정부 창업 플랫폼 '모두의창업', 감사 지적에도 방치…결국 대규모 정보유출로 이어져
정부 주도 창업 지원 플랫폼에서 보안 취약점이 1년 넘게 방치되어 창업자 개인정보와 아이디어가 무단 유출되는 사고가 발생했다. 크롬 확장프로그램 해킹 사례와 함께 '접근권한 관리'와 '기술적 보호조치'의 중요성이 다시금 부각되고 있다. --- 사례 1·2: '모두
https://privacynews.kr/s/bc461d정부 주도 창업 지원 플랫폼에서 보안 취약점이 1년 넘게 방치되어 창업자 개인정보와 아이디어가 무단 유출되는 사고가 발생했다. 크롬 확장프로그램 해킹 사례와 함께 '접근권한 관리'와 '기술적 보호조치'의 중요성이 다시금 부각되고 있다.
사례 1·2: '모두의창업' 이중 보안사고
2026년 6월, 창업진흥원이 운영하는 정부 창업 플랫폼 '모두의창업'에서 심각한 보안사고가 연이어 확인됐다.
첫 번째 문제는 수평적 권한 상승 취약점이다. URL 파라미터 조작만으로 타인의 비공개 개인정보에 접근할 수 있는 구조적 결함이 발견됐다. 합격자 정보, 연락처 등 민감정보가 인증 절차 없이 노출될 수 있는 상태였다.
더욱 심각한 것은 이러한 취약점이 예견된 사고였다는 점이다. 2025년 감사 당시 TLS(전송계층보안) 프로토콜 미적용, 접근권한 관리 미흡 등이 명확히 지적됐으나, 창업진흥원은 1년 이상 개선 조치를 이행하지 않았다. 결국 창업자들의 핵심 자산인 사업 아이디어까지 외부로 유출되는 최악의 결과로 이어졌다.
해당 사고는 개인정보보호법 제29조(안전성 확보조치 의무) 위반에 해당하며, 공공기관의 개인정보 관리 실태에 대한 전면적 점검 요구가 거세지고 있다.
사례 3: 크롬 확장프로그램 공급망 공격
2024년 12월 25일, AI 데이터 보안기업 Cyberhaven의 크롬 확장프로그램이 해킹당하는 사건이 발생했다. 공격자는 피싱을 통해 개발자 계정을 탈취한 뒤, 악성코드가 삽입된 버전(24.10.4)을 공식 배포했다.
이 확장프로그램은 400만 건 이상 다운로드된 인기 서비스로, 사용자의 쿠키, 세션 토큰 등 인증정보가 대규모로 탈취될 위기에 처했다. 소프트웨어 공급망(Supply Chain) 공격의 전형적 사례로, 최종 사용자가 공식 경로를 통해 악성 소프트웨어를 설치하게 되는 구조적 위험성을 보여준다.
공통 패턴 분석
세 사건에서 도출되는 공통 키워드는 '접근통제 실패'와 '사전 경고 무시'다.
| 구분 | 모두의창업 | Cyberhaven |
|---|---|---|
| 근본 원인 | 접근권한 관리 미흡 | 개발자 계정 탈취 |
| 방치 요인 | 감사 지적 후 미조치 | 공급망 보안 점검 부재 |
| 피해 범위 | 창업자 개인정보·아이디어 | 400만+ 사용자 인증정보 |
기업·기관 대응 방안
- 최소권한 원칙 적용: 사용자별 접근권한을 업무 필요 최소 범위로 제한하고, 주기적으로 검토
- 기술적 보호조치 필수화: TLS 적용, 세션 관리, 파라미터 변조 방지 등 기본 보안 구현
- 공급망 보안 강화: 외부 소프트웨어·확장프로그램 도입 시 무결성 검증 절차 마련
- 감사 지적사항 즉시 이행: 내·외부 점검 결과에 대한 이행 모니터링 체계 구축
>📚 CPPG·ISMS-P 시험 연계 포인트
개인정보보호법 제29조 및 안전성 확보조치 기준 고시
- 접근권한 관리(제5조): 최소권한 부여, 권한 변경·말소 기록 보관
- 접근통제(제6조): 비인가 접근 차단, 인터넷 구간 전송 시 암호화
- 출제 빈도 높음: "수평적/수직적 권한 상승 취약점"과 "기술적 보호조치 5가지 항목" 암기 필수
백남정 기자 | 개인정보보호 전문 리포트
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
