1. 개요

  • 2026년 6월, 중소벤처기업부가 주관한 대국민 창업 프로젝트 ‘모두의 창업’에서 개인정보 유출 정황이 확인되었습니다.
  • 이번 사고는 프로젝트 참가자들의 AI 솔루션 활용을 돕기 위해 등록된 한 AI 전문 업체가 비정상적인 API(응용 프로그램 인터페이스) 호출과 웹 크롤링(자동 데이터 수집) 기술을 이용해 참가자들의 정보를 무단 수집한 것으로 확인되었습니다.
  • 해당 사안은 1차 합격자에게서 비공개 정보가 외부에 노출된 사례로, 주관 기관이 유출 사실을 인정하고 사과 및 후속 조치를 안내한 것으로 확인됩니다.

 

2. 피해범위

  • 현재까지 확인된 유출 대상은 1차 합격자 5,000명입니다.
  • 일부 자료에서는 공개 대상자 수를 5,000명으로 동일하게 제시하며, 6월 15일 오전부터 같은 날 오후 사이에 유출이 발생한 것으로 추정된다고 설명합니다.
  • 다만 실명, 휴대전화번호, 신청서의 상세 아이디어까지는 유출되지 않았다고 기관 측은 밝혔습니다.

 

3. 유출항목

  • 확인된 유출 항목은 이메일 주소, 창업 아이디어 요약 정보, 심사평입니다.
  • 일부 자료에서는 창업 아이템 관련 정보가 함께 노출되었다고 설명하지만, 신청서 전체와 상세 아이디어는 확인된 유출 범위에 포함되지 않았다고 정리됩니다.
  • 즉, 참가자 식별 정보 일부와 평가 관련 정보가 함께 노출된 형태로 보입니다.

 

 

4. 원인

  • 기관 측 설명에 따르면, 허가되지 않은 경로를 통한 접근이 확인되었고, 일부 IP에서 비공개 정보에 접근한 정황이 파악되었습니다.
  • 또한 6월 15일 오전 9시 이후 비공개 정보 접근 시도가 있었고, 이후 차단 조치가 이뤄진 것으로 전해집니다.
  • 다만, 현재 공개된 자료만으로는 정확한 침해 방식이나 최종 원인이 확정되었다고 보기는 어렵습니다.
  • 프로젝트 참가자들의 AI 솔루션 활용을 돕기 위해 등록된 한 AI 전문 업체가 도전자 프로필·심사평 API(응용 프로그램 인터페이스)에 비정상적인 호출과 웹 크롤링(자동 데이터 수집) 기술을 이용해 참가자들의 정보를 무단으로 수집하였습니다.

 

5. 대응

  • 중기부와 창업진흥원은 유출 사실을 대상자에게 개별 통지하고, 누리집 공지를 통해 상황을 안내했습니다.
  • 아울러 한국인터넷진흥원에 신고하고, 피해신고센터를 운영하며, 허가되지 않은 접근 경로를 차단한 뒤 외부 전문기관과 함께 조사 및 보안 점검을 진행 중입니다.
  • 기관 측은 피해자 보호와 추가 피해 방지를 위해 필요한 조치를 신속히 추진하겠다고 밝혔습니다.
  • 문제가 된 API를 차단하고 웹 크롤링 방지 기능을 긴급 도입했습니다.

 

6. 문제점

  • 가장 큰 문제는 공공 성격의 창업 지원 사업에서 참가자의 민감한 사업 아이디어와 평가 정보까지 노출되었다는 점입니다.
  • 또한 이메일, 아이디어 요약, 심사평이 함께 유출되면서 단순 개인정보를 넘어 창업 아이템 보호와 공정성 문제까지 불거졌습니다.
  • 더 나아가, 비공개 정보 접근 통제가 충분히 엄격했는지, 사전 차단과 모니터링이 적절했는지에 대한 의문도 제기되고 있습니다.
  • 20일 SNS에는 자신을 1차 합격자라고 밝힌 한 피해자의 폭로 글이 게재되었는데, 이미 한 달 전인 5월 7일 해당 플랫폼의 API 응답 과정에서 약 1만 6000건의 아이디어와 2만여 건의 팀원 정보가 날것 그대로 노출되는 취약점을 발견해 구체적인 개선 권고안과 함께 공식 제보했다고 주장했습니다.
  • 당시 중기부 측은 "내부 확인 후 조치하겠다"는 답변을 남겼고 실제로 비공개 조치를 취했다고 해명했으나 결과적으로 며칠 뒤 다른 보안 사각지대(도전자 프로필·심사평 API)를 통해 동일한 형태의 유출 사고가 재발하였으며 창진원은 뒤늦게 문제가 된 API를 차단하였습니다.

 
 
 

반응형

+ Recent posts