[더팩트ㅣ임영무 기자] 정부의 대형 프로젝트인 ‘모두의 창업’에서 발생한 대규모 개인정보 및 아이디어 유출 사고가 외부 해커의 소행이 아닌 해당 사업에 합격자 지원 기관으로 공식 등록된 인공지능(AI) 업체에 의해 발생한 것으로 확인됐다. 특히 이번 사고는 이미 한 달 전 유사한 취약점에 대한 제보가 있었음에도 주관 부처가 안일하게 대처하다 터진 '인재(人災)'라는 지적이 나온다.

국민의힘 강승규 의원실이 중소벤처기업부(중기부) 산하 창업진흥원(창진원)으로부터 제출받은 '개인정보 유출 신고서'에 따르면 사건은 지난 15일 오전 9시경 발생했다.

정식 해킹 조직이 서버를 파괴하거나 침투하는 통상적인 방식과 달랐다. 프로젝트 참가자들의 AI 솔루션 활용을 돕기 위해 등록된 한 AI 전문 업체가 비정상적인 API(응용 프로그램 인터페이스) 호출과 웹 크롤링(자동 데이터 수집) 기술을 이용해 참가자들의 정보를 무단 수집한 것이다.

더 큰 문제는 이번 사고가 충분히 예방 가능했다는 점이다. 20일 SNS에는 자신을 1차 합격자라고 밝힌 한 피해자의 폭로 글이 게재됐다.

작성자는 이미 한 달 전인 지난달 7일 해당 플랫폼의 API 응답 과정에서 약 1만 6000건의 아이디어와 2만여 건의 팀원 정보가 날것 그대로 노출되는 취약점을 발견해 구체적인 개선 권고안과 함께 공식 제보했다고 주장했다.

당시 중기부 측은 "내부 확인 후 조치하겠다"는 답변을 남겼고 실제로 비공개 조치를 취했다고 해명했으나 결과적으로 며칠 뒤 다른 보안 사각지대(도전자 프로필·심사평 API)를 통해 동일한 형태의 유출 사고가 재발한 셈이 됐다.

창진원은 뒤늦게 문제가 된 API를 차단하고 웹 크롤링 방지 기능을 긴급 도입했다. 또한 프로젝트 선정자 5000명 전원에게 문자 메시지로 유출 사실을 공지했으며 홈페이지 내 유출 여부 확인 기능과 피해 접수 창구를 마련했다고 밝혔다.

정확한 정보 유출 규모에 대한 추가 조사가 진행 중인 가운데 중기부는 22일 노용석 제1차관을 통해 '모두의 창업' 진행 상황과 향후 운영 방안 및 보안 대책을 설명하는 브리핑을 가질 예정이다.

darkroom@tf.co.kr

사진영상기획부 photo@tf.co.kr