중기부 '모두의 창업' 5000명 개인정보 유출, 개보위 신고서와 해명 불일치 논란

핵심 요약

- 중소벤처기업부 '모두의 창업' 플랫폼에서 5000명의 개인정보가 외부로 유출되는 사고 발생 - 개인정보보호위원회 제출 신고서에는 "AI 솔루션 업체가 비공개 이메일 주소를 확보해 홍보 메일 발송"으로 기재 - 공식 해명에서는 핵심 유출 경위가 누락돼 정보 공개의 투명성 문제 제기

주요 내용

2026년 6월 중소벤처기업부가 운영하는 창업 지원 플랫폼 '모두의 창업'에서 약 5000명의 개인정보가 유출되는 사고가 발생했다. 이 사건은 정부 부처가 운영하는 대국민 서비스에서 발생한 개인정보 침해 사례로, 특히 사고 경위에 대한 설명이 엇갈리면서 논란이 커지고 있다.

문제의 핵심은 중기부의 이중적 설명이다. 개인정보보호위원회에 제출한 공식 신고서에는 "AI 솔루션 업체가 비공개 이메일 주소를 확보해 홍보 메일을 발송했다"고 명확히 기재되어 있다. 이는 제3자인 AI 업체가 부적절한 방법으로 개인정보에 접근했음을 시사하는 내용이다. 그러나 약 10분 후 언론에 배포된 공식 해명 자료에서는 이러한 핵심 경위가 빠진 채 발표되었다.

개인정보 보호법 제34조는 개인정보 유출 시 정보주체에게 유출된 개인정보의 항목, 유출 시점과 그 경위 등을 지체 없이 알려야 한다고 규정하고 있다. 또한 같은 법 제73조의2에 따라 개인정보보호위원회에도 신고해야 한다. 중기부는 법적 의무인 개보위 신고는 이행했으나, 대국민 설명에서는 핵심 정보를 누락한 것으로 보인다.

특히 'AI 솔루션 업체'가 어떤 경로로 비공개 이메일 주소에 접근할 수 있었는지, 접근 권한 관리는 적절했는지, 데이터 처리 위탁 계약은 체결되어 있었는지 등 ISMS-P 인증 기관으로서 반드시 갖춰야 할 기술적·관리적 보호조치에 대한 의문이 제기되고 있다. 정부 부처가 운영하는 시스템인 만큼 더욱 엄격한 개인정보 보호 체계가 요구되는 상황이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 사건은 단순 유출 사고를 넘어 조직의 개인정보 거버넌스 체계 전반에 대한 점검이 필요한 사안이다. 특히 AI 솔루션 업체와 같은 제3자 위탁업체에 대한 관리·감독 체계가 제대로 작동했는지가 핵심이다. ISMS-P 인증 기준 2.8.3(개인정보 처리업무 위탁 관리)에 따르면 위탁업체의 개인정보 처리 현황을 주기적으로 점검하고, 접근 권한을 최소한으로 부여해야 한다. '비공개' 이메일 주소에 AI 업체가 접근할 수 있었다는 것 자체가 접근통제 실패를 의미한다.

더 우려스러운 점은 사고 대응의 투명성 부족이다. 개보위 신고서와 공식 해명의 내용 불일치는 조직의 사고 대응 프로세스에 문제가 있음을 드러낸다. 개인정보 침해사고 대응 계획에는 정보주체 통지, 유관기관 신고, 언론 대응이 모두 포함되어야 하며, 일관된 메시지 전달이 필수다. 중기부는 사고 경위를 완전히 공개하고, 재발방지 대책으로 위탁업체 관리 강화, 접근권한 재점검, 개인정보 처리 모니터링 시스템 도입 등 구체적 조치를 제시해야 할 것이다.

CPPG·ISMS-P 연계 포인트

개인정보 처리업무 위탁 시 안전성 확보조치 (ISMS-P 2.8.3) 수탁자(AI 솔루션 업체)는 위탁받은 업무 범위 내에서만 개인정보를 처리해야 하며, 위탁자는 수탁자의 개인정보 처리 현황을 주기적으로 점검·감독해야 한다. 특히 비공개 정보에 대한 접근은 업무상 필요 최소한으로 제한하고, 접근 기록을 보관해야 한다.

개인정보 유출 시 신고 및 통지 의무 (개인정보 보호법 제34조, 제73조의2) 개인정보 유출 인지 시 24시간 이내 개인정보보호위원회 및 한국인터넷진흥원에 신고하고, 정보주체에게 유출 시점, 경위, 항목, 대응조치 등을 통지해야 한다. 신고 내용과 대외 발표 내용은 일관성을 유지해야 하며, 사실을 축소하거나 은폐해서는 안 된다.