중기부 '모두의 창업' AI 솔루션 해킹 사고…속도전에 밀린 개인정보 보호

핵심 요약

- 중소벤처기업부 '모두의 창업' 사업에서 참가자 지원 AI 솔루션 업체 해킹으로 개인정보 유출 사고 발생 - 사업 속도전 과정에서 개인정보 보호 조치가 후순위로 밀려 보안 취약점 노출 - 정부 주도 사업의 위탁업체 보안 관리 체계 및 사전 점검 프로세스 재점검 필요

주요 내용

중소벤처기업부가 추진한 '모두의 창업' 사업에서 참가자 지원 업체로 참여한 인공지능(AI) 솔루션 기업의 해킹 사고로 개인정보 유출 사건이 발생했다. 2026년 6월 현재, 이번 사고는 정부의 보안 역량 강화 의지와는 달리 실제 사업 추진 과정에서 개인정보 보호가 형식적으로 다뤄지고 있다는 비판을 받고 있다.

사고 원인으로는 촉박한 사업 일정이 지목되고 있다. '모두의 창업' 프로그램은 창업 활성화를 목표로 단기간에 많은 참가자를 모집하고 지원하는 구조로 설계됐으나, 이 과정에서 참가자 개인정보를 처리하는 AI 솔루션 업체에 대한 보안 점검이 충분히 이뤄지지 않은 것으로 파악된다.

특히 AI 기술 기반 서비스의 경우 데이터 처리량이 많고 클라우드 환경을 활용하는 경우가 대부분이어서, 전통적인 보안 점검만으로는 취약점을 발견하기 어렵다. 이번 사고는 정부 주도 사업에서 위탁·협력 업체 선정 시 기술적 역량뿐 아니라 정보보호 관리체계 수준을 사전에 검증하는 절차가 필수적임을 보여준다.

AI 솔루션 분야는 최근 급성장하면서 스타트업과 중소기업의 시장 진입이 활발하지만, 상대적으로 보안 투자와 전문 인력 확보는 미흡한 상황이다. 중기부는 그동안 중소기업 보안 역량 강화를 위해 다양한 지원 사업을 펼쳐왔으나, 정작 자체 주관 사업에서 보안 사고가 발생하면서 정책 일관성에 의문이 제기되고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 사고는 전형적인 '공급망 보안(Supply Chain Security)' 리스크 사례다. 정보보호 관리체계 인증 기준에서는 제3자(외부 위탁업체) 보안 관리를 주요 통제 항목으로 다루고 있으며, 특히 개인정보를 처리하는 위탁업체는 수탁자 선정 기준, 계약서 명시사항, 관리·감독 체계를 명확히 해야 한다. 중기부는 사업 기획 단계부터 위탁업체의 ISMS-P 인증 여부, 보안 투자 수준, 침해사고 대응 체계 등을 평가 기준에 포함했어야 했다.

AI 솔루션의 경우 API 연동, 데이터 파이프라인, 클라우드 인프라 등 공격 표면(Attack Surface)이 넓어 전통적인 웹 애플리케이션보다 보안 점검이 복잡하다. 정부 사업 담당자는 기술 검증 시 '모의해킹(침투 테스트)', '소스코드 보안 점검', '개인정보 영향평가(PIA)' 등을 의무화하고, 사업 개시 전 충분한 보안 준비 기간을 확보해야 한다. 속도보다 신뢰가 우선되어야 하며, 특히 개인정보를 다루는 사업은 더욱 엄격한 기준이 필요하다.

CPPG·ISMS-P 연계 포인트

1. 제3자(위탁업체) 보안 관리 개인정보 처리 위탁 시 수탁자 보안 역량 평가, 계약서 내 정보보호 의무 명시, 정기적 관리·감독이 필수다. ISMS-P 인증 기준 2.9.1(외부자 보안) 및 개인정보보호법 제26조(업무위탁 시 안전성 확보조치)에 따라 수탁자 선정·관리·감독 체계를 구축해야 한다.

2. 공급망 보안(Supply Chain Security) 외부 솔루션·서비스 도입 시 해당 업체의 보안 취약점이 자사 시스템으로 전이될 수 있다. 공급망 리스크 평가, 보안 요구사항 정의, 지속적 모니터링을 통해 전체 생태계 보안 수준을 관리해야 하며, 특히 AI·클라우드 기반 서비스는 API 보안, 데이터 암호화, 접근 통제 등 추가 점검이 필요하다.