중소벤처기업부가 창업 지원 플랫폼 ‘모두의창업’에서 발생한 정보 유출 사고의 원인으로 AI 도구를 활용한 백엔드 API 비정상 접근을 공식 확인했다. 중기부는 6월 22일 정부서울청사 브리핑에서 권한이 없는 이용자가 AI 기반 도구로 권한을 가진 것처럼 시스템에 요청을 보내 1차 합격자 정보에 접근한 정황을 밝혔다. 국가정보원 조사에서는 9개 IP가 플랫폼 API를 비정상적으로 호출한 사실이 확인됐으며, 중기부는 이날 경찰청에도 수사를 의뢰했다.
이번 사고에서 노출된 정보는 1차 합격자의 이메일 주소, 창업 아이디어 요약본, 심사평으로, 암호화된 형태로 외부에 전달됐다. 주민등록번호, 연락처, 상세 도전신청서는 노출되지 않은 것으로 파악됐다. 중기부는 데이터베이스에 직접 접근한 흔적은 없었으며, 공개된 합격자 프로필 페이지와 연결된 백엔드 API를 통해 정보가 유출됐다고 설명했다. 화면에서는 비공개로 설정된 정보도 서버가 API 요청에 데이터를 반환하면 별도 도구로 추출할 수 있는 구조상 취약점이 악용된 것이다. 중기부가 피해 가능성을 통보한 대상은 1차 합격자 5000명이지만, 실제 전원의 정보가 유출됐는지는 아직 확인되지 않았다.
이번 사고와는 별개로, 지난 5월에도 같은 플랫폼에서 공개 창업 아이디어 1만 6000건과 비공개 팀원 8000여 명의 정보가 노출될 수 있다는 제보가 있었던 것으로 드러났다. 당시 플랫폼 개발사는 제보를 접수하고 접근 경로를 차단했지만 중기부와 창업진흥원에 이를 보고하지 않았다. 중기부는 이 보고 누락을 엄중히 보고 법적 조치도 검토 중이라고 밝혔다. 이번 사고 관련 혐의가 지목된 AI 솔루션 공급 업체는 공개된 이메일 주소만 사용했다고 주장하고 있으며, 중기부는 홍보 활동 금지 조건 위반을 이유로 해당 업체를 공급기업 명단에서 제외했다.
중기부는 피해를 본 합격자 5000명에게 창업 아이디어 영업비밀 원본증명 등록을 무상 지원하고, 사업자 등록자에게는 1년간 기술자료 임치를 무료로 제공하기로 했다. 창업진흥원에는 정보유출대책반을 신설해 피해신고 접수와 조사, 지원을 담당하게 한다. 당초 7월 초로 예정됐던 모두의창업 2기 모집 공고 일정도 시스템 보완 결과에 따라 새로 확정할 방침이다. 중기부 제1차관은 “이번 유출 사고의 가장 큰 문제는 정부에 대한 신뢰를 지키지 못한 것”이라고 밝혔다.
