공공 창업플랫폼 '모두의 창업' 6만 명 개인정보 유출…AI 수탁업체 T사 보안 부실이 발단

정부가 운영하는 공공 창업지원 플랫폼에서 대규모 개인정보 유출 사고가 발생했다. AI 솔루션 수탁업체의 보안 취약점이 직접적 원인으로 지목된 가운데, 공공기관의 위탁업체 관리·감독 체계 전반에 대한 근본적인 재점검 필요성이 제기되고 있다.

---

핵심 요약

• 피해 규모: 이용자 약 6만 명의 개인정보 외부 유출 확인
• 유출 항목: 성명·연락처·이메일 등 기본 인적사항 및 예비창업자 사업 아이디어
• 직접 원인: AI 솔루션 수탁업체 '트리플오스'의 보안 취약점
• 운영 주체: 중소벤처기업부·창업진흥원 공동 운영 플랫폼
• 현황: 개인정보보호위원회 조사 착수

---

주요 내용

사고 경위: 수탁업체 취약점이 뚫렸다

중소벤처기업부와 창업진흥원이 공동 운영하는 공공 창업지원 플랫폼 '모두의 창업'에서 약 6만 명의 개인정보가 외부로 유출되는 사고가 발생했다. 유출된 정보에는 이용자의 성명, 연락처, 이메일은 물론 예비창업자들이 플랫폼에 제출한 사업 아이디어까지 포함된 것으로 확인됐다.

사고의 직접적 원인은 AI 솔루션 수탁업체 T사의 보안 취약점이다. T사는 '모두의 창업' 플랫폼 내 AI 기능 구현을 전담하며 관련 데이터에 대한 접근 권한을 보유하고 있었으나, 적절한 기술적·관리적 보호조치가 이루어지지 않은 채 운영된 것으로 드러났다. 수탁업체가 보유한 접근 권한이 외부 공격의 통로가 됐다는 점에서, 공공 플랫폼의 공급망 보안(Supply Chain Security) 취약성을 여실히 드러낸 사례로 평가된다.

트리플오스는 어떤 업체인가

T사는 공공 플랫폼 내 AI 챗봇·추천 기능 등을 제공하는 솔루션 업체로, '모두의 창업' 서비스의 AI 기능 전반을 수탁 운영해왔다. 수탁 계약상 업무 수행을 위해 이용자 데이터에 대한 광범위한 접근 권한을 부여받았으나, 해당 권한에 상응하는 보안 체계를 갖추지 못한 것으로 조사 당국은 판단하고 있다. 특히 ISMS 등 정보보호 관련 인증 보유 여부, 내부 보안 정책 수립 및 이행 실태 등이 조사의 핵심 쟁점으로 부상하고 있다.

핵심 쟁점 ① 위탁자 공공기관의 관리·감독 책임

개인정보보호법 제26조는 개인정보 처리를 위탁하는 경우, 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 교육하고 점검할 의무를 위탁자에게 명시적으로 부과하고 있다. 아울러 수탁자가 위탁받은 업무 수행 과정에서 발생시킨 손해에 대해서는 수탁자를 위탁자의 소속 직원으로 간주해 연대책임을 적용한다.

이에 따라 창업진흥원이 트리플오스와의 계약 체결 단계에서 보안 역량을 충분히 검증했는지, 계약 이후 정기 점검 및 교육 의무를 실질적으로 이행했는지 여부가 향후 개인정보보호위원회의 행정처분 수위를 결정할 핵심 변수가 될 전망이다.

핵심 쟁점 ② 사업 아이디어 유출로 인한 복합적 2차 피해

이번 사고에서 특히 우려되는 부분은 단순 연락처를 넘어 예비창업자의 사업 아이디어가 유출됐다는 사실이다. 창업을 준비하는 이들에게 사업 아이디어는 단순한 정보가 아닌 핵심 자산이다. 이번 유출로 인해 예상되는 2차 피해는 다음과 같다.

