중소벤처기업부가 주관한 창업 지원 행사 ‘모두의 창업’에서 수천 명의 개인정보와 창업 아이디어가 유출된 사고의 원인이 외부 해커 조직의 서버 침입이 아닌, 행사에 참여한 AI 솔루션 업체의 비정상적인 API(응용 프로그램 인터페이스) 호출로 밝혀졌다. 창업진흥원이 작성한 개인정보 유출 신고서에 따르면, 해당 AI 솔루션 업체는 지난 15일 오전 9시 비공개 처리된 이메일 주소를 API 호출과 웹 크롤링을 통해 수집한 뒤 홍보성 메일을 발송한 것으로 확인됐다.
문제의 AI 솔루션 업체는 참가자들이 창업 아이디어를 구체화하는 과정에서 AI 도구 활용을 지원하는 역할을 맡았다. 서비스 화면에서는 비공개 정보에 접근하는 기능이 차단돼 있었지만, 참가자 프로필과 심사평 등 일부 서버 API의 보안 설정이 미흡해 외부에서 비정상적인 방식으로 해당 데이터를 끌어올 수 있었다. 유출된 항목은 비공개 이메일 주소, 심사평, 아이디어 요약 내용이다. 통상적인 개인정보 유출 사고가 외부 공격자의 서버 침해로 발생하는 것과 달리, 이번 사고는 내부 협력사가 보안 취약점을 이용한 구조라는 점에서 성격이 다르다.
창업진흥원은 피해 최소화 대책으로 홈페이지에 개인정보 유출 여부를 확인할 수 있는 기능을 마련하고, 피해 접수 창구를 설치해 안내한다는 방침을 밝혔다. 이번 사고를 발굴해 공개한 강승규 국민의힘 의원은 예산안 심의 과정에서도 존재하지 않던 사업을 무리하게 추진하기보다 중기부가 사업 관리 체계 전반을 재점검해야 한다고 지적했다. AI 솔루션 업체가 파트너로 참여한 공공 사업에서 API 보안 관리가 허술하게 설계된 점은, AI 기반 외부 협력사 선정과 API 접근 권한 관리의 중요성을 다시 드러내는 사례로 남게 됐다.
