모두의 창업 플랫폼 개인정보유출사고

'모두의 창업' 개인정보 유출 사고 — 인시던트 브리핑

Incident Briefing · 2026.06.23 기준

'모두의 창업' 개인정보 유출 사고

합격자 5,000명의 비공개 정보가 외부로 빠져나가기까지, 그리고 정부의 첫 공식 대응까지 한눈에 정리했습니다.

조사 진행 중 발생 06.15 인지 06.15 신고 06.18 브리핑 06.22

1차 모집 신청자62,944명

유출 대상(합격자)5,000명

사전 제보 → 사고39일

조사 대상 IP9개

피해신고 접수(6/21)54건

대응 TF 규모28명·6팀

직전 보안감사 미비15건

2기 모집잠정연기

3줄 요약

①'모두의 창업'(중기부 산하 창업진흥원이 운영하는 전 국민 창업 아이디어 공모 플랫폼) 1차 합격자 5,000명 전원의 비공개 이메일, 아이디어 요약, 심사평 일부가 외부로 유출됐습니다.
②유출은 등록 AI 솔루션 업체 한 곳의 비정상 API(Application Programming Interface) 호출에 의한 것으로 파악됐습니다.
③사고 한 달 전 동일 유형의 취약점이 이미 제보됐으나 근본 조치가 이뤄지지 않은 채 실제 유출로 이어졌습니다.

사고 경위

2026.05.07

취약점 사전 제보

이용자가 API 응답으로 개인정보가 구조화 노출되는 취약점을 발견, 재현경로·영향범위·개선안과 함께 운영사에 제보. 운영사는 자체 조치 후 중기부·창진원에는 미보고

2026.06.15
09:00

개인정보 유출 발생

등록 AI 솔루션 업체가 비정상 API 호출로 비공개 처리된 합격자 전원의 이메일을 확보, 해당 메일로 홍보 메일 발송

2026.06.15
15:15

유출 사실 최초 인지

창업진흥원, 민원 문의게시판 신고를 통해 유출 사실을 인지

2026.06.18

개인정보보호위원회 신고

창업진흥원, 개인정보 유출신고서를 개인정보보호위원회에 제출

2026.06.21

차관 직속 TF 킥오프

기존 창업국 단위 대응을 부처 차원 TF로 격상, 킥오프 회의 개최

2026.06.22

공식 브리핑·대책 발표

노용석 1차관 사과, 경찰청 수사의뢰, 9개 IP 조사, 2기 모집 연기, 아이디어 보호대책 발표

2026.06.23
현재

조사·후속조치 진행 중

국정원·경찰·개인정보보호위·KISA 조사 병행, 주 2~3회 TF 정례회의

유출 정보 상세

주민등록번호 · 연락처

상세 도전 신청서 포함

미노출

비공개 이메일 주소

합격자 5,000명 전원 대상

노출

아이디어 요약본

암호화된 형태로 확인

암호화 노출

심사평 일부

비공개 항목이었음

암호화 노출

데이터베이스 직접 접근

프로필 페이지 연계 노출로 파악

미확인

유출 경로

API 응답 · AI 자동수집 · 앱 크롤링 추정

조사 중

피해 규모 및 영향

①

직접 피해

1차 합격자 전원 5,000명의 이메일·아이디어 요약·심사평 노출

②

신뢰도 훼손

62,944명이 지원한 역대 최대 규모 정부 창업 공모전 전체의 신뢰 타격

③

사업 일정 차질

7월 예정 2차 모집(5천→1만 명 확대 계획)이 보안 점검 완료까지 연기

④

거버넌스 리스크 노출

운영사가 공공입찰 없이 기부채납 형식으로 선정, 관리·감독 사각지대 지적

⑤

평소 보안 수준 도마 위

창업진흥원, 직전 보안감사에서 15개 항목 미비점으로 감점 받은 사실 추가 확인

정부 대응 현황

①

수사·조사

경찰청 수사 의뢰, 국가사이버안보센터가 9개 IP 조사, 개인정보보호위·KISA 조사 예정

②

조직 대응

차관 주재 부처 TF로 격상 — 총괄·동향모니터링·사이버안보·아이디어보호·지역관리·AI솔루션관리 6팀 28명

③

피해자 지원

합격자 전원 영업비밀 원본증명 무상지원, 기술임치 1년 무료, 변호사 1대1 상담, 17개 시도 매칭데이

④

사업 일정

2차 모집은 신뢰 회복을 우선 과제로 두고 보안 점검·조사 결과를 종합 검토 후 추후 확정

⑤

공개 사과

한성숙 중기부 장관, 노용석 1차관 모두 책임을 통감한다고 공개 사과

전문가 관점: 기술적 분석

해킹 기법 자체보다 API 설계·운영 단계의 구조적 결함이 사고의 본질입니다.

