‘모두의창업’ 정보 유출 원인은 “AI 도구로 백엔드 API에 비정상 접근”
중소벤처기업부(이하 중기부)가 최근 발생한 ‘모두의창업’ 플랫폼 정보 유출 사고와 관련해, 백엔드 애플리케이션 프로그래밍 인터페이스(API)를 통해 권한 없는 이용자가 1차 합격자 정보에 접근한 정황을 확인했다고 22일 밝혔다. 국가정보원(이하 국정원) 조사에서는 9개 IP가 비정상적으로 API를 호출한 것으로도 파악됐다.
화면에서 숨긴 정보, ‘권한 없는 API 요청’으로 유출
22일 정부서울청사에서 열린 중기부 브리핑에 따르면, 이번 사고에서 데이터베이스에 직접 접근한 흔적은 발견되지 않았다. 모두의창업 1차 합격자 프로필 페이지가 공개된 뒤 해당 페이지와 연결된 백엔드 API를 통해 일부 정보가 노출됐다. API는 이용자 화면과 서버가 데이터를 주고받는 통로다. 화면에서 특정 정보를 숨기더라도 서버가 API 요청에 해당 정보를 반환하면 별도 도구를 통해 접근할 수 있다.
노출된 정보는 이메일 주소와 창업 아이디어 요약본, 심사평이다. 중기부는 해당 정보가 암호화된 형태로 외부에 전달됐다고 설명했다. 주민등록번호와 연락처, 상세 도전신청서는 노출되지 않았다고 밝혔다.
중기부는 이용자에게 보이는 프론트엔드에서는 비공개 정보가 표시되지 않았지만 서버 처리 영역인 백엔드에서 정보가 제공됐다고 했다. 권한 없는 이용자가 인공지능(AI)을 활용한 도구로 권한을 가진 것처럼 시스템에 요청을 보냈다는 게 중기부의 설명이다.
노용석 중기부 제1차관은 “정상적으로 정보를 볼 권한이 있는 사람이 아니라 AI를 활용해 권한이 있는 것처럼 시스템을 속여 데이터를 가져갔다”고 말했다. 관계기관은 현재까지 파악한 접근을 해킹 행위로 보고 있다.
다만 구체적인 공격 방식은 공개되지 않았다. 공격자가 어떤 인증 정보나 API 요청값을 조작했는지, 시스템이 권한 없는 요청을 정상 요청으로 판단한 이유는 조사 중이다. 암호화된 형태로 빠져나간 정보가 어떤 방식으로 확인되거나 활용됐는지도 규명되지 않았다.
중기부는 비공개로 설정한 이메일 주소에도 특정 AI 솔루션 업체의 홍보 메일이 도착한 점을 비정상적인 정보 접근의 근거로 들었다.
9개 IP서 비정상 호출…경찰 수사 의뢰
국정원은 현재까지 9개 IP가 모두의창업 API를 비정상적으로 호출한 사실을 확인했다. 관계기관은 IP의 위치와 사용 사업자, 실제 정보 접근 범위를 조사하고 있다.
중기부는 이날 오후 경찰청에도 수사를 의뢰했다. 조사 결과 특정 업체나 개인의 정보 유출 혐의가 확인되면 법적 책임을 물을 계획이다.
합격자 정보를 홍보에 사용한 것으로 지목된 AI 솔루션 공급업체는 공개된 이메일 주소만 사용했다고 주장하고 있다. 중기부는 해당 업체를 모두의창업 AI 솔루션 공급기업 명단에서 제외했다.
다만 이번 제외 조치는 개인정보 유출 혐의가 아니라 정식 서비스 시작 전 홍보 활동을 금지한 참여 조건을 위반한 데 따른 것이다. 중기부는 수사 결과가 나오기 전까지 해당 업체를 정보 유출 주체로 확정하기는 어렵다고 밝혔다.
중기부가 유출 가능성을 통보한 대상은 1차 합격자 5000명이다. 실제 5000명 전원의 정보가 외부로 나간 사실이 확인된 것은 아니다. 중기부는 정확한 피해 범위를 확정하지 못한 상태에서 피해 가능성이 있는 최대 인원에게 통보했다고 설명했다.
5월에도 8000여명 팀원 정보 노출 제보
모두의창업에서는 지난 5월에도 정보 노출 취약점이 발견됐다. 당시 이용자는 공개된 창업 아이디어 1만6000건과 비공개 상태인 팀원 8000여명의 정보가 노출될 수 있다고 제보했다. 플랫폼 개발사는 제보를 접수한 뒤 접근 경로를 차단했다.
하지민 개발사는 취약점의 내용과 조치 결과를 중기부와 창업진흥원에 보고하지 않았다. 중기부는 이번 사고를 조사하는 과정에서 당시 제보와 미보고 사실을 확인했다.
노 차관은 “개발사가 민원 제보를 자체적으로 조치하고 중기부와 창업진흥원에 전혀 보고하지 않았다”며 “보고 누락을 엄중하게 보고 있으며 필요하면 법적 조치까지 취하겠다”고 말했다.
중기부는 지난 5월 제보된 취약점에 대해서는 비공개 팀원 정보의 접근을 차단했다고 설명했다. 해당 정보는 이번 사고의 노출 항목에는 포함되지 않은 것으로 파악했다.
다만 지난 5월에 발견된 취약점과 이번 사고가 같은 API 구조나 권한관리 문제에서 발생했는지는 확인되지 않았다. 중기부는 국정원과 국가사이버안보센터, 개인정보보호위원회 등과 세부 조사를 진행하고 있다.
모두의창업 2기 일정 연기
중기부는 1차 합격자 5000명에게 창업 아이디어 영업비밀 원본증명 등록을 무상 지원하기로 했다. 사업자등록을 한 도전자는 향후 1년간 기술자료 임치도 무료로 지원한다.
창업진흥원에는 정보유출대책반을 신설한다. 피해신고 접수와 사고 조사, 피해 지원을 담당한다. 중기부는 외부 전문업체를 통해 플랫폼 보안 점검도 진행할 예정이다.
당초 7월 초 공고할 예정이던 모두의창업 2기 모집 일정도 연기한다. 중기부는 사고 조사 결과와 시스템 보완 일정에 따라 새로운 공고 시점을 정할 방침이다.
노 차관은 “이번 유출 사고의 가장 큰 문제는 정부에 대한 신뢰를 지키지 못한 것”이라며 “조사 결과에 따른 책임도 회피하지 않겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



