'모두의 창업' 아이디어도 유출?…"정부가 보호"[일문일답]

등록 2026.06.22 16:57:15수정 2026.06.22 17:54:24

노용석 중기부, 제1차관 브리핑 진행

아이디어 보호 최우선…"엄중한 책임"

[서울=뉴시스] 조수정 기자 = 노용석 중소벤처기업부 1차관이 22일 오후 서울 종로구 정부서울청사에서 '모두의 창업' 합격자 5000명의 개인정보와 창업 아이디어가 유출된 사고와 관련, 진행 현황 및 향후 운영 방향을 발표하고 있다. 2026.06.22. chocrystal@newsis.com

[서울=뉴시스] 조수정 기자 = 노용석 중소벤처기업부 1차관이 22일 오후 서울 종로구 정부서울청사에서 '모두의 창업' 합격자 5000명의 개인정보와 창업 아이디어가 유출된 사고와 관련, 진행 현황 및 향후 운영 방향을 발표하고 있다. 2026.06.22. [email protected]

[서울=뉴시스]강은정 기자 = 중소벤처기업부(중기부)가 '1차 모두의 창업'에서 발생한 5000명의 정보 유출 사고에 대한 대응책을 마련한다. 22일 경찰청에 수사를 의뢰했고 합격자 전원을 위한 아이디어 보호 서비스를 개시한다. 다음 달 예정된 2차 모두의 창업 모집은 보안 시스템이 재정비될 때까지 잠시 일정을 멈춘다.

노용석 중기부 제1차관은 이날 서울 종로구 정부서울청사에서 열린 브리핑에서 "최우선으로 아이디어 보호 절차를 지원하고 외부 조사와 철저한 보안 점검을 실시해 피해 구제와 재발 방지를 위해 노력하겠다"고 말했다.

다음은 노용석 중기부 제1차관과의 일문일답.

-정보 유출 주체가 모두의 창업 프로젝트에서 인공지능(AI) 솔루션을 공급하던 업체로 밝혀졌다. 외부 공격이 아닌 내부 사업 파트너에 의해 데이터가 탈취된 건데 업체 선정 과정이 어떻게 되냐.

"AI 솔루션 공급 업체 선정 과정은 AI와 소프트웨어 전문가 10명의 위원회를 통해 선정됐다."

-도전자들의 핵심 자산인 아이디어 요약과 심사평이 유출됐는데 제3자가 악용하는 것을 어떻게 차단할 거고 이미 발생한 지식재산권 침해에 대한 배상 계획이 있는지.

"이미 유출된 부분에 대해서는 피해신고센터를 설치 및 운영하고 있고 구체적인 피해에 대해서는 손해배상이나 손실보상 절차에 따라서 진행할 계획이다. 현재 단계에서 어떻게 도용·악용을 100% 차단할 수 있는지에 대해서는 저희가 유출 대상을 5000명이라고 말씀드렸지만 최대 5000명이라고 보는 게 맞는 표현이다. 지난 15일에 사실을 인지하고 유출된 정보의 범위와 대상을 확정하고자 노력했지만 시간상 그 부분은 조사가 완료돼야 한다."

-모두의 창업 플랫폼을 출범할 때 망 분리나 고유식별정보에 대한 비식별 처리, 서버 이중화 같은 정보 보안 시스템이 구축됐는지.

"정보 보안 시스템 구축 여부는 합격자 프로필을 추가로 오픈했는데 이 부분에서 비정상적 API(애플리케이션 프로그래밍 인터페이스) 호출과 관련한 취약점이 드러났다. 저희로서는 사전에 준수한 걸로 파악하고 있지만 조사 결과가 나오기 전까지는 정확하게 답변하기 어려운 점이 있다. 기본적인 정보 암호화는 이뤄졌다고 설명해 드리고 싶어."

-AI 솔루션 업체를 선발하는 과정에서 개인정보 유출 문제가 발생할 거라고는 생각하지 않았는지.

"사실 해당 AI 솔루션의 품질이라든지 범용성, 가격을 검토했지, 해당 업체가 정보를 유출할 건지 안 할 건지에 대한 판단은 하지 않은 걸로 알고 있다. 그 부분에 대해서는 결과적으로 문제가 있었다고 생각한다."

-AI 솔루션 업체에 공개 정보만 가져갔다고 주장하고 있는데 만약에 비공개 정보까지 가져갔다고 하면 어떤 조치 취할 수 있는지.

