창업을 준비하는 이들이 정부 지원사업에 제출한 참신한 아이디어가 플랫폼의 보안 허점으로 인해 외부로 유출되는 씁쓸한 사건이 발생했다.
중소벤처기업부의 창업지원 프로그램인 ‘모두의 창업’에서 선발자 5천 명의 비공개 이메일과 심사 의견, 아이디어 요약본이 노출된 것으로 알려진다.
이번 사고는 외부 해커의 공격이 아니라 해당 프로젝트에 참여했던 인공지능(AI) 솔루션 업체의 비정상적인 서버 접근과 웹 크롤링으로 인해 발생했다.
이용자 화면에서는 숨겨져 있던 민감한 정보들이 서버 응답 구조상에서는 그대로 읽힐 수 있었던 것으로 보여 플랫폼 설계와 위탁 운영 전반의 부실함이 도마 위에 오른다.
화면 뒤에 숨은 데이터 구멍, 아이디어가 자산인 생태계를 흔들다
스타트업 생태계에서 아이디어 요약이나 심사위원의 의견은 단순한 텍스트를 넘어 기업의 시장 접근법과 기술력이 담긴 핵심 자산으로 평가받는다.
정부 지원을 받기 위해 사업 계획과 팀 정보를 믿고 맡겼던 예비 창업자들 입장에서는 플랫폼의 허술한 권한 관리가 곧 커다란 사업적 리스크로 다가올 수 있다.
당국은 선발자들에게 문자로 피해 사실을 안내했으나, 심사 댓글과 아이디어까지 노출되었을 가능성이 제기되면서 실제 피해 산정은 더욱 복잡해질 전망이다.
특히 주무 부처의 초기 설명 과정에서 참여 기업의 부적절한 데이터 수집이라는 핵심 맥락이 충분히 부각되지 않았다는 지적이 나오며 사후 대응에 대한 의구심을 키운다.
이번 사태는 창업 지원 플랫폼이 단순한 행사 안내 시스템이 아니라 예비 기업들의 기밀 정보를 다루는 민감한 저장소라는 사실을 다시금 일깨워준다.
공공 사업 특성상 여러 개발사와 운영사, 솔루션 공급사가 얽히는 구조에서 특정 협력사의 접근 권한을 제대로 통제하지 못하면 연쇄적인 보안 사고를 막기 어려워 보인다.
해당 업체가 이렇게 확보한 비공개 이메일을 활용해 자사 홍보성 메일을 발송한 것으로 나타나 공공 데이터가 민간 마케팅 수단으로 전락했다는 비판도 피하기 어렵다.
초기 창업팀은 특허나 법적 보호 장치를 갖추기 전에 아이디어를 제출하는 경우가 많아, 모방 위험에 따른 심리적 부담과 투자자 대응이라는 추가적인 짐을 지게 된다.
무너진 공공 플랫폼의 신뢰, 보안 시스템의 표준을 다시 짜야 하는 이유
유출 사고로 인해 발생하는 시스템 점검과 재발 방지 계획 수립, 기관의 신뢰도 하락은 향후 정책 집행 과정에서 고스란히 행정적 비용 부담으로 돌아오기 쉽다.
데이터 관리가 부실하다는 인식이 확산되면 역량 있는 우수한 창업 팀들이 공공 플랫폼에 고도화된 기술 정보를 제출하기를 꺼리는 악순환이 생길 수 있다.
향후 유사한 플랫폼을 운영할 때는 실시간 API 호출 감시, 비공개 데이터 필드 차단, 심사 정보와 연락처의 권한 분리 저장 등이 필수적인 선결 조건으로 꼽힌다.
실제 유출 규모와 권한 부여 경위 등의 지표를 명확히 밝히는 한편 협력사별 최소 권한 원칙을 확립하는 것이 무너진 신뢰를 회복할 신호탄이 될 전망이다.
