공공 창업플랫폼 6만명 개인정보 유출..."수탁자 관리 부실" 재점화
--- 중소벤처기업부와 창업진흥원이 운영하는 공공 창업지원 플랫폼 '모두의 창업'에서 약 6만 명의 개인정보가 유출되는 사고가 발생했다. AI 솔루션 수탁업체의 보안 취약점이 원인으로 지목되면서, 공공기관의 수탁자 관리·감독 체계에 대한 근본적인 점검이 필요하다는 목
https://privacynews.kr/s/bfa213중소벤처기업부와 창업진흥원이 운영하는 공공 창업지원 플랫폼 '모두의 창업'에서 약 6만 명의 개인정보가 유출되는 사고가 발생했다. AI 솔루션 수탁업체의 보안 취약점이 원인으로 지목되면서, 공공기관의 수탁자 관리·감독 체계에 대한 근본적인 점검이 필요하다는 목소리가 높아지고 있다.
사고 개요: AI 수탁업체 보안 취약점이 뚫렸다
이번 유출 사고의 직접적인 원인은 '모두의 창업' 플랫폼에 AI 솔루션을 제공하던 수탁업체 '트리플오스'의 보안 취약점으로 확인됐다. 해당 업체의 시스템이 외부 공격에 노출되면서 플랫폼 이용자 약 6만 명의 개인정보가 유출된 것으로 파악된다.
'모두의 창업'은 예비 창업자와 초기 스타트업을 대상으로 창업 교육, 멘토링, 투자 연계 등 종합 지원 서비스를 제공하는 대표적인 공공 창업 플랫폼이다. 이용자들은 서비스 신청 과정에서 성명, 연락처, 이메일, 사업 아이디어 등 민감한 정보를 제출해야 하는 만큼, 이번 유출로 인한 2차 피해 우려도 제기된다.
반복되는 공통 패턴: 위탁자의 관리·감독 공백
이번 사고는 공공기관 개인정보 유출 사고에서 반복적으로 나타나는 전형적인 패턴을 그대로 보여준다. 첫째, 수탁자 선정 시 보안 역량에 대한 면밀한 검증 부재다. AI·신기술 도입에 집중한 나머지 정작 해당 업체의 정보보호 체계를 충분히 점검하지 않았을 가능성이 높다.
둘째, 위탁 기간 중 지속적인 관리·감독 미흡이다. 개인정보보호법 제26조는 위탁자에게 수탁자의 개인정보 처리 현황을 정기적으로 점검하도록 의무화하고 있으나, 현실에서는 형식적인 서류 점검에 그치는 경우가 많다. 셋째, 보안 사고 발생 시 책임 소재의 모호함이다. 수탁업체의 과실이더라도 개인정보 처리의 최종 책임은 위탁자인 공공기관에 귀속된다는 점에서, 창업진흥원 역시 과징금 등 행정처분 대상이 될 수 있다.
기업·기관 대응 방안: 수탁자 관리 체계 전면 재정비
전문가들은 이번 사고를 계기로 공공기관의 수탁자 관리 체계를 전면 재정비해야 한다고 강조한다. 우선, 수탁자 선정 단계에서 정보보호 인증 보유 여부, 보안 인력 현황, 최근 침해사고 이력 등을 필수 평가항목으로 반영해야 한다.
또한 분기별 또는 반기별 정기 점검을 실시하고, 점검 결과를 문서화하여 관리 이력을 체계적으로 남겨야 한다. 특히 AI, 클라우드 등 신기술 기반 서비스를 위탁할 경우, 기술적 보호조치에 대한 전문 점검을 병행하는 것이 바람직하다.
아울러 위탁계약서에 보안 사고 발생 시 손해배상, 즉시 통보 의무, 재위탁 제한 등 구체적인 조항을 명시하고, 이를 실질적으로 이행할 수 있는 모니터링 체계를 구축해야 한다.
>📚 CPPG·ISMS-P 시험 연계 포인트
개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한)
- 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 교육 및 감독해야 함
- 수탁자의 과실은 위탁자의 과실로 간주(동조 제6항)
- ISMS-P 인증기준 2.3.4 '외부자 보안'에서도 수탁자 관리 계획 수립 및 이행 점검을 필수 통제항목으로 규정
- 시험 출제 빈출: 위탁계약서 필수 기재사항 8가지, 재위탁 시 동의 요건
백남정 기자 | 개인정보보호 전문
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
