[이데일리 김세연 기자] 6만명 이상이 참여한 대국민 창업 프로그램 ‘모두의 창업’에서 발생한 개인정보 유출 사고가 사실상 예견된 사고였던 것으로 드러났다. 참가자의 비공개 정보가 외부에 과도하게 노출된다는 지적이 한 달여 전 이미 제기됐지만 근본적인 보완이 이뤄지지 않았고 결국 이메일 주소와 심사평 등이 유출된 것이다. 또 모두의 창업 주관기관인 창업진흥원(창진원)은 지난해 정보보안 감사에서 15개 미비점이 발견돼 감점을 받았던 것으로 나타났다.

21일 중소기업 업계에 따르면 모두의 창업 1기 참가자라고 밝힌 A씨는 지난달 7일 모두의 창업 홈페이지 문의 게시판에 “모두의 창업 아이디어 목록 화면에서 앱 개발 인터페이스(API)를 호출하면 개인정보성 정보가 너무 많이 응답된다”는 내용의 글을 올렸다. 개인정보가 필요 이상으로 외부에 제공되고 있다는 취지의 문제 제기였다.

강승규 국민의힘 의원실이 중소벤처기업부 산하기관인 창진원으로부터 제출받은 ‘개인정보 유출 신고서’에 따르면 A씨가 지적한 문제가 고쳐지지 않은 채 모두의 창업 프로젝트 합격자 5000명 정보에 대한 유출 사고가 일어났다.

창진원은 사고 발생 직후 개인정보보호위원회(개보위)에 제출한 신고서에서 “비공개로 설정돼 있던 이메일 주소는 외부 화면 상으로 표출되지 않았으나 특정 API 호출 및 인공지능(AI) 기반 자동 수집, 웹 크롤링을 통해 취득이 가능했던 것으로 파악됐다”고 밝혔다. 또 “서비스 화면에서는 개인정보에 접근할 수 없도록 기능이 차단돼 있었으나 일부 서버 API(도전자 프로필, 심사평) 보안이 미흡했다”고 설명했다. 보안이 미흡해 지난 15일 오전 9시께 지원자의 이메일 주소, 심사평, 아이디어 요약 등이 외부에 유출됐다는 내용이었다.

중기부 관계자는 한 달 전 문제 제기가 있었던 것에 대해 “5월 7일에 플랫폼 개발사에서 해당 문제를 인식한 후 당일에 조치를 완료했다고 보고 받았다”며 “플랫폼사가 조치했기 때문에 세부적인 내용은 확인이 필요하다”고 설명했다. 모두의 창업 홈페이지는 AI 솔루션 개발사인 트리플오스가 담당하고 있다.

이번 사고를 계기로 중기부와 산하기관의 보안 관리 수준도 도마 위에 다시 올랐다. ‘2025년 중기부 정보보안 감사 미비점 개선 계획’에 따르면 모두의 창업 사업을 주관하는 창진원은 지난해 정보보안 감사에서 총 15개 항목에 대한 미비점을 지적받아 감점 조치를 받았다. 구체적으로 △관리자 접근통제 미흡 △중요 파일 암호 설정 미흡 △사용하지 않는 보안솔루션 계정 관리 미흡 △문서 내부에 별도 파일을 첨부하는 기능(OLE 객체 삽입) 취약점 관리 미흡 △계정 사용 이력 점검 부족 등 항목이었다. 그러나 창진원이 지난달 제출한 개선 계획을 보면 감점 항목 가운데 개선이 완료된 것은 8개에 불과했고, 나머지 7개는 여전히 개선 조치가 안 된 상태였다.