OWASP API3:2023 Broken Object Property Level Authorization CWE-200 CWE-213 MITRE ATT&CK T1190

화면(UI) 단에서는 이메일을 마스킹했지만, 이를 만드는 API 응답 자체에는 비공개 필드가 그대로 포함돼 있었습니다 — "화면은 가렸지만 응답(payload)은 그대로 둔" 전형적인 과다 데이터 노출 패턴입니다. 가장 심각한 구조적 문제는 5월 제보와 6월 유출이 사실상 동일 경로로 지목된다는 점으로, 단순 신규 취약점이 아니라 취약점 신고 처리 프로세스의 부재가 사고를 키운 핵심 원인으로 보입니다.

API·플랫폼 사업자 점검 체크리스트

응답 단위 데이터 최소화

화면 마스킹이 아니라 서버단에서 API 응답 자체에 비공개 필드가 담기지 않도록 필터링

객체 수준 권한 검증

모든 호출에서 요청 주체의 해당 객체 접근 권한을 매번 검증 (BOLA/BOPLA 방어)

이상 API 호출 탐지

대량 순차 조회 등 스크래핑 시그니처를 API Gateway·WAF 단에서 탐지

제3자 권한 별도 관리

협력업체 API 키는 일반 사용자보다 더 엄격한 범위 제한과 감사로그 적용

취약점 신고 프로세스 명문화

제보 접수·검증·상위기관 보고 절차를 사전에 문서화, 수탁사 자체 종결 금지

개인정보보호법 준수

제29조 안전조치의무, 제26조 위탁관리, 제34조 유출통지 의무를 계약서에 명문화

ISMS-P 등 보안성 검토 선행

공공·정부 발주 플랫폼은 사업 착수 전 보안성 검토를 계약 조건으로 의무화

국내 시사점

국민 참여형 플랫폼의 위험성

아이디어 자체가 영업비밀·지식재산에 해당해 유출 시 경제적 피해로 직결

보안 거버넌스 환류 실패

직전 감사 15개 미비점 지적이 실질 개선으로 이어지지 않은 구조적 한계

민간 위탁 모델의 책임 공백

입찰·용역계약 없는 위탁은 보안 요건이 계약 의무로 명문화되지 않을 위험

취약점 신고 문화 미성숙

공식 채널이 아닌 일반 문의게시판 의존 — 공공 플랫폼 VDP 도입 필요

전문가 코멘트 초안

'모두의 창업' 사고의 본질은 해킹이 아니라 이미 알고 있던 구멍을 막지 않은 것입니다. 5월에 들어온 취약점 제보가 6월 유출 사고와 같은 경로로 지목되고 있다는 사실이 이를 보여줍니다. API는 화면에 보이지 않는다고 안전한 게 아닙니다. 응답 데이터 자체에 무엇이 담겨 나가는지가 보안의 출발점이며, 외부 협력사에 부여한 권한일수록 더 엄격하게 감사해야 합니다. 공공 플랫폼이 국민의 아이디어와 개인정보를 모으는 사업일수록, 보안은 사업 후반의 보완 과제가 아니라 설계 단계의 전제조건이어야 합니다.

추가 확인이 필요한 사실

5월 제보 노출 규모 불일치

제보자 주장(팀원정보 약 2만여 건) vs 정부 공식 설명(8,000여 명) 간 수치 차이

확인 필요

사고 발생 일자 표기 차이

다수 매체는 6/15를 보도하나 일부 매체는 6/16으로 표기 — 공식 신고서 기준 06.15

확인 필요

유출 대상 인원의 정확한 범위

전수 유출인지 일부 유출인지 22일 브리핑에서도 조사 진행 중으로 남아있음

조사 중

AI 솔루션 업체 실명·법적 책임

현재까지 익명 보도 — 형사 입건·고의성 여부는 경찰 수사 결과 확인 필요

수사 대기

이 블로그 검색

TECHNOMY(테크노미) 전달자 - 경험콜렉터