강승규 의원 자료…"솔루션 업체, 비정상적인 방식으로 비공개 정보 확보"
중기부 해명서 신고 주요 내용 누락 지적도…"중기부, 사업 관리 재점검해야"

합격자 수천 명의 개인정보와 창업 아이디어가 털린 중소벤처기업부의 '모두의 창업' 유출 사고가 외부의 공격이 아닌 해당 프로젝트에 참가자들을 지원하는 업체로 참여한 기업의 해킹으로 발생한 것으로 드러났다.

21일 국민의힘 강승규 의원이 중기부 산하 창업진흥원으로부터 제출받은 '개인정보 유출신고서'에 따르면 창진원은 유출된 시점과 경위에 대해 '지난 15일 오전 9시 (프로젝트에 참여한) AI 솔루션 업체가 비정상적인 API(응용 프로그램 인터페이스) 호출로 비공개된 이메일 주소를 확보했고 해당 메일로 홍보 메일을 발송했다'고 밝혔다.

특히 비공개로 설정된 이메일 주소는 외부 화면상으로 표출이 안 됐지만, 해당 업체는 특정 API 호출을 비롯해 인공지능(AI) 기반의 자동 수집 기능인 '웹 크롤링'을 통해 취득할 수 있었던 것으로 파악했다고 적었다.

정체를 알 수 없는 국내외 해커 조직이 불법적인 방식으로 개인정보 서버를 공격하는 통상적인 해킹 사고와 달리, 이번 모두의 창업 유출사고는 관계자로 참여한 기업이 해킹의 주체가 된 것이다.

AI 솔루션 업체는 참가자들이 창업 아이디어를 구체적으로 발전시킬 수 있도록 다양한 AI 이용을 지원하는 역할을 맡는다.

서비스 화면상에서는 해당 정보에 접근할 수 없도록 기능이 차단됐지만, 도전자 프로필과 심사평 등 일부 서버 API의 보안이 미흡했다고 창진원은 설명했다.

유출 피해 최소화 대책으로 정보 주체가 개인정보 유출 여부를 확인할 수 있도록 홈페이지에 기능을 마련하고, 추가 피해를 최소화하고자 피해 접수 담당 창구를 마련해 안내하겠다고 밝혔다.

아울러 프로젝트 선정자 전원인 5천명에게 문자를 통해 유출 사실을 통지하고, 상급기관에 개인정보 유출 사실을 신고했다고 적었다. 유출 항목은 비공개로 처리된 이메일, 심사평, 아이디어 요약 등이다.

다만, 정확한 유출 규모는 파악이 필요하다고 했다.

앞서 중기부가 해명한 내용에서 이번 유출신고서의 주요 부분이 누락됐다는 지적도 있다.

중기부는 유출 사고가 수면 위로 드러난 지난 18일 오후 1시 30분에 보도설명자료를 내고 "비공개 이메일로 AI 솔루션 업체의 홍보 메일을 수신했다는 플랫폼 이용자의 민원이 접수됐다"는 사실은 언급했지만, 솔루션 업체로 참여한 기업이 해킹 업체라는 점은 밝히지 않았다.

그러나 이보다 10여분 앞선 같은 날 오후 1시 19분에 개인정보보호위원회에 제출한 유출신고서에는 'AI 솔루션 업체가 비공개 이메일 주소를 확보해 홍보 메일을 발송했다'고 유출 경위를 밝혔다.

게다가 유출 시점인 '15일 오전 9시'가 프로젝트 합격자 5천명의 개인 프로필이 공개된 직후라는 점을 근거로, 이런 일정을 미리 인지한 참여 업체가 계획적으로 해킹했다는 의혹도 제기된다.

중기부는 이번 해킹 사고와 관련해 오는 22일 노용석 제1차관이 '모두의 창업 진행 현황 및 향후 운영 방향'을 주제로 브리핑을 열 계획이다.

강 의원은 "모두의창업 AI 솔루션 공급 풀에 포함돼 있던 기업으로부터 개인정보 유출 사고가 발생했을 가능성도 있다"며 "국회 예산안 심의 당시 존재하지도 않던 사업을 무리하게 추진할 게 아니라, 중기부는 허술한 사업 관리 체계 전반에 대한 재점검을 실시해야 한다"고 강조했다.

<연합>