중기부 '모두의 창업' 개인정보 유출, AI 솔루션 업체가 해킹 주체로 밝혀져

핵심 요약

- 중소벤처기업부 '모두의 창업' 경진대회에서 AI 솔루션 협력업체가 참가자 개인정보를 무단 수집·이용 - 개인정보보호위원회 공식 유출신고서에는 "AI 솔루션 업체가 비공개 이메일 주소를 확보해 홍보메일 발송"으로 경위 명시 - 참가자 지원을 위해 접근 권한을 부여받은 내부 협력사가 정보유출 주체로 확인돼 내부자 위협 심각성 재조명

주요 내용

중소벤처기업부가 주관하는 '모두의 창업' 창업경진대회에서 참가자 개인정보가 유출된 사건의 실체가 2026년 6월 드러났다. 개인정보보호위원회에 제출된 공식 유출신고서에 따르면, 대회 참가자 지원을 목적으로 협력했던 AI 솔루션 업체가 비공개 이메일 주소를 무단으로 확보해 자사 서비스 홍보 메일을 발송한 것으로 확인됐다.

이번 사건의 특징은 외부 해킹이나 시스템 취약점이 아닌, 정당한 접근 권한을 보유한 협력업체가 개인정보를 목적 외로 사용했다는 점이다. AI 솔루션 업체는 창업경진대회 참가자들에게 기술 지원을 제공하기 위해 개인정보 접근 권한을 부여받았으나, 이를 악용해 마케팅 목적으로 전용한 것으로 파악된다.

개인정보보호위원회에 제출된 유출신고서 제출 시각과 대외 공개 시각 사이에 약 10여 분의 시차가 있었던 점도 주목된다. 이는 사업 주체가 유출 경위를 정확히 파악하고 있었음을 의미하며, 위탁업체 관리·감독 책임 문제가 제기될 수 있는 대목이다.

AI 기술이 창업 생태계 전반에 확산되면서 AI 솔루션 제공업체와의 협력이 증가하고 있는 가운데, 이번 사건은 AI 서비스 제공 과정에서의 개인정보 보호 체계 점검 필요성을 환기시킨다. 특히 정부 주관 사업에서 발생한 만큼 공공부문의 위탁업체 개인정보 관리 감독 강화가 시급한 상황이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 사건은 전형적인 '내부자 위협(Insider Threat)' 사례에 해당한다. 특히 AI 솔루션 업체는 기술 지원이라는 명목으로 광범위한 데이터 접근 권한을 보유하게 되는데, 이에 대한 접근통제 및 모니터링 체계가 미흡했던 것으로 보인다. 개인정보 처리 위탁 시 위탁업체 선정·계약·이행·종료 전 과정에 걸친 관리·감독 체계가 필수적이며, 특히 AI 솔루션처럼 대량의 개인정보를 처리하는 경우 최소권한 원칙과 목적 외 사용 금지 조치를 기술적으로 구현해야 한다.

2026년 현재 AI기본법 시행과 함께 AI 서비스 제공자의 책임이 강화되고 있는 시점에서, 본 사건은 AI 거버넌스 체계 구축의 중요성을 보여준다. 기업과 공공기관은 AI 솔루션 도입 시 ① 위탁계약서에 개인정보 목적 외 사용 금지 및 위반 시 손해배상 조항 명시 ② 접근 로그 실시간 모니터링 체계 구축 ③ 데이터 최소화 원칙에 따른 필요 최소한의 정보만 제공 ④ 정기적인 위탁업체 보안 점검 실시 등의 대응 방안을 마련해야 한다.

CPPG·ISMS-P 연계 포인트

위탁업체 관리·감독 의무 (개인정보보호법 제26조) 개인정보처리 위탁 시 수탁자에 대한 관리·감독 책임은 위탁자에게 있으며, 위탁계약 시 처리 목적·범위·재위탁 제한·안전성 확보조치 등을 문서화해야 한다. ISMS-P 인증기준 2.8.2(위탁 보안) 항목에서는 위탁업체 선정 시 보안능력 평가, 계약서 보안 요구사항 명시, 이행실태 점검을 요구한다.

접근권한 관리 및 내부자 위협 통제 ISMS-P 인증기준 2.6.1(접근권한 관리)에서는 최소권한 원칙에 따라 업무 수행에 필요한 최소한의 접근권한만 부여하고, 접근 로그를 주기적으로 검토하도록 규정한다. AI 솔루션 업체처럼 대량 데이터 접근이 필요한 경우, 목적별 권한 분리, 다운로드 제한, 이상행위 탐지(UBA) 등 기술적 통제 수단 적용이 필수적이다.