모두의창업 개인정보 유출 5000명 AI 업체가 원인
정부가 야심차게 내놓은 대국민 창업 프로젝트 모두의창업에서 1차 합격자 5,000명의 개인정보가 유출됐어요. 외부 해커가 아니라 사업에 참여한 AI 솔루션 업체가 비정상적인 API 호출로 이메일·아이디어 요약·심사평을 빼갔고, 그 한 달 전에 이미 경고가 있었다는 사실까지 드러났어요.
모두의창업이란 — 6만명 몰린 역대 최대 규모
모두의창업은 중소벤처기업부와 창업진흥원이 공동 주관한 국민 창업 프로젝트예요. 총 62,944명이 지원해 정부 부처 창업·아이디어 공모로는 역대 최대 규모를 기록했어요.
| 구분 | 내용 |
|---|---|
| 주관 | 중소벤처기업부·창업진흥원 |
| 전체 지원자 | 62,944명 (역대 최대) |
| 1차 합격자 | 5,000명 |
| 유출 대상 | 1차 합격자 5,000명 |
이번 사건이 더 아프게 다가오는 이유는 창업자들이 아직 공개하지 않은 아이디어를 담아 제출한 공모전이라는 점이에요. 이메일 하나만 유출된 게 아니라 아이디어 요약과 심사평까지 새어 나갔어요.
무엇이 유출됐나 — 아이디어·심사평까지
중소벤처기업부가 공식 발표한 유출 범위예요.
| 정보 항목 | 유출 여부 | 비고 |
|---|---|---|
| 이메일 주소 | 유출 확인 | 홍보 메일 발송에 악용 |
| 창업 아이디어 요약 | 유출 확인 | 미공개 사업 콘셉트 노출 |
| 심사위원 심사평 | 유출 확인 | 평가 기준·내용 노출 |
| 실명 / 휴대전화 번호 | 미유출 | 신원 특정 불가 |
| 주민등록번호 | 미유출 | — |
| 신청서 원문·상세 사업계획 | 미유출 | — |
실명과 연락처는 빠져나가지 않아 직접적인 보이스피싱 위험은 낮아요. 하지만 이메일로 정교한 피싱 메일이 올 수 있고, 아이디어 요약 유출은 창업 기회 자체를 위협할 수 있어요. 김승주 고려대 정보보호대학원 교수는 "단순 개인정보 유출 수준으로 볼 문제가 아니다"라고 지적했어요.
사고 경과 — 6시간 만에 발각, 사흘 뒤 통보
사고는 합격자 프로필이 공개된 직후부터 시작됐어요.
- 6월 15일 오전 9시: 1차 합격자 5,000명 프로필 공개 → 즉시 비정상 접근 시작
- 6월 15일 오후 3시: 한 지원자가 이상한 점을 문의 → 약 6시간 뒤에야 발각
- 6월 15일 오후 4시: 허가되지 않은 접근 경로 차단
- 6월 16일 오후 6시: AI 기반 자동 수집 차단 기능 추가
- 6월 18일: 개인정보보호위원회에 신고 + 합격자 5,000명 전원 문자 통보
법정 신고 기한 72시간은 지켰지만, 정부 사업이라는 점에서 피해자 통보가 사흘 뒤에야 이뤄진 점에 대해 비판이 나왔어요.
진짜 원인 — 해커가 아니라 내부 AI 업체
이번 사건에서 가장 충격적인 대목은 유출 주체예요. 외부 해커가 침투한 게 아니라 모두의창업 프로젝트에 참여하도록 선정된 AI 솔루션 업체가 스스로 정보를 빼갔어요.
- 방법: 비정상적인 API 호출 + 웹 크롤링으로 비공개 합격자 이메일 수집
- 목적: 수집한 이메일로 자사 솔루션 홍보 메일 발송
- 경로: 9개 IP를 통해 비공개 정보에 접근
- 현재: 경찰 수사 진행 중
근본 원인은 기술 구조에 있었어요. 사용자 화면(UI)에서는 이메일·심사평을 안 보이게 가려놨지만, 실제 데이터가 오가는 서버 단(API)에는 접근 통제가 없었어요. 화면만 가렸을 뿐 API를 직접 호출하면 누구든 데이터를 가져올 수 있었던 구조예요.
한 달 전 경고 무시 — 막을 수 있었던 사고
이번 사건을 더욱 뼈아프게 만드는 사실이 있어요. 사고 발생 약 한 달 전인 5월 7일, 보안팀 zento가 정확히 이 취약점을 발견하고 공식 문의로 제보했어요.
- 제보 내용: API 파라미터 조작 취약점 재현 경로 + 개선 권고안 제출
- 당시 노출된 정보 규모: 아이디어 목록 약 16,000건, 팀원 정보 약 20,000건
- 결과: 권고안 반영되지 않음
또한 창업진흥원은 2025년 정보보안 감사에서 15개 항목의 미비점을 지적받았어요. 관리자 접근통제 미흡, 중요 파일 암호 미설정, 네트워크 프로토콜 관리 미흡 등 핵심 항목들이 포함됐는데, 일부는 이번 사고 발생 직전까지도 개선되지 않은 상태였어요.
내 정보 유출 여부 확인 + 2차 피해 예방
모두의창업에 지원했다면 아래 조치를 해두는 게 좋아요.
1. 유출 여부 확인
- 창업진흥원이 6월 18일 합격자 5,000명 전원에게 문자 통보했어요.
- 문자를 받았다면 피해자이고, 못 받았다면 이번 유출 대상이 아닐 가능성이 높아요.
- 불확실하다면 창업진흥원 고객센터 또는 개인정보보호위원회 신고센터 (118)에 문의 가능해요.
2. 즉시 해야 할 2차 피해 예방 조치
- 이메일 계정 비밀번호 변경: 유출된 이메일로 피싱 공격이 집중될 수 있어요.
- 의심 메일 주의: 정부지원사업, 투자유치, 솔루션 홍보 관련 메일은 발신자 도메인을 꼭 확인하세요.
- 명의도용 모니터링: 통신사 명의도용 방지 서비스 가입으로 내 이름으로 신규 가입 시 알림 수신 가능.
- 개인정보 침해 신고: 2차 피해 발생 시 개인정보보호위원회 (118) 또는 KISA 보호나라 (boho.or.kr) 신고.
핵심 정리
모두의창업 개인정보 유출 사건 핵심을 정리할게요.
- 유출 대상: 1차 합격자 5,000명 (전체 지원자 62,944명 중 선발)
- 유출 항목: 이메일·아이디어 요약·심사평 (실명·전화·사업계획서는 미유출)
- 유출 주체: 사업 참여 AI 솔루션 업체 (비정상 API 호출 + 웹 크롤링)
- 근본 원인: UI만 가리고 API 접근 통제 미흡
- 경고 무시: 5월 7일 보안팀 zento가 취약점 제보했으나 미반영
- 대응: 6월 18일 개인정보보호위원회 신고, 합격자 전원 문자 통보
- 피해자라면: 이메일 비밀번호 변경 + 의심 메일 주의 + 118 신고