창업진흥원, 2025년 보안감사서 TLS 프로토콜 등 보안취약점 다수 발견…'모두의창업' 아이디어 유출 사고 배경

핵심 요약

- 중소벤처기업부 '모두의창업' 개인정보 운용기관인 창업진흥원이 2025년 보안감사에서 다수의 보안취약점으로 감점 처분 - 웹 브라우저-서버 간 통신 암호화를 위한 전송계층보안(TLS) 프로토콜 최신 버전 미적용 등 기술적 보안조치 미흡 - 보안취약점 방치가 최근 발생한 아이디어 유출 사고의 구조적 배경으로 지목

주요 내용

중소벤처기업부가 운영하는 창업 아이디어 공유 플랫폼 '모두의창업'의 개인정보 처리를 담당하는 창업진흥원이 2025년 정기 보안감사에서 심각한 보안취약점을 다수 지적받은 것으로 2026년 6월 20일 확인됐다. 특히 웹 브라우저와 서버 간 통신을 암호화해 데이터를 안전하게 보호하는 전송계층보안(TLS) 프로토콜의 최신 버전을 적용하지 않은 점이 주요 감점 사유로 지적됐다.

TLS 프로토콜은 인터넷 상에서 개인정보와 민감정보가 전송될 때 중간자 공격(Man-in-the-Middle Attack)이나 도청을 방지하기 위한 핵심 보안기술이다. 현재 TLS 1.3이 표준으로 권고되고 있으나, 창업진흥원은 보안취약점이 알려진 구버전을 사용하고 있었던 것으로 파악된다. 이는 개인정보보호법 제29조에서 규정한 안전성 확보조치 의무를 충족하지 못한 것으로, 특히 창업 아이디어라는 민감한 지식재산 정보를 다루는 기관으로서는 치명적인 보안 공백이다.

최근 '모두의창업' 플랫폼에서 발생한 아이디어 유출 사고는 이러한 보안취약점이 실제 침해사고로 이어진 사례로 평가된다. 창업 희망자들이 등록한 사업 아이디어와 개인정보가 부적절하게 노출되었으며, 이는 단순한 개인정보 유출을 넘어 지식재산권 침해라는 2차 피해로 확대될 가능성이 높다. 공공기관이 운영하는 플랫폼에서 발생한 사고라는 점에서 정부의 개인정보 보호 역량에 대한 신뢰도 하락이 우려된다.

이번 사고는 보안감사 결과에 대한 사후관리 체계의 한계를 드러냈다. 2025년 감사에서 지적된 취약점들이 적절히 개선되지 않은 상태에서 2026년 침해사고가 발생했다는 점은, 감사 결과의 이행 강제력이 부족하고 지속적인 모니터링 체계가 미흡했음을 보여준다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 사례는 기술적 보호조치와 관리적 보호조치가 모두 실패한 전형적인 사례다. TLS 프로토콜 미적용은 ISMS-P 인증기준 중 '2.8.2 암호화 적용' 항목의 명백한 위반이며, 특히 공공기관이 국가정보원의 '암호모듈 검증제도'와 행정안전부의 '공공기관 개인정보 보호지침'을 준수하지 않았다는 점에서 심각성이 크다. 개인정보보호 관리체계(PIMS) 인증을 받은 기관이라면 당연히 갖춰야 할 최소한의 기술적 조치조차 이행하지 않은 것이다.

기업과 공공기관은 이번 사례를 통해 보안감사 결과에 대한 '즉시 개선(Immediate Action)' 원칙을 재확립해야 한다. 특히 TLS 1.2 이하 버전, 취약한 암호화 알고리즘(SHA-1, MD5 등), 패치되지 않은 보안 업데이트 등은 발견 즉시 개선해야 할 '긴급(Critical)' 등급 취약점으로 분류해야 한다. 개인정보 처리시스템을 운영하는 모든 기관은 분기별 취약점 점검, 반기별 모의해킹, 연간 제3자 보안진단을 의무화하고, 경영진에게 직접 보고하는 거버넌스 체계를 구축해야 한다.

ISMS-P 심사원 체크포인트

1. 암호화 통신 구현 여부 (ISMS-P 2.8.2 / 개인정보보호법 제29조) - 웹서버와 클라이언트 간 TLS 1.2 이상 프로토콜 적용 확인 - SSL/TLS 인증서 유효성 검증 (만료일, 발급기관, 암호화 강도) - 취약한 암호화 스위트(Cipher Suite) 사용 여부 점검: RC4, DES, 3DES 등 취약 알고리즘 차단 확인 - HTTP에서 HTTPS로의 자동 리다이렉션 설정 여부 - 심사 시 Qualys SSL Labs 등 공개 도구를 활용한 SSL/TLS 보안등급 평가 수행

2. 보안감사 결과 조치 이행 체계 (ISMS-P 2.10.3 / 개인정보보호법 제30조) - 전년도 보안감사 지적사항에 대한 개선계획서 및 완료보고서 확인 - 지적사항별 조치기한 설정 및 이행률 점검 (긴급 7일, 높음 30일, 중간 90일) - 미이행 사항에 대한 위험평가 및 경영진 보고 여부 - 개선 완료 후 재점검(Re-audit) 수행 증적 확인

3. 개인정보 전송 시 암호화 (ISMS-P 2.8.1 / 개인정보의 안전성 확보조치 기준 제7조) - 개인정보 및 민감정보 전송 구간별 암호화 적용 현황 점검 - API 통신 시 상호인증(Mutual TLS) 적용 여부 - 모바일 앱-서버 간 Certificate Pinning 구현 확인

CPPG·ISMS-P 연계 포인트

전송계층보안(TLS) 프로토콜의 이해 TLS는 인터넷 통신의 기밀성과 무결성을 보장하는 암호화 프로토콜로, SSL의 후속 표준이다. HTTPS, FTPS 등에서 사용되며, 현재 TLS 1.2(2008년)와 TLS 1.3(2018년)이 안전한 버전으로 권고된다. TLS 1.0/1.1은 POODLE, BEAST 등 알려진 취약점으로 인해 2020년부터 주요 브라우저에서 지원 중단되었다. ISMS-P 인증심사 시 웹서버, API 서버, DB 접근 등 모든 통신 구간의 TLS 버전과 암호화 강도를 필수로 점검한다.

안전성 확보조치 의무와 기술적·관리적 보호조치 개인정보보호법 제29조는 개인정보처리자에게 안전성 확보조치 의무를 부과하며, 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)이 구체적 이행사항을 규정한다. 기술적 조치는 암호화(제7조), 접근통제(제8조), 접속기록 보관(제9조) 등을 포함하고, 관리적 조치는 내부관리계획 수립(제4조), 접근권한 관리(제5조) 등을 규정한다. 위반 시 과태료(5천만원 이하) 또는 형사처벌(2년 이하 징역 또는 2천만원 이하 벌금)이 가능하며, 2026년 현재 개인정보보호위원회는 공공·금융·의료 분야에 대한 점검을 강화하고 있다.