티스토리 뷰
목차
정부가 4,000억 원을 쏟아부은 창업 오디션 플랫폼이, 합격자 발표 하루 만에 5,000명의 개인정보를 털렸습니다. 저는 이 뉴스를 주말 목공 작업 중 땀을 닦으며 스마트폰으로 접했는데, 손에 쥔 대패가 그대로 멈출 만큼 머릿속이 멍해졌습니다. 국가가 운영하는 공공 플랫폼의 보안이 이 정도라는 게 믿기지 않았기 때문입니다.
모두의 창업 유출 - 보안 불감증
이번 사건이 더 무서운 이유는 외부 해커의 기습이 아니라는 점입니다. 유출의 진원지는 '모두의 창업' 플랫폼에 공식 파트너로 등록된 AI 솔루션 업체 중 한 곳이었습니다. 해당 업체가 1차 합격자 5,000명의 비공개 이메일, 아이디어 요약본, 심사평을 무단으로 수집해 홍보 메일을 발송하면서 사고가 수면 위로 드러났습니다.
더 충격적인 건 창업진흥원의 전력입니다. 창업진흥원은 지난해 정보보안 감사에서 관리자 접근통제(ACL) 미흡, 중요 파일 암호화 설정 미흡 등 무려 15개 항목에서 지적을 받았습니다. 여기서 접근통제(ACL, Access Control List)란 누가 어떤 데이터에 접근할 수 있는지를 제어하는 보안의 가장 기본적인 설계 원칙입니다. 자물쇠가 없는 금고와 다름없는 상태를 방치해둔 셈인데, 지난달 제출한 개선 계획에서 15개 항목 중 7개는 여전히 조치가 완료되지 않은 상태였습니다.
저는 주말마다 목공소에서 통원목 슬래브 작업을 하면서 이런 생각을 늘 합니다. 아무리 겉모양이 근사한 테이블이라도, 내부 결속선 처리와 클램프 고정이 허술하면 작은 습기 하나에 판재가 쩍 갈라진다고. 창업진흥원이 280여 개 민간 AI 업체를 검증도 없이 플랫폼에 연결해둔 구조는, 나사가 풀린 지지대를 알면서도 방치한 것과 정확히 같습니다.
개인정보: 청년들이 잃은 것의 무게
이번 유출에서 핵심은 단순한 이메일 주소가 아닙니다. 아이디어 요약본과 심사평이 함께 빠져나갔다는 점이 훨씬 치명적입니다.
창업 생태계에서 IP(지식재산권, Intellectual Property)는 사업의 근간입니다. IP란 창업가가 오랜 시간 고민해 만들어낸 아이디어, 기술, 브랜드 등 무형의 자산을 법적으로 보호하는 권리를 뜻합니다. 이것이 경쟁자에게 노출되는 순간, 자본력 있는 기업이 동일한 아이디어로 특허 우선권을 선점하거나 유사 제품을 먼저 출시해버릴 수 있습니다. 청년 창업가 입장에서는 아이디어를 도둑맞고도 법적으로 증명하기가 매우 어려운 구조입니다.
게다가 심사평까지 유출됐다는 건, 해당 아이디어의 강점과 약점을 외부인이 정확히 파악할 수 있게 됐다는 의미입니다. 저도 솔직히 이건 예상 밖이었습니다. 이메일 유출쯤은 불편하지만 감수할 수 있는 수준이라 생각했는데, 심사관의 평가까지 묶음으로 나간다면 피해는 단순 개인정보 침해를 훨씬 넘어섭니다.
실제 피해 인원이 5,000명 전원인지, 일부인지조차 중기부는 아직 파악하지 못한 채 "전문 기관과 협력해 조사 중"이라는 답변만 반복하고 있습니다(출처: 중소벤처기업부). 피해자 본인들은 자신의 아이디어가 어디까지 흘러갔는지 알 방법이 없다는 게 이 사태의 가장 잔인한 대목입니다.
창업 생태계: 신뢰가 무너지면 생태계도 무너진다
'모두의 창업'은 연간 1만 5,000명을 대상으로 창업 경진대회를 열고, 최종 300명에게 최대 1억 원의 사업화 자금을 지원하는 구조입니다. 총 4,000억 원이 투입되는 이 사업의 목표는 청년 일자리 창출과 창업 인재 육성입니다.
