공공 창업플랫폼 '모두의 창업' 6만명 정보유출…수탁자 관리 부실 재조명

---

중소벤처기업부·창업진흥원이 운영하는 정부 대표 창업지원 플랫폼에서 대규모 개인정보 유출 사고가 발생했다. AI 솔루션 수탁업체의 보안 취약점이 원인으로, 공공기관의 수탁자 관리·감독 체계에 대한 근본적 재검토가 요구된다.

---

사고 개요

'모두의 창업'은 예비창업자와 기창업자에게 창업 정보, 멘토링, 지원사업 매칭 서비스를 제공하는 정부 공식 플랫폼이다. 이번 사고로 약 6만 명의 이용자 개인정보가 외부로 유출된 것으로 확인됐다.

유출 경로는 AI 기반 서비스 개발을 담당한 수탁업체 '트리플오스'의 시스템으로 파악된다. 해당 업체의 보안 관리 소홀이 직접적 원인이나, 위탁자인 창업진흥원의 관리·감독 책임 역시 피할 수 없는 상황이다.

---

핵심 쟁점 분석

1. 수탁자 보안 관리의 구조적 허점

개인정보보호법 제26조는 위탁자가 수탁자에 대해 교육, 점검, 감독을 실시하도록 명시하고 있다. 그러나 현실에서는 계약 체결 시 형식적 조항 삽입에 그치고, 실질적인 기술적·관리적 점검이 이뤄지지 않는 경우가 빈번하다.

이번 사고에서도 트리플오스에 대한 정기 보안점검 실시 여부, 접근권한 관리 현황, 개인정보 처리 시스템의 취약점 진단 이행 여부 등이 핵심 조사 대상이 될 전망이다.

2. 공공기관 정보화 사업의 다단계 위탁 문제

정부·공공기관의 IT 사업은 다수의 재위탁 구조를 가지는 경우가 많다. 위탁 체인이 길어질수록 보안 관리의 사각지대가 발생하고, 사고 발생 시 책임 소재가 불분명해지는 문제가 반복되고 있다.

3. AI 솔루션 도입 과정의 보안 고려 미흡

AI 서비스 개발 과정에서 대량의 학습 데이터 활용이 필수적이다. 이 과정에서 개인정보의 비식별화 조치 미흡, 개발·운영 환경 분리 실패 등이 유출 사고로 이어지는 패턴이 최근 증가하고 있어 주의가 요구된다.

---

기업·기관 대응 방안

위탁자(공공기관) 측면: - 수탁자 선정 시 보안 역량 평가 기준 강화 - 연 1회 이상 실질적 현장 점검 의무화 - 수탁자 보안 사고 시 연대책임 조항 계약 반영

수탁자(민간업체) 측면: - 개인정보 처리 시스템의 접근통제 및 로그관리 강화 - 개발·테스트 환경과 운영 환경의 철저한 분리 - 개인정보 취급 직원 대상 정기 보안교육 실시

---

📘 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한)

>

위탁자는 수탁자에 대해 ① 개인정보 처리 현황 점검, ② 교육 실시, ③ 수탁자가 개인정보를 안전하게 처리하는지 감독할 의무를 부담한다. 수탁자의 귀책으로 발생한 손해에 대해 수탁자는 위탁자의 소속 직원으로 간주되어 위탁자가 손해배상 책임을 질 수 있다(동법 제26조 제6항). ISMS-P 인증 심사 시 '위탁 관리' 항목에서 계약서 내 보안 조항, 점검 기록, 교육 이력 등이 주요 확인 대상이다.

---

이번 사고는 공공 플랫폼에 대한 국민 신뢰와 직결된다. 디지털 정부 확산과 AI 기술 도입이 가속화되는 만큼, 수탁자 관리체계의 실효성을 높이기 위한 제도적 보완이 시급하다.

백남정 기자 | 개인정보보호 전문