"모두의 창업 풀에서 해당 업체를 제외한 건 참여 조건으로 사전 홍보를 금지하고 있는데 (홍보를 해서) 이 부분에 대한 제재로 제외됐다. 조사 결과 혐의가 인정된다면 법률적 책임을 물을 예정이다. 국정원 조사에 따르면 현재까지 9개의 IP가 비정상적인 API 호출을 한 걸로 확인했고 그 IP의 구체적인 위치와 사업자 등에 대한 세부조사를 진행하고 있다."

-중기부에서 AI 솔루션 업체의 행위를 비정상적으로 본 근거가 무엇인지.

"이메일을 공개로 설정하지 않은 분들에게까지 연락이 갔었다는 점을 근거로 보고 있다. 권한을 가진 자가 호출을 했는지 아니면 권한이 없는 자가 권한이 있는 것처럼 호출했는지를 기준으로 판단해 달라. 권한이 없는 자가 정보를 획득했다는 것 자체가 비정상적인 API 호출로 보실 수 있을 것 같다."

-해당 업체가 배제된 걸로 알고 있는데 다른 중기부 관련 사업이나 정부 사업에서 제재가 취해질 수 있는지. 현재 중기부 모두의 창업 외에 다른 정부 보안 사업에 참여하고 있는지도 궁금해.

"해당 업체가 다른 정부 사업에 참여하고 있는지는 아직까지 파악하지 못했다. 일단 배제는 했지만 업체 측에서 공개된 정보만 활용했다고 주장하고 있어서 지금 혐의를 확정해 말씀드리기는 어렵다. 조사 결과를 기다려봐야 한다."

-클로드 코드로 구축돼서 보안이 허술했다는 얘기도 있는데 클로드 코드로 구축된 게 맞는지. 업체로부터 조치를 받고 중기부 쪽에서는 따로 사이트 보완을 하지 않았는지.

"클로드 코드로 구축했다는 일부 주장이 인터넷상에 있는 거로 안다. 이 부분도 물론 조사해 봐야 되겠지만 개발사 측으로부터 클로드로 코드 작성을 하지 않았다고 확인했다. 결국 조사를 통해 드러날 것 같다. 중기부 차원에서 사이트 보안 점검이나 감사가 미흡했냐는 지적에 대해서는 어찌 됐든 유출 사고가 났기 때문에 그 점에 대해서 과오를 인정하고 외부 업체를 통해 보안을 강화해 나갈 계획이다."

-중기부 설명 자료를 보면 인지에서 통보까지 약 68시간 정도 걸린 셈인데 홈페이지 관리 업체가 중기부에 알리지 않은 것인지 아니면 중기부가 보고를 받고도 신고하지 않은 건지, 신고를 했는데 피해자들에게 알리지 않은 것인지.

"인지 후 사실 통보가 이뤄진 기간에 대한 문제는 개인정보보호법에 따라 개인들에게 개별 통보함에 있어 일단 유출된 정보가 어떤 건지에 대한 특정, 어떤 분들이 유출됐는지에 대한 대상 확정이 필요하다. 이에 대한 프로세스 구축이 필요했다. 최대한 대상 확정을 위해 노력했지만 법적으로 정해진 72시간 이내에 어려울 것으로 판단돼 일단 최대 인원인 5000명 전원에 안내를 해드렸다. 이후 피해신고센터라든지 이러한 절차를 갖추기 위한 시간이 소요됐다."

-지난 5월에 구조적 보안이 허술하다는 사용자 제보가 추가로 있었던 것으로 확인됐다. 이번 유출 사고도 동일한 보안 허점 때문에 발생했다는 지적이 있다. 홈페이지 관리 업체가 이 역시 중기부에 알리지 않는 것인지 아니면 중기부가 이 업체 신고를 받고도 조치하지 않은 것인지.

"지난 5월에 공개된 1만6000건의 한 줄 아이디어와 비공개인 8000여명의 팀원 정보가 노출됐다는 제보가 있었다. 그래서 당시 플랫폼 개발사에서 즉시 차단 조치를 완료했다. 하지만 해당 민원을 개발사가 자체 조치를 하고 중기부나 창업진흥원(창진원)에 전혀 보고를 하지 않았다. 개발사의 보고 누락 경위에 대해서는 법률적 검토를 거쳐 엄정한 책임을 물을 예정이다."

-유출된 정보에 심사평도 포함된 걸로 알고 있다. 해당 심사평을 활용해서 (다른 사람이) 다음 사업에 지원할 위험성 있다고 생각한다. 이 부분은 어떻게 관리할 것인지.