그런데 창업 생태계(Startup Ecosystem)의 근본적인 작동 원리는 신뢰입니다. 창업 생태계란 창업가, 투자자, 지원 기관, 정책이 서로 유기적으로 연결되어 혁신을 만들어내는 환경을 말합니다. 이 생태계가 건강하게 돌아가려면 참가자들이 "내 아이디어를 안전하게 제출할 수 있다"는 전제가 반드시 성립해야 합니다.
제 경험상 창업을 고민하는 지인들이 정부 공모전에 아이디어를 내기 꺼려하는 가장 큰 이유는 바로 이 불신입니다. "제출하면 베낀다"는 소문이 오래전부터 돌았는데, 이번 사건은 그 불신에 실증적인 근거를 하나 더 얹어준 꼴이 됐습니다. 4,000억 원짜리 정책이 오히려 청년들의 창업 의지를 꺾는 역설이 발생한 것입니다.
국내 창업 활동 지수는 전 세계 하위권에 머물고 있습니다(출처: 중소벤처기업부 창업진흥원). 정부 주도 창업 지원 사업이 이런 신뢰 기반을 계속 침식한다면, 아무리 예산을 늘려도 창업 생태계는 살아나지 않습니다.
이번 사고가 드러낸 구조적 문제를 정리하면 다음과 같습니다.
- 파트너사 사전 보안 검증 체계 부재: 280여 개 업체를 플랫폼에 연결하면서 데이터 접근 권한에 대한 명확한 가이드라인이 없었습니다.
- 개인정보 최소 수집 원칙 위반: 합격자의 아이디어 요약과 심사평은 AI 솔루션 이용과 직접 관련 없는 정보임에도 파트너사가 접근 가능한 구조로 설계됐습니다.
- 사후 감지 체계의 지연: 공식 플랫폼에서 비정상 접근이 탐지된 건 15일 오후였지만, 홍보 메일 피해가 접수된 건 그다음 날인 16일이었습니다.
뒷북 사과와 진짜 책임 사이
한성숙 국무총리 후보자 겸 중기부 장관은 22일 공식 사과를 발표하고 전문가와 함께 보안 진단 및 개선 대책을 마련하겠다고 밝혔습니다. 저는 그 뉴스를 읽으면서 목공소에서 겉면에 광택 마감재만 두껍게 바른 판재가 떠올랐습니다. 속이 이미 썩어 있는 판재는 아무리 표면을 곱게 갈아도 시간이 지나면 결국 갈라집니다.
DLP(데이터 유출 방지 솔루션, Data Loss Prevention)와 같은 기술적 대응보다 먼저 필요한 건 책임 소재를 명확히 하는 것입니다. DLP란 기업이나 기관 내부의 민감한 데이터가 허가되지 않은 경로로 외부로 빠져나가지 못하도록 탐지하고 차단하는 보안 솔루션입니다. 이런 기본 인프라조차 갖추지 않은 채 수천억 원짜리 플랫폼을 운영했다는 사실, 그리고 보안 감사에서 지적받은 7개 항목을 개선하지 않고 방치했다는 사실은 단순한 과실이 아니라 행정적 직무유기에 가깝습니다.
정부는 제대로된 사과가 필요합니다. 요즘 개인 기업들의 유출도 많은데, 모범적인 모습을 보여야 하지 않을까 생각됩니다.
이번 사태로 아이디어가 유출된 청년들은 원상복구가 불가능한 피해를 입었습니다. 중기부가 진정성 있는 책임을 지려면 사과문 발표에서 그치지 않고, 피해 규모를 투명하게 공개하고 실질적인 손해배상 체계를 마련해야 합니다. 독자분들도 앞으로 정부 공모전에 아이디어를 제출하실 때는, 핵심 기술 내용은 최소화하고 특허 출원 후 참여하는 방식을 고려해 보시길 권합니다. 공공 플랫폼이라고 해서 내 자산이 자동으로 보호된다는 믿음은, 이번 사건으로 더 이상 유효하지 않게 됐습니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률 또는 보안 조언이 아닙니다.
참고: https://newneek.co/@newneek/article/41793?utm_source=article&utm_medium=share&utm_content=41793