중소벤처기업부의 창업 지원 프로젝트 ‘모두의 창업’에서 발생한 개인정보 유출 사고가 프로젝트 참여 기업의 비정상적 정보 수집 과정에서 발생한 것으로 드러났다.

프로젝트 참가자 지원을 맡은 AI 솔루션 업체가 비공개로 설정된 이메일 주소를 확보해 홍보 메일을 발송한 것으로 파악되면서, 사업 참여 기업에 대한 보안 검증과 관리 체계가 도마에 올랐다.

21일 국민의힘 강승규 의원이 중소벤처기업부 산하 창업진흥원으로부터 제출받은 개인정보 유출신고서에 따르면, 해당 AI 솔루션 업체는 지난 15일 오전 9시께 비정상적인 API 호출을 통해 비공개 이메일 주소를 확보한 뒤 홍보 메일을 발송했다.

창진원은 서비스 화면에서는 이용자가 접근할 수 없도록 차단된 정보였지만, 일부 서버 API의 보안이 충분하지 않아 특정 호출과 AI 기반 자동 수집 방식인 웹 크롤링을 통해 정보 취득이 가능했던 것으로 파악했다고 밝혔다.

유출된 정보에는 비공개 이메일 주소를 비롯해 도전자 프로필, 심사평, 창업 아이디어 요약 등이 포함된 것으로 알려졌다. 프로젝트 선정자 전원인 5000명에게는 문자로 유출 사실이 통지됐으며, 정확한 유출 규모는 추가 확인이 필요한 상황이다.

이번 사고는 외부 해커 조직이 개인정보 서버를 공격한 일반적 해킹 사례와 달리, 플랫폼 운영 과정에 참여한 기업이 정보 확보 주체로 지목됐다는 점에서 파장이 크다.

해당 AI 솔루션 업체는 참가자들이 창업 아이디어를 발전시키는 과정에서 AI 활용을 지원하는 역할을 맡은 것으로 전해졌다. 서비스 운영 구조와 참가자 데이터 접근 권한을 이해하는 사업 참여 기업이 정보 수집에 관여했을 가능성이 제기되면서, 초기 공급망 단계부터 보안 통제를 강화해야 한다는 지적이 나온다.

중기부의 초기 대응을 둘러싼 논란도 이어지고 있다. 중기부는 유출 사고가 알려진 지난 18일 보도설명자료에서 플랫폼 이용자의 민원이 접수됐다는 사실은 언급했지만, 참여 업체가 비공개 이메일 주소를 확보해 홍보 메일을 발송한 경위는 구체적으로 밝히지 않았다.

반면 개인정보보호위원회에 제출된 유출신고서에는 AI 솔루션 업체가 비공개 이메일을 확보한 뒤 홍보 메일을 보냈다는 내용이 담긴 것으로 전해졌다. 유출 시점이 프로젝트 합격자 5000명의 개인 프로필 공개 직후라는 점도 사전 인지와 계획적 접근 여부를 둘러싼 의혹을 키우고 있다.

강 의원은 “모두의창업 AI 솔루션 공급 풀에 포함된 기업으로부터 개인정보 유출 사고가 발생했을 가능성도 있다”며 “사업을 무리하게 추진하기보다 중기부가 사업 관리 체계와 개인정보 보호 시스템 전반을 재점검해야 한다”고 밝혔다.

중기부는 오는 22일 노용석 제1차관 주재로 ‘모두의 창업 진행 현황 및 향후 운영 방향’을 주제로 브리핑을 열 예정이다. 업계에서는 참여 기업의 API 권한 관리, 데이터 접근 기록 점검, 외부 솔루션 공급사에 대한 보안 심사 강화 등이 후속 대책에 포함돼야 한다는 목소리가 나온다.