[서울=뉴시스]강은정 기자 = 정부의 '모두의 창업' 프로젝트에서 발생한 개인 정보 유출 사고가 한 달 전부터 예견됐다는 주장이 나왔다. 중소벤처기업부(중기부)는 당시 적절한 조치를 취했다는 입장이지만, 최근까지 관련 보안이 미흡했던 것으로 나타났다. 또 합격자 지원을 맡은 인공지능(AI) 솔루션 업체가 유출 사고를 일으킨 것으로 파악됐다.

21일 관련 업계에 따르면 전날 "사고 발생 한 달 전 이미 유사한 보안 취약점을 발견해 공식 제보했다"는 내용의 사회관계망서비스(SNS) 게시글이 올라왔다.

자신을 모두의창업 1차 합격자이자 개인정보 유출 피해자라고 소개한 작성자는 "지난달 7일 모두의 창업 플랫폼에서 지원자들의 개인정보가 애플리케이션 프로그래밍 인터페이스(API) 응답으로 구조화돼 노출되는 심각한 취약점을 발견했다"고 주장했다. 구조화된 API 응답이 외부에 노출될 경우 민감 데이터가 손쉽게 탈취될 수 있다.

작성자는 "당시 노출된 정보는 아이디어 목록 약 1만6000건, 팀원 정보 2만여 건에 달했다"며 "발견 즉시 재현경로와 영향 범위, 개선 권고안을 정리해 공식 문의했다"고 밝혔다. 실제로 지난달 7일 오후 3시께 모두의 창업 플랫폼에 '재현경로 및 데이터 전달드립니다'는 비공개 글이 게시됐다.

그는 "'관련 부서에 전달해 내부 확인 후 조치하겠다'는 공식 답변을 받았지만 한 달 뒤 우려하던 일이 현실이 됐다"며 "사전에 비슷한 이슈를 알렸음에도 유사한 형태의 유출 사고가 발생했다는 점에서 강한 유감을 표한다"고 했다.

이와 관련해 중기부는 "해당 게시글이 올라오자마자 작성자와 소통해 내용을 확인하고 즉시 조치를 했다"며 "구체적인 내용은 밝히기 어렵다"고 해명했다.

하지만 창업진흥원(창진원)이 지난 18일 개인정보보호위원회에 제출한 개인정보 유출신고서를 보면, 조치 이후 한 달이 지난 시점에도 API 관련 보안이 미흡했던 것으로 나타났다. 사고 유출 당사자로는 모 AI 솔루션 업체가 지목됐다. 모두의창업에서는 월 최대 100만원의 AI 솔루션 자금을 지원하고 있는데, 해당 업체는 합격자들이 선택 가능한 등록 업체 중 한 곳으로 알려졌다.

강승규 국민의힘 의원실이 창진원으로부터 제출받은 개인정보 유출신고서에 따르면 창진원은 지난 15일 오후 3시15분 민원인의 문의하기 게시판을 통해 개인정보 유출 사실을 인지했다.

창진원은 "지난 15일 오전 9시께 AI 솔루션 업체가 비정상적인 API 호출로 비공개 이메일 주소를 확보했고 해당 이메일로 홍보 메일을 발송했다"며 "비공개로 설정된 이메일 주소는 외부 화면에 표출이 안 됐지만, API 호출 및 AI 기반 자동 수집, 앱 크롤링 등으로 취득할 수 있었던 것으로 파악했다"고 설명했다.

이어 "서비스 화면에서는 접근할 수 없도록 기능이 차단돼 있었으나 도전자 프로필, 심사평 같은 일부 서버 API에서 보안이 미흡했다"고 덧붙였다. 창진원은 해당 API를 즉시 차단하고 AI 기반 자동 수집 및 웹 크롤링 차단 기능을 추가한 상황이다.

전문가들은 공공조직의 부족한 보안 전문성을 사고 원인으로 꼽으며 세심한 대응책 수립을 주문했다.

임종인 고려대 정보보호대학원 사이버국방학과 교수는 "공무원들은 보안 전문성이 떨어지는 데다가 중기부는 관련 산하 연구소도 없어 물어볼 곳도 마땅치 않다. 여러 가지 보안 위협 발생하고 데이터와 관련한 새로운 니즈가 생기면서 정부 조직 감당하기 어려운 수준이 됐다"고 원인을 분석했다.

염흥열 순천향대 정보보호학과 교수도 "중기부가 지난달 취했다는 조치가 적절했는지는 살펴봐야할 것 같다"며 "다양한 API가 있는 만큼 만약 제보자가 문의한 API와 관련된 취약점으로 인해 개인정보 유출 사고가 났다면 중기부가 조금 더 세심하게 대책을 마련해야 했을 필요성이 있다"고 말했다.

한편 오는 22일 노용석 중기부 제1차관이 모두의 창업 진행 현황 및 향후 운영 방향을 설명하는 브리핑이 있을 예정이다.


◎공감언론 뉴시스 eunduck@newsis.com