했다. 현재 피해 최소화 대책으로 홈페이지 내 유출 여부 확인 기능 신설과 전용 피해 접수 담당 창구를 긴급 개설하여 수습에 나섰으나, 이미 사후약방문에 불과하다는 비판이 지배적이다.
4. 거세지는 무리한 사업 추진 비판: 국회 강승규 의원이 제기한 정부 책임론
사태의 파장이 걷잡을 수 없이 확산되자 정치권에서는 정부의 무능한 사업 관리 체계를 정조준하며 파상 공세를 퍼붓고 있다. 중기부 자료를 폭로한 국민의힘 강승규 의원은 이번 유출 사고가 예견된 인재(人災)라고 규정했다. 강 의원은 "과거 국회 예산안 심의 당시에는 존재하지도 않았던 사업을 중기부가 치밀한 준비 과정 없이 무리하게 속도전으로 추진하다 보니 이 같은 대참사가 벌어진 것"이라며 정권 성과 내기용 졸속 행정이 부른 참극임을 명확히 했다.
특히 국가 공공 프로젝트에 참여하는 민간 위탁 및 협력 업체를 선정하는 과정에서 기본적인 보안성 검증이나 도덕성 스크리닝이 전혀 이루어지지 않았다는 점이 도마 위에 올랐다. 강 의원은 중소벤처기업부와 창업진흥원을 향해 허술하기 짝이 없는 현재의 사업 관리 체계 전반에 대해 뼈를 깎는 재점검과 전수조사를 즉각 실시하라고 강력히 촉구했다. 정부의 예산 집행 과정에서 발생한 보안 참사인 만큼, 향후 상임위 차원의 전방위적인 국정감사와 책임자 문책이 불가피할 것으로 전망된다.
5. 정부의 긴급 수습 국면: 노용석 제1차관 브리핑 예고와 향후 운영 방향의 귀추
상황의 시급성을 인지한 중소벤처기업부는 상급 기관에 유출 사실을 공식 신고하는 한편, 오는 22일 노용석 제1차관을 브리퍼로 내세워 정부의 공식 입장과 후속 대책을 발표하겠다고 예고했다. 이번 긴급 브리핑의 핵심 주제는 '모두의 창업 진행 현황 및 향후 운영 방향'으로 설정되었으며, 이 자리에서 정확한 유출 규모의 확정치와 해당 AI 솔루션 업체에 대한 사법적 고발 및 손해배상 청구 등 초강경 대응책이 담길지 시선이 집중되고 있다.
정부는 이번 사태로 실추된 정책 신뢰도를 회복하기 위해 공공 시스템 전반의 API 보안 등급을 전면 상향하고, 민간 참여 기업에 대한 강력한 보안 서약 및 위반 시 페널티 조항을 신설하는 등 진화에 나설 것으로 보인다. 그러나 한성숙 중기부 장관의 국무총리 인사청문회를 앞둔 민감한 시점인 만큼, 이번 보안 붕괴 사태는 단순한 행정적 과실을 넘어 야권의 거센 송곳 검증과 맞물려 거대한 정치적 폭풍우로 돌변할 가능성이 대단히 고조되어 있다.
중소벤처기업부의 '모두의 창업' 유출 사태는 대한민국 정부의 공공 데이터 보안 의식이 얼마나 안일하고 처참한 수준인지를 날것 그대로 보여준 부끄러운 자화상입니다. 외부의 악의적인 해커 조직이 뚫고 들어온 것도 아니고, 정부가 예산을 쥐여주며 심사 파트너로 내정한 내부 솔루션 업체가 크롤링과 API 호출이라는 기초적인 기술로 참여자들의 생명줄인 아이디어를 훔쳐 갔다는 사실은 실소를 자아내게 만듭니다. 도전자들의 열정을 담보로 자신들의 사익을 채우려 한 해당 AI 업체의 부도덕함은 엄중한 형사 처벌로 다스려야 마땅합니다.
보다 근본적인 문제는 성과주의에 급급해 국회 예산 심의조차 거치지 않은 사업을 무리하게 밀어붙인 중기부의 행정 만능주의에 있습니다. 백엔드 서버의 API 통제권조차 제대로 확보하지 못한 채 5,000명의 꿈과 개인정보를 판도라의 상자처럼 열어둔 창업진흥원의 관리 소홀은 결코 면죄부를 받을 수 없습니다. 한성숙 장관의 내각 이동 시점과 맞물려 터진 이번 악재를 중기부가 어떻게 책임감 있게 수습하는지, 그리고 피해를 입은 새싹 창업가들의 아이디어 도용에 대한 실질적 보상안을 어떻게 마련할 것인지 눈을 부릅뜨고 감시해야 할 것입니다.