보안업계 "사업계획서 유출됐다면 더 심각"…'모두의 창업' 파장 확산

국무총리 후보자인 한성숙 중소벤처기업부 장관이 지난 16일 마포구 SVC 서울에서 열린 모두의 창업 1기 출범식에서 인사말을 하고 있다. ⓒ연합뉴스

합격자 약 5000명의 개인정보와 창업 아이디어가 유출된 중소벤처기업부의 '모두의 창업' 정보유출 사고를 두고 2차 피해 우려가 커지고 있다. 특히 기술 관련 자료나 사업계획서까지 유출됐을 경우 아이디어 하나로 창업을 꿈꾸던 예비 창업자들의 꿈을 정부의 무책임한 보안 관리로 무산시킨다는 점에서 비난의 여지가 더 크다.

보안업계는 철저한 사고 원인 규명은 물론, 정부 차원의 신속한 보안 점검 및 재발 방지 대책 마련이 시급하다고 지적한다.

22일 업계에 따르면 모두의 창업은 지난 18일 지원자들에게 '개인정보 유출에 대한 안내 및 사과의 말씀' 공지를 통해 프로젝트 선정자 5000명의 이메일, 아이디어 요약, 심사평 등이 유출됐다고 알렸다.

참가 지원 기업이 정보 수집 주체로…공공 플랫폼 보안 허점 도마

이번 유출은 외부의 공격이 아닌 해당 프로젝트 참여자를 지원하는 업체로 참여한 기업의 해킹으로 발생한 것으로 드러났다.

국민의힘 강승규 의원이 창업진흥원으로부터 제출받은 '개인정보 유출신고서'에 따르면 창진원은 유출된 시점과 경위에 대해 '지난 15일 오전 9시 (프로젝트에 참여한) AI 솔루션 업체가 비정상적인 API(응용 프로그램 인터페이스) 호출로 비공개된 이메일 주소를 확보했고 해당 메일로 홍보 메일을 발송했다'고 밝혔다.

해당 업체는 특정 API 호출을 비롯해 인공지능(AI) 기반의 자동 수집 기능인 '웹 크롤링'을 통해 취득할 수 있었던 것으로 파악했다고 적었다. 프로젝트 관계사로 참여한 기업이 정보 수집의 주체가 됐다는 점에서 파장이 커지고 있다.

이 같은 취약점은 한 달 전부터 제기됐던 것으로 알려지면서 정부의 보안 관리 부실 논란도 커지고 있다. 자신을 모두의창업 1차 합격자이자 개인정보 유출 피해자라고 소개한 작성자는 SNS에 "지난달 7일 모두의 창업 플랫폼에서 지원자들의 개인정보가 API 응답으로 구조화돼 노출되는 심각한 취약점을 발견했다"고 주장했다.

그는 "'관련 부서에 전달해 내부 확인 후 조치하겠다'는 공식 답변을 받았지만 한 달 뒤 우려하던 일이 현실이 됐다"고 꼬집었다. 중기부는 "해당 게시글이 올라오자마자 작성자와 소통해 내용을 확인하고 즉시 조치를 했다"면서도 "구체적인 내용은 밝히기 어렵다"고 해명했다.

내부 우려에도 적절한 대응이 이뤄지지 않은 것에 대해 전문가들은 원인 분석, 예산 문제 등을 거론한다.

염흥열 순천향대 정보보호학과 명예교수는 "두 가지 측면이 있다. 하나는 원인 분석이 정확히 안 된 경우이며, 다른 하나는 원인 분석은 됐지만 예산 문제 때문에 필요한 장비나 조치를 투입하지 못했을 가능성"이라며 "둘 중 어떤 상황이었는지 확인이 필요하다"고 설명했다.

'모두의 창업' 개인정보 유출 사실 안내 갈무리ⓒ독자 제보

공공 플랫폼의 보안 사고는 단순 시스템 오류 보다 구조적인 문제로 봐야 한다는 주장도 제기된다.

홍준호 성신여대 융합보안공학과 교수는 "공공 플랫폼에서 발생하는 정보유출 사고는 단순히 시스템 오류 때문이라기보다 구조적인 문제에서 비롯되는 경우가 많다. 최근 공공서비스는 AI, 클라우드, 오픈 API, 외부 솔루션 연계 등 다양한 디지털 기술을 활용하면서 서비스 복잡성이 크게 증가했다"고 설명했다.