"심사평 자체가 유출된 거에 대해서는 굉장히 엄중하게 인식하고 있다. 영업비밀 원본증명을 통해 해당 아이디어의 소유주를 분명하게 확정해 드릴 거고 1차 모두의 창업 때 확보한 데이터베이스가 있다. 2차 때 약간 변형해 신청하신 경우는 저희가 충분히 선별할 수 있는 심사 체계를 구축하겠다."

-영업비밀 원본증명과 기술 임치 지원으로 충분하다고 보는지. 스타트업은 소송전으로 가면 사업을 하기가 어려워지는데.

"저희가 두 가지를 말씀드린 이유는 기술 임치가 보호효과가 더 크기 때문이다. 다만 기술 임치는 기업이나 법인 사업자 등록이 돼 있어야 해서 모든 분께 적응해드리기가 어렵다. 일단 영업비밀 원본증명을 통해서 5000분 전체를 지원해 드릴 계획이다. 원본 증명은 해당 내용과 시기가 동시에 명기가 돼서 이후에 나온 것보다 더 빨랐다는 게 전자지문으로 인식이 된다고 알고 있다. 기술피해신고센터를 통해 피해가 확정돼서 소송까지 가게 되면 저희가 소송 지원 사업으로 연결해 드리도록 하겠다. 스타트업 원스톱 지원센터로 법률 전문가들의 오프라인 상담과 필요한 경우에는 전문 서비스까지 연계해 드리겠다."

-선정자들 정보가 유출되고 나서 브로커와 연결될 가능성에 대한 어떤 대처 마련하고 있는지

"브로커 연계 부작용은 전적으로 공감한다. 제3자 부당 개입에 대한 조사와 법적 기반 마련을 추진하고 있다. 브로커와 연계되지 않게 철저하게 대응하겠다."

-2차 모두의 창업을 준비하고 있는 과정에서 예기치 못한 사고가 발생했는데 예정대로 다음 달 초부터 진행할 수 있는지 걱정스러운 부분이 있어.

"2차 출범 시점은 조정할 계획이다. 어느 정도 조정할지는 조사 결과와 시스템 보완 일정에 따라 추후에 설명해 드리겠다."

-비정상적인 API 호출이라는 게 방화벽을 무너뜨리거나 우회 경로를 통한 해킹이라는 건지 보안이 미흡해서 정상적인 API 호출로도 암호화된 정보가 노출됐다는 건지 명확히 구분해 달라.

"프론트엔드상에는 드러나지 않는, 백엔드에 있는 정보가 제공된 건데 정상적인 권한이 있는 자가 요청하면 당연히 제공하게 돼 있다. 일단 관련 기관 입장은 해킹으로 본다고 들었는데 조사가 나와야 한다. 백엔드에서 비정상적인 API 호출을 해서 이 자체를 해킹의 한 유형으로 볼 수 있다는 점 그리고 암호화된 데이터를 정상적으로 볼 수 있는 권한이 있는 자가 아닌데 AI로 시스템을 속여서 데이터를 가져갔다고 이해해 달라."

-작년 중기부 보안감사에서 창진원이 무더기 감점을 받았는데 그중 절반 가까이가 모두의 창업 출범 전까지 개선이 안 됐더라. 그런 산하기관에 개인정보 수집 및 관리를 맡겨도 됐다고 생각했냐.

"결과론적으로 물어보시면 정보 유출이 있어서 문제가 있었다는 점은 회피할 수 없다. 작년 보안감사에서 지적된 사항 중 일부 예산 확보나 규정 개정이 필요한 사항은 다소 지연됐지만 해소된 걸로 알고 있다."

-모두의 창업 태스크포스(TF)가 3700만원 포상금을 받았는데 정보 유출이 일어나고 여기에 변동이 있는지. 그리고 포상금 수여할 때 가장 중요한 근거가 무엇이었는지.

"조사 결과에 따라서 TF가 포상받은 것이 적절했는지에 대한 판단할 수 있을 것 같다. 선정하게 된 사유는 모르겠다. 지금 어떻게 받아들이실진 모르겠지만 기존 정부 창업 지원사업과 다른 접근을 시도했다는 점 그리고 6만3000명에 해당하는 창업 생태계 반응을 이끌어 낸 점 등 여러가지가 반영됐다. 다만 6만3000명이라는 숫자 때문에 준 것은 아니다."

-중기부에 다른 산하기관들에 대한 보안점검이나 향후 이 같은 문제를 재발할 대응책을 준비 중인지.

"확대 개편한 모두의 창업 TF에 사이버 안보팀을 추가했다. 모두의 창업 플랫폼을 중심으로 점검하겠지만 산하기관 전반에 걸친 집중 점검으로 사고가 재발되지 않도록 하겠다."

◎공감언론 뉴시스 [email protected]