한달 전 제보했는데…침묵한 중기부: 5월 7일 경고부터 5000명 유출까지 시간표로 본 사고

중소벤처기업부의 대표 사업 '모두의창업'에서 개인정보 유출 사고가 발생했다. 뉴스에 따르면 이 사고는 사전 경고가 있었던 사고다. 사고 한 달 전 보안 취약점 제보가 접수됐지만 운영 주체인 중기부와 창업진흥원이 이를 파악하지 못한 상태에서 사고가 터졌다. 이 글은 '한달 전 제보했는데…침묵한 중기부' 사안을 날짜와 수치 중심으로 정리한다.

핵심 수치: 제보부터 통지까지 며칠이 걸렸나

뉴스에 명시된 날짜와 인원을 정리하면 다음과 같다.

• 5월 7일: 모두의창업 플랫폼에 개인정보 보안 취약점 제보 접수 / 제보자는 1차 합격팀사 '오브이오'
• 6월 15일 오전 9시: 1차 합격자 5000명 프로필 공개 직후 비공개 정보에 허가되지 않은 접근 발생 / 실제 사고
• 6월 18일: 피해자 통지 / 사고 사흘 뒤
• 6월 21일: 제보 접수 사실 확인 보도

핵심은 두 개의 간격이다. 제보(5월 7일)에서 사고(6월 15일)까지 약 한 달, 사고(6월 15일)에서 피해자 통지(6월 18일)까지 3일이 걸렸다.

사고 약 한 달 전에 이미 동일 위험에 대한 경고가 운영팀에 전달돼 있었다.

항목별 비교: 무엇이 알려졌고, 무엇이 무시됐나

제보된 내용 vs 실제 대응

제보자 오브이오는 단순 신고에 그치지 않았다. 뉴스에 따르면 응용프로그램인터페이스(API) 응답 과정에서 지원자 정보가 노출되는 문제를 발견해 '문의하기'로 알렸고, 다음 자료를 함께 전달했다.

• 취약점 재현 경로
• 영향 범위
• 개선 권고안
• 개념검증(PoC) 자료 / 취약점이 실제로 작동함을 입증하는 시연 자료

API는 시스템 간 데이터를 주고받는 통로다. 여기서 지원자 정보가 새어 나온다는 것은 정상적으로는 보이지 않아야 할 데이터가 응답에 섞여 나온다는 의미다.

반면 운영 측 대응은 사실상 부재했다. 중기부 관계자는 "해당 업체에서 별다른 보고 없이 처리하다 보니 중기부와 창진원은 해당 사항을 파악하지 못했다"고 인정했다.

유출 확인 항목 vs 미확인 항목

현재까지 중기부가 밝힌 정보를 두 갈래로 나누면 다음과 같다.

• 유출 확인: 이메일 주소 / 창업 아이디어 요약 / 심사평
• 유출 미확인: 실명 / 휴대폰 번호 / 상세 도전 신청서

여기에 더해 일부 합격자에게는 홍보성 이메일이 발송된 정황도 확인됐다.

숫자가 말해주는 의미: '한 달'이라는 공백

이 사고에서 가장 무거운 수치는 금액이나 인원이 아니라 '약 한 달'이라는 시간 공백이다. 5월 7일 경고가 6월 15일 사고로 이어졌다는 사실은, 위험을 막을 시간이 충분히 있었음을 뜻한다.

업계에서는 제보가 개별 기능 보완 수준으로 처리된 점을 문제로 본다. API 응답에서 개인정보 노출 가능성이 확인됐다면 해당 경로만 막을 게 아니라 플랫폼 전체의 접근 권한과 비공개 정보 노출 가능성을 점검했어야 한다는 지적이다. 즉 '한 곳을 막는 대응'과 '전체를 점검하는 대응'의 차이가 한 달 뒤 5000명 규모 사고로 드러난 셈이다.

피해 당사자인 스타트업의 우려도 수치로 환산되지 않는 영역에 있다. 유출 항목 중 창업 아이디어 요약과 심사평이 핵심 위험으로 지목된다. A 스타트업 관계자는 "아이디어와 평가 자료가 노출됐다면 회사 존립 자체의 문제로 이어질 수 있다"고 했다.

제보와 사고의 직접 관련성은 아직 확정되지 않았다. 중기부는 "해당 제보와 이번 사고의 관련성은 개인정보보호위원회와 국정원 등 전문기관이 조사해 추후 설명하겠다"는 입장이다.

결론

'한달 전 제보했는데…침묵한 중기부' 사안의 골자는 세 숫자로 요약된다. 5월 7일 제보 → 6월 15일 5000명 프로필 공개 직후 사고 → 6월 18일 통지, 그리고 그 사이의 약 한 달 공백이다. 제보 내용은 재현 경로와 PoC까지 갖춘 구체적 경고였으나 운영 주체는 사고 이후에야 이를 파악했다.

당장 확인할 수 있는 실행 항목은 다음과 같다.

• 합격자·지원자: 가입에 쓴 이메일로 온 홍보성 메일을 의심하고, 공개됐을 수 있는 아이디어 요약과 심사평의 노출 범위를 점검한다.
• 플랫폼 운영자: 보안 제보를 개별 기능 패치로 닫지 말고, 동일 유형의 접근 권한과 비공개 정보 노출 경로 전체를 함께 점검하는 절차를 둔다.
• 추적이 필요한 독자: 개인정보보호위원회·국정원의 조사 결과가 제보와 사고의 관련성을 어떻게 결론짓는지 후속 발표를 확인한다.