반면 이를 관리하는 공공기관의 보안 역량과 인력은 그 속도를 따라가지 못하는 경우가 많으므로, 기본적인 보안 인력 확충 및 관리체계 구축이 시급하다는 지적이다.

"특허 출원 전 기술 유출 땐 치명적"…창업자들 불안

유출 범위가 더 클 가능성도 배제할 수 없다. 창진원이 비공개 처리된 이메일, 심사평, 아이디어 요약을 유출 항목으로 설명하면서도 정확한 유출 규모는 추가 파악이 필요하다고 밝혔기 때문이다.

실제 참가자들의 불안도 커지고 있다. 이번 프로젝트에 참가한 A씨는 "정부에서 하는 사업이라 마음 놓고 신청한 면도 있는데, 사고가 발생해 당황스러웠다"며 "아직 아이디어 단계라 기술을 구체화하진 않았지만 단순 개인정보 유출과는 다르게 느껴졌다. 안내 조치는 빨랐어도 누군가 열람했고, 유출된 정보가 어떻게 활용될지 알 수 없어 찜찜하다"고 토로했다.

특히 기술 관련 자료, 사업계획서 등까지 범위가 확산할 경우 2차 피해가 우려되는 만큼 신속한 규모 파악이 이뤄져야 한다고 전문가들은 주장한다.

홍 교수는 "창업 플랫폼에서 관리되는 사업계획서와 기술자료는 개인정보를 넘어 기업의 핵심 자산에 해당한다. 이러한 자료가 유출될 경우 경쟁사가 사업 아이디어를 선점하거나 기술 내용을 모방할 수 있으며, 특허 출원 전 기술의 경우 신규성 상실 등 지식재산권 보호에도 악영향을 줄 수 있다"고 우려했다.

그는 이어 "투자자료에는 사업 전략, 재무 현황, 투자유치 계획 등이 포함돼 있어 투자 협상력 약화나 기업가치 훼손으로 이어질 수 있다. 유출된 정보를 기반으로 투자기관이나 정부기관을 사칭한 정교한 표적형 피싱 공격이 발생할 가능성이 높다"면서 "참가자 입장에서는 단순 개인정보 유출보다 훨씬 심각한 아이디어·기술유출 피해가 발생할 수 있는 사안"이라고 지적했다.

염 교수는 "만약 아직 출원을 안 하고 아이디어 차원에서만 특허를 갖고 있던 기업이라면, 서둘러 특허를 출원할 필요가 있다"면서 "사업계획서의 경우 투자 계획 등은 비즈니스에 상당히 큰 영향을 줄 수 있다. 아직 초기 단계라 하더라도, 사업계획서가 유출됐다는 가정 하에 내용을 한 번 더 재검토할 필요가 있다"고 지적했다.

.모두의 창업 홈페이지 캡처

"API 차단으로 끝낼 문제 아냐"…후속조치 강화 촉구

정확한 유출 규모와 원인 규명과 더불어 API 취약점을 포함해 보안 취약점을 점검하는 동시에 관리 체계 개선도 시급히 추진해야 한다고 전문가들은 입을 모았다.

염 교수는 "원인 규명이 제대로 되지 않는다면 외부 전문 인력을 활용해 원인을 확실히 찾고, 그에 맞는 보호 대책을 마련해야 한다"면서 "원인 규명은 됐지만 보호 조치가 취해지지 않은 상태라면, 예산 등을 확보해 가능한 한 빨리 조치를 해야 한다"고 말했다.

홍준호 교수는 "이번 사건은 단순히 API 하나를 차단하는 것으로 끝낼 문제가 아니다"라면서 "이미 사전 제보가 있었고 실제 유출이 발생한 만큼 보다 강도 높은 후속조치가 필요하다"고 지적했다.

홍 교수는 이어 "전체 플랫폼에 대한 보안 점검과 함께 제보된 API뿐만 아니라 모든 API, 데이터베이스(DB), 관리자 기능, 외부 연동 서비스에 대한 전면적인 취약점 진단을 실시해야 한다"면서 "접근 통제, 접근 권한 최소화, 모니터링 체계 강화가 무엇 보다 시급하다고 덧붙였다.