[경제일보] 중소벤처기업부가 추진한 창업 지원 프로젝트 '모두의 창업'에서 발생한 개인정보 유출 사고가 외부 해커 공격이 아닌 사업 참여 업체의 비정상적 정보 수집 행위로 발생한 것으로 드러났다. 정부가 추진한 AI 기반 창업 지원 사업에서 협력업체의 보안 관리 부실이 확인되면서 사업 운영 체계 전반에 대한 점검 필요성이 커지고 있다.
21일 국회와 창업진흥원에 따르면 창업진흥원은 최근 제출한 개인정보 유출 신고서에서 지난 15일 프로젝트 참여 AI 솔루션 업체가 비정상적인 API(응용프로그램 인터페이스) 호출을 통해 비공개 이메일 주소를 확보한 뒤 해당 주소로 홍보 메일을 발송했다고 밝혔다.
창업진흥원은 해당 업체가 서비스 화면에서는 노출되지 않는 정보를 특정 API 호출과 웹 크롤링 방식을 활용해 수집한 것으로 파악했다. 웹 크롤링은 인터넷상 데이터를 자동으로 수집하는 기술이다.
이번 사고는 일반적인 외부 해킹과 달리 프로젝트 수행 과정에 참여한 업체가 정보 유출의 주체라는 점에서 파장이 커지고 있다. 해당 업체는 참가자들의 창업 아이디어 구체화와 사업화 지원을 위해 AI 솔루션을 제공하는 역할을 맡고 있었다.
창업진흥원은 조사 과정에서 일부 서버 API 보안이 충분하지 않았던 점도 확인했다고 설명했다. 서비스 화면에서는 접근이 제한됐지만 참가자 프로필과 심사평 등 일부 정보가 API를 통해 조회될 수 있었던 것으로 파악됐다.
유출된 정보는 비공개 이메일 주소를 비롯해 심사평, 창업 아이디어 요약 내용 등으로 알려졌다. 창업진흥원은 프로젝트 선정자 약 5000명에게 문자메시지를 통해 유출 사실을 통보했으며 개인정보보호위원회 등 관계기관에도 신고를 완료했다.
다만 정확한 유출 규모와 정보 접근 범위는 추가 조사가 필요한 상황이다.
이번 사고는 정부가 AI를 활용한 창업 지원 사업을 확대하는 과정에서 사업 관리와 보안 검증 체계가 미흡했다는 지적을 낳고 있다. 특히 민간 협력업체가 사업 수행 과정에서 확보한 시스템 접근 권한을 어떻게 관리할 것인지가 핵심 과제로 떠오르고 있다.
국민의힘 강승규 의원은 "사업 참여 업체에서 개인정보 유출 사고가 발생한 것으로 보인다"며 "중기부는 무리한 사업 확대보다 관리 체계 전반에 대한 재점검에 나서야 한다"고 지적했다.
한편 중기부는 오는 22일 브리핑을 열고 모두의 창업 사업 진행 현황과 향후 운영 방향, 재발 방지 대책 등을 설명할 예정이다.
댓글 더보기