중기부 창업 지원사업, 개인정보 유출로 관리 부실 논란

중소벤처기업부가 직접 운영하는 창업 지원사업에서 합격자 정보와 심사평이 외부에 노출되면서, 정부의 개인정보 관리 체계가 스스로 내세운 기준에 미치지 못했다는 비판이 커지고 있다.

18일 중소벤처기업부에 따르면 이번 사고는 ‘모두의 창업 프로젝트’ 합격자 5천명의 개인 프로필이 지난 15일 오전 9시 공개된 뒤 발생했다. 당초 비공개로 관리돼야 할 정보에 접근하려는 시도가 확인됐고, 중기부는 같은 날 오후 3시 이용자 문의를 받고서야 이를 인지했다. 이후 오후 4시 허가되지 않은 접근 경로를 차단했다. 정부가 운영하는 지원 플랫폼에서 외부 접근 통제가 제때 이뤄지지 않았다는 점에서 관리 부실 논란이 불가피해 보인다.

현재까지 중기부가 파악한 내용을 보면, 총 9개의 아이피(IP·인터넷 주소)를 통해 유출된 정보는 이메일 주소와 아이디어 요약, 심사평 등이다. 이 가운데 이메일 주소는 개인정보에 해당하고, 심사평은 비공개 평가 정보다. 개인 프로필에는 닉네임, 팔로우 건수, 라운드 진출 여부 같은 공개 항목 외에 이메일 주소, 아이디어 요약, 자기소개처럼 이용자가 공개 여부를 선택할 수 있는 항목이 포함돼 있었다. 합격자 5천명 가운데 이메일 공개를 선택한 사람은 1천87명, 아이디어 요약 공개를 선택한 사람은 3천381명이었다. 다만 비공개 이메일이 외부에 드러난 정황이 확인되면서, 개인정보 유출 건수는 최대 4천건 수준까지 커질 가능성이 제기된다. 중기부는 정확한 유출 범위와 규모는 관계 당국 조사 뒤 다시 밝히겠다고 설명했다.

사고 대응 과정도 도마에 올랐다. 16일에는 비공개 이메일 주소로 인공지능 솔루션 업체의 홍보 메일을 받았다는 민원이 접수됐고, 중기부는 해당 업체를 ‘모두의 창업’ 인공지능 솔루션 공급기업에서 제외했다. 또 외부의 인공지능 기반 자동 수집 시도를 막기 위한 보안 기능을 추가로 적용했다고 밝혔다. 합격자 전원에게는 18일 정오 개별 통지를 했고, 같은 날 오후 1시 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고했다. 법정 기한은 넘기지 않았지만, 사고 인지부터 신고까지 약 70시간이 걸린 셈이어서 개인정보 보호에 모범을 보여야 할 정부 사업으로서는 대응이 늦었다는 지적이 나온다. 중기부는 접근 경로를 1시간 만에 차단했고, 유출 범위를 확인한 뒤 신고와 이용자 통지를 진행한 것이라고 해명했다.

이번 일은 정부가 민간 기업의 개인정보 유출에는 강한 책임을 묻는 흐름과 맞물리면서 더 큰 논란을 낳고 있다. 개인정보보호위원회는 앞서 개인정보 유출과 온라인 활동기록 무단 수집 등을 이유로 쿠팡에 6천247억원의 과징금을 부과한 바 있다. 이런 상황에서 정작 정부 사업에서 비슷한 문제가 발생한 만큼, 공공 플랫폼 전반의 보안 설계와 사고 대응 절차를 다시 점검해야 한다는 요구가 커질 가능성이 있다. 이 같은 흐름은 단순한 개별 사고 수습을 넘어, 정부가 운영하거나 위탁하는 각종 지원사업 시스템의 개인정보 보호 기준을 한층 강화하는 방향으로 이어질 가능성이 있다.