[이 기사에 나온 스타트업에 대한 보다 다양한 기업정보는 유니콘팩토리 빅데이터 플랫폼 ‘데이터랩’에서 볼 수 있습니다.]
개인정보 유출 사고가 발생한 정부의 '모두의 창업' 프로젝트에서 사고 발생 한 달 전부터 보안이 취약하다는 이용자들의 경고가 있었던 것으로 나타났다. 정부는 당시 제보된 문제에 대해 즉각 조치했다는 입장이지만, 근본적인 보안 구조를 개선하지 않아 결국 대규모 정보 유출 사고로 이어졌다는 지적이 나온다.
21일 SNS(소셜미디어)에 한 사용자는 "정보 유출 사고 발생 한 달 전인 5월 7일, 유사한 보안 취약점을 발견해 공식 제보했다"며 "모두의 창업 플랫폼 내에서 지원자들의 개인정보가 애플리케이션 개발 인터페이스(API) 응답을 통해 구조화돼 노출되는 심각한 취약점을 발견했다"고 주장했다.
이어 "(정보유출)재현 경로와 영향 범위, 권고 개선안을 정리해 제보했었다"며 "이후 모두의 창업 측에서 '관련부서에 전달해 내부 확인 후 조치하겠다'는 답변을 받았다"고 덧붙였다.
당시 제보를 통해 유출 가능성이 지적된 개인정보는 사업 아이디어 1만6000여건, 팀원 정보 2만여건에 달한다. 이는 현재까지 유출된 것으로 파악된 1차 합격자 5000명의 이메일 주소와 사업 아이디어를 크게 웃도는 규모다.
이에 대해 중소벤처기업부는 "해당 제보 접수 직후 사안을 즉시 확인해 조치했다"고 해명했다. 사용자가 지적한 한 줄 사업 아이디어와 팀원 정보 등이 더 이상 유출되거나 수집되지 않도록 임시 조치를 완료했다는 설명이다.
다만 제보 이후에도 보안구조가 개선됐는지에 대해선 "전문기관 조사 중인 사안으로 현재로서 답변이 어렵다"고 말했다. 보안 전문가들은 임시 조치 이후에도 허술한 보안 구조 자체가 유지되었을 가능성에 무게를 두고 있다. 모두의 창업 홈페이지가 유출 사고 직전까지 제보 내용과 동일하게 API 요청 시 개인정보를 무분별하게 제공하는 구조를 취하고 있었다는 분석이다.
중기부는 이번 개인정보 유출 사고가 과거 제보된 취약점과 동일한 경로로 발생했는지, 그리고 당시 조치 이전에 이미 유출이 발생했었는지 여부 등에 대해 "전문기관 조사가 완료되는 대로 투명하게 공개하겠다"고 밝혔다. 현재 중기부는 국가정보원 국가사이버안보센터 등 외부 전문기관과 합동으로 정확한 사고 경위를 조사 중이다.
한편 중기부는 이날 노용석 제1차관 주재로 모두의 창업 정례 점검회의를 개최한다. 회의에서는 중기부와 창업진흥원 관계자들이 참석해 개인정보 유출 관련 조치 상황과 플랫폼 운영, 주요 현안 및 향후 개선방안을 점검하게 된다. 회의 내용은 오는 22일 브리핑으로 공개될 예정이다.