모두의 창업 6만명 개인정보 유출 사고, 수탁자 관리 책임 쟁점 부각

핵심 요약

- 중기부·창업진흥원의 '모두의 창업' 프로젝트에서 약 6만명의 개인정보 유출 사고 발생 - AI 솔루션 수탁업체 '트리플오스'가 개인정보 관리 과정에서 보안 사고 야기 - 개인정보보호법상 위탁자의 수탁자 관리·감독 책임이 핵심 쟁점으로 부상

주요 내용

중소벤처기업부와 창업진흥원이 주도한 정부 창업 프로젝트 '모두의 창업'에서 약 6만명의 개인정보가 유출되는 사고가 발생했다. 이번 사고는 정부 주도 대규모 프로젝트에서 발생한 개인정보 보안 사고라는 점에서 그 파장이 크다.

문제의 핵심은 개인정보 처리 구조에 있다. 해당 정보는 중기부나 창업진흥원이 직접 관리하지 않고, '모두의 창업' 플랫폼의 AI 솔루션 지원 기업으로 선정된 '트리플오스'가 수탁자로서 위탁받아 관리했다. 개인정보보호법 제26조는 위탁자에게 수탁자에 대한 관리·감독 책임을 명확히 규정하고 있다.

개인정보보호법에 따르면 위탁자는 개인정보가 유출 또는 훼손되지 않도록 수탁자를 교육하고, 처리 현황 점검 등 관리·감독을 철저히 해야 한다. 또한 수탁자가 개인정보를 안전하게 처리하는지를 감독해야 하며, 이를 위반할 경우 위탁자도 법적 책임을 질 수 있다.

이번 사고는 정부 주도 디지털 혁신 사업에서 AI 솔루션 도입 시 보안 검증 절차가 얼마나 중요한지를 보여주는 사례다. 특히 창업 초기 기업의 민감한 사업 정보와 개인정보가 다량 집적된 플랫폼이었다는 점에서 피해 규모가 상당할 것으로 예상된다.

전문가 시각

ISMS-P 인증 관점에서 볼 때, 이번 사고는 전형적인 '제3자 제공 및 위탁 관리' 통제 실패 사례다. 위탁 계약 시 보안 요구사항 명시, 수탁자의 보안 수준 사전 검증, 정기적인 관리·감독 활동이 제대로 이루어지지 않았을 가능성이 높다. 특히 AI 솔루션 도입 과정에서 데이터 접근 권한 설정과 암호화 조치가 적절했는지에 대한 철저한 검증이 필요하다.

기업과 공공기관은 이번 사고를 교훈 삼아 개인정보 처리 위탁 시 반드시 수탁자 선정 기준에 보안 역량을 포함해야 한다. 계약서에 보안 의무사항, 사고 시 책임 범위, 손해배상 조항을 명확히 규정하고, 최소 분기 1회 이상 수탁자의 개인정보 처리 현황을 점검해야 한다. 특히 AI·빅데이터 기술을 활용하는 스타트업에 위탁할 경우, 해당 기업의 보안 성숙도를 ISMS-P 인증 여부, 보안 조직 구성, 기술적 보호조치 수준 등으로 면밀히 평가해야 한다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 처리 위탁 관리 (개인정보보호법 제26조) 위탁자는 수탁자 선정 시 보안 역량을 평가해야 하며, 계약서에 안전성 확보조치·재위탁 제한·손해배상 등을 명시해야 한다. 위탁 사실 공개 의무를 이행하고, 수탁자에 대한 정기적 관리·감독(교육, 현장 점검, 처리 현황 보고)을 수행해야 하며, 수탁자의 보안 사고에 대해서도 위탁자가 연대 책임을 진다.

2. ISMS-P 인증기준 2.8.2 (제3자 제공 및 위탁 보호) 개인정보를 제3자에게 제공하거나 처리를 위탁하는 경우, 제공·위탁 목적 및 범위를 명확히 하고 계약서에 보안 요구사항을 포함해야 한다. 수탁자의 개인정보 처리 현황을 주기적으로 점검·관리하며, 위탁 종료 시 개인정보의 반환·파기를 확인하는 통제 체계를 구축해야 한다.