• 아이디어 도용: 경쟁 업체 또는 제3자에 의한 사업 아이디어 무단 활용
• 표적형 피싱 공격: 투자 유치·창업 컨설팅을 가장한 정밀 사기 시도
• 스팸 및 사회공학적 공격: 창업 관련 맞춤형 허위 정보 발송

피해자들은 자신의 정보가 유출됐는지 여부를 즉시 확인하고, 의심스러운 투자 제안이나 연락에 각별히 주의할 필요가 있다.

---

전문가 분석

공학박사 출신 개인정보보호 전문가들은 이번 사고를 단순한 해킹 피해가 아닌 공공 플랫폼의 구조적 보안 거버넌스 실패로 진단한다.

무엇보다 AI 서비스와 같이 대규모 데이터 처리가 수반되는 기능을 외부 수탁업체에 위임할 때, 해당 업체의 보안 수준이 플랫폼 전체의 보안 수준을 결정짓는다는 점을 간과한 것이 근본 문제라는 지적이다. ISMS(정보보호 관리체계) 인증은 단순한 인증 취득에 그치는 것이 아니라, 위탁 계약 시 수탁업체의 보안 역량을 가늠하는 최소한의 기준선으로 활용돼야 한다.

또한 접근권한 최소화 원칙의 실질적 적용이 미흡했다는 점도 지적된다. AI 기능 수행에 필요한 데이터 범위를 초과한 접근 권한이 트리플오스에 부여됐는지 여부가 조사 과정에서 밝혀질 경우, 위탁자인 창업진흥원의 책임이 더욱 무거워질 수 있다.

전문가들은 재발 방지를 위한 실질적 대응 방안으로 다음을 제시한다.

• 수탁업체 선정 시 보안역량 평가 의무화: ISMS·ISMS-P 등 정보보호 인증 보유 여부를 AI 수탁업체 선정의 필수 요건으로 설정
• 정기 보안점검 및 모의침투 테스트 실시: 계약서에 명시된 점검 조항의 형식적 이행을 넘어 실질적인 기술 검증 수행
• 접근권한 최소화 원칙 적용: 수탁업체에 업무 수행에 필요한 최소한의 정보와 권한만 제공하고, 권한 현황을 주기적으로 재검토
• 침해사고 대응 공동훈련: 위탁자-수탁자 간 사고 발생 시 즉각 대응할 수 있는 협력체계 사전 구축
• AI 수탁업체 보안 특화 점검 기준 마련: 일반적인 위탁업체 관리 기준과 별도로, AI 솔루션 수탁업체의 데이터 접근·처리 방식에 대한 특화된 보안 점검 기준 수립

개인정보보호위원회는 이번 사고에 대한 조사에 착수한 것으로 알려졌다. 위탁자인 창업진흥원과 수탁자인 트리플오스 모두 관리적·기술적 보호조치 위반 여부에 따라 과징금 등 행정처분 대상이 될 수 있다.

---

시험·실무 연계 포인트

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

>

위탁자는 수탁자가 개인정보를 안전하게 처리하는지 교육 및 정기점검 의무를 지며, 수탁자가 위탁받은 업무 수행 과정에서 발생한 손해에 대해서는 수탁자를 위탁자의 소속 직원으로 간주해 연대책임을 적용한다.

>

ISMS 인증과 위탁업체 관리

>

ISMS-P 인증기준 '2.3 외부자 보안' 영역은 외부 위탁업체에 대한 보안 요건 정의, 계약서 반영, 정기 점검 이행 등을 핵심 평가 항목으로 포함한다. 이번 사고는 공공기관이 AI 수탁업체 선정 단계에서 ISMS 인증 여부 등 보안 역량 검증을 필수화해야 한다는 실무적 교훈을 제공한다. 수탁업체의 인증 미보유 또는 보안 관리 부재가 위탁자의 관리·감독 의무 위반으로 연결될 수 있음을 시험 및 실무 양면에서 숙지해야 한다.

---

백남정 기자 (공학박사) | 개인정보보호 전문