창업지원 플랫폼서 6만명 정보 유출… 수탁자 관리 '사각지대' 드러나

중소벤처기업부와 창업진흥원이 운영하는 '모두의 창업' 플랫폼에서 약 6만 명의 개인정보가 유출되는 사고가 발생했다. AI 솔루션 수탁업체의 보안 관리 소홀이 직접적 원인으로 지목되면서, 공공기관의 수탁자 관리·감독 체계에 대한 근본적인 점검 필요성이 제기되고 있다.

---

사고 개요: AI 수탁업체 '트리플오스'發 대규모 유출

이번 사고는 창업 생태계 활성화를 위해 정부가 추진한 '모두의 창업' 프로젝트에서 발생했다. 해당 플랫폼의 AI 솔루션 개발·운영을 위탁받은 '트리플오스'의 보안 관리 소홀로 이용자 약 6만 명의 개인정보가 외부에 노출된 것으로 확인됐다.

유출된 정보의 구체적 항목은 아직 조사 중이나, 창업지원 플랫폼 특성상 예비창업자의 사업계획, 연락처, 금융정보 등 민감한 데이터가 포함됐을 가능성이 높다. 특히 정부 주도 사업에서 발생한 만큼, 국민 신뢰 훼손에 대한 우려가 크다.

---

핵심 쟁점: 위탁자의 관리·감독 책임은 어디까지인가

개인정보보호법 제26조는 개인정보 처리 업무를 위탁하는 경우, 위탁자가 수탁자의 개인정보 처리 현황을 정기적으로 점검해야 한다고 명시하고 있다. 그러나 현실에서는 계약 체결 후 형식적인 서면 점검에 그치는 경우가 다반사다.

이번 사고에서도 다음과 같은 문제점이 노출됐다.

• 사전 보안 점검 미흡: 수탁업체 선정 시 정보보호 역량에 대한 실질적 검증 부재
• 상시 모니터링 부재: 위탁 기간 중 기술적·관리적 보호조치 이행 여부 확인 미흡
• 침해사고 대응체계 공유 미비: 사고 발생 시 즉각적인 보고·대응 프로세스 부재

공공기관이 민간 수탁업체에 데이터 처리를 맡기면서도 '관리 책임'을 사실상 방치한 구조적 문제가 반복되고 있는 것이다.

---

기업·기관 대응 방안

첫째, 수탁자 선정 단계에서 보안 역량을 핵심 평가 기준으로 반영해야 한다. ISMS-P 인증 보유 여부, 최근 3년간 침해사고 이력, 전담 보안 인력 현황 등을 계약 전 필수 확인 항목으로 설정할 필요가 있다.

둘째, 정기 점검을 '형식'에서 '실질'로 전환해야 한다. 연 1회 서면 점검이 아닌, 분기별 현장 점검과 취약점 진단을 의무화하고, 그 결과를 계약 갱신 조건에 연동시켜야 한다.

셋째, 침해사고 공동 대응 체계를 사전에 구축해야 한다. 수탁자 측 사고 발생 시 24시간 내 위탁자 보고, 합동 대응팀 구성 등을 계약서에 명문화하는 것이 바람직하다.

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

- 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 교육·점검해야 함

- 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 발생한 손해배상 책임은 수탁자를 위탁자의 소속 직원으로 본다 (사용자 책임)

- ISMS-P 인증기준 2.3.4(위탁업무 보안) 점검 항목과 연계하여 출제 빈도 높음

---

이번 사고는 디지털 정부 시대에 공공부문의 개인정보 위탁 관리가 얼마나 취약한지를 여실히 보여주는 사례다. 기술 혁신을 앞세운 정책 추진 과정에서 '보안은 남의 일'이라는 인식이 여전히 팽배한 것은 아닌지 되돌아볼 때다.

백남정 기자 | 개인정보보호 전문