_ 6월 15일 AI 업체의 비정상적 API 호출로 5000명 이메일·아이디어 유출

_ 5월 취약점 제보 묵살 및 68시간 늑장 통보 등 예견된 보안 참사 지적

_ 중기부 "수사 의뢰 및 영업비밀 원본증명 전폭 지원… 2기 일정 무기한 연기“

중소벤처기업부 '모두의 창업' 누리집에 개인정보 유출 사고에 대한 사과문이 게재돼 있다. 사진=모두의창업 누리집 캡처

[서울=더피플매거진] 6만 3000여 명의 예비 창업자가 몰리며 범국가적 기대를 모았던 중소벤처기업부의 창업 지원사업 ‘모두의 창업’이 사상 초유의 정보 유출 사태로 얼룩졌다.

혁신적인 아이디어를 발굴해 지원하겠다던 당초 취지와 달리, 1차 합격자 5,000명의 핵심 아이디어와 개인정보가 외부로 고스란히 노출되면서 정부 창업 정책의 신뢰도가 뿌리째 흔들리고 있다.

사건은 1차 합격자 5,000명(일반·기술트랙 4,000명, 로컬트랙 1,000명)이 발표된 지 불과 6일 만인 지난 6월 15일 오전 9시경 발생했다.

유출의 진원지는 다름 아닌 '모두의 창업' 프로젝트에 참여한 협력사였다. 창업진흥원은 합격자들의 아이디어 고도화를 지원하기 위해 370여 개의 AI 솔루션 공급업체를 심사해 200여 곳을 선정했는데, 이 중 한 업체가 시스템의 취약점을 파고들었다.

해당 업체는 웹사이트 화면(프론트엔드)에는 노출되지 않는 백엔드(Back-end) 서버의 암호화된 데이터를 비정상적인 API(애플리케이션 프로그래밍 인터페이스) 호출 방식으로 빼냈다. 이들은 권한을 속여 접근하는 웹 크롤링 수법을 통해 5,000명의 비공개 이메일 주소, 심사평, 아이디어 요약본 등을 무단으로 수집한 뒤 자사의 홍보 메일을 대량 발송한 것으로 파악됐다. 중기부는 당일 오후 4시에 해당 API를 차단하고 이튿날 자동수집 차단 조치를 추가했다.

◇ 묵살된 경고와 늑장 대응… ‘예견된 참사’

업계 전문가들은 이번 사태를 두고 단순한 해킹 사고가 아닌 '예견된 인재(人災)'라고 지적한다.

가장 큰 쟁점은 플랫폼 개발사와 운영 기관의 보안 불감증이다. 이미 한 달 전인 지난 5월, 1만 6,000건의 아이디어와 8,000여 명의 팀원 정보가 노출된다는 취약점 제보가 있었음에도 참사를 막지 못했다. 당시 플랫폼 개발사는 즉각 차단 조치만 취했을 뿐, 주무 부처인 중기부나 창업진흥원에는 이 사실을 전혀 보고하지 않은 채 은폐한 것으로 드러났다.

지난해 중기부 보안감사에서 창업진흥원이 무더기 감점을 받았음에도 개선이 지연된 점, 유출 사고 발생 이후 피해 당사자들에게 통보되기까지 무려 68시간이 소요된 점 등은 부실한 보안 및 대응 체계의 민낯을 여실히 보여준다. 심지어 사태 발생 직전 '모두의 창업' 기획 TF팀이 6만 명 흥행을 이끌었다는 명목으로 3,700만 원의 포상금을 수령한 사실이 알려지며 여론의 공분은 더욱 커졌다.

현재 가장 우려되는 대목은 5,000명의 '창업 아이디어' 도용 문제다. 상세 사업계획서 전체가 유출되지는 않았으나, 핵심이 담긴 아이디어 요약본과 심사평이 경쟁사나 제3자에게 넘어가 악용될 경우 그 피해는 산술적으로 추산하기 어렵다. 합격자들 사이에서는 "정부 사업이 모두의 아이디어를 모두에게 노출시켰다"는 분노 섞인 자조가 나오고 있다.

국무총리 후보자로 지명된 한성숙 중소벤처기업부 장관이 22일 오전 서울 종로구 금융감독원 연수원에 마련된 인사청문회 준비사무실로 출근하며 '모두의 창업' 합격자 5000명의 개인정보와 창업 아이디어가 유출된 사고와 관련 입장 발표를 하며 고개숙여 사과하고 있다. 사진=뉴시스

◇ 중기부 공식 입장 "피해구제 총력… 2차 사업 무기한 연기"

사태가 눈덩이처럼 커지자 한성숙 국무총리 후보자가 출근길 공개 사과를 한 데 이어, 노용석 중기부 제1차관이 22일 브리핑을 열고 사태 수습을 위한 공식 입장과 대책을 발표했다.

중기부는 해당 AI 업체를 사업에서 즉각 배제하고, 22일 경찰청에 정식 수사를 의뢰했다. 노 차관은 "국정원 조사 결과 현재까지 9개의 IP가 비정상적인 호출을 한 것으로 확인됐다"며 "해당 업체는 공개된 정보만 수집했다고 주장하나, 권한 없는 자가 시스템을 속여 정보를 획득한 명백한 해킹의 한 유형으로 보고 있으며 혐의 확정 시 엄중한 법적 책임을 물을 것"이라고 밝혔다. 아울러 5월 보안 제보를 묵살한 플랫폼 개발사에 대해서도 책임을 묻겠다고 덧붙였다.

유출된 아이디어 보호를 위해 중기부는 합격자 5,000명 전원을 대상으로 '영업비밀 원본증명' 서비스를 지원한다. 노 차관은 "원본증명을 통해 내용과 시기를 전자지문으로 인식시켜 소유주를 명확히 할 것"이라며 "추후 타인의 아이디어 도용 등 피해가 발생해 소송전으로 갈 경우 법률 전문가 상담 및 소송 지원 사업까지 연계하겠다"고 약속했다.

피해 사실 통보가 지연된 것에 대해 중기부 측은 "유출 범위와 대상을 특정하는 프로세스 구축에 시간이 소요됐다"며 "법적 기한인 72시간 이내에 선별이 어렵다고 판단해 선제적으로 5,000명 전원에게 안내한 것"이라고 해명했다. 또한 유출 정보가 브로커에게 넘어갈 부작용에 대비해 제3자 부당 개입에 대한 조사와 법적 기반 마련을 함께 추진하고 있다고 밝혔다.

당장 다음 달로 예정됐던 '2차 모두의 창업' 모집 일정은 전면 중단된다. 노 차관은 "확대 개편한 모두의 창업 TF에 사이버 안보팀을 추가했다"며 "조사 결과가 나오고 완벽한 시스템 보안 점검이 완료될 때까지 2차 출범 시점은 무기한 연기·조정할 계획"이라고 밝혔다.

국가 혁신 동력을 발굴하려던 대형 프로젝트가 보안 1차 관문에서 참사를 겪으며, 향후 경찰 수사 결과와 정부의 피해 보상 절차가 창업 생태계 신뢰 회복의 중대한 시험대가 될 전망이다.

#모두의창업 #중소벤처기업부 #정보유출 #창업아이디어 #영업비밀원본증명 #해킹 #더피플매거진