사이버위협분석/해킹 및 개인정보 유출사고 동향

[중소벤처기업부·창업진흥원(모두의 창업)] API 취약점 및 비인가 정보수집에 따른 개인정보 유출 사고_2026년 06월

경험한사람 2026. 6. 21. 19:17

중소벤처기업부와 창업진흥원이 운영하는 「모두의 창업」 플랫폼에서 프로젝트 합격자 약 5,000명의 개인정보가 유출되는 사고가 발생했다. 유출된 정보는 이메일 주소를 비롯해 아이디어 요약 정보 및 심사평이며, 조사 결과 외부 해커가 아닌 프로젝트 참여 AI 솔루션 업체가 API 취약점을 이용해 비공개 정보를 수집한 것으로 확인됐다. 중기부는 허가되지 않은 접근 경로를 차단하고 한국인터넷진흥원(KISA) 및 국가사이버안보센터 등 관계기관과 함께 사고 원인 및 추가 유출 여부를 조사 중이라고 밝혔다.


 


  개요 

   2026년 06월 15일 「모두의 창업」 프로젝트 합격자 프로필 공개 이후 비공개 정보에 대한 비정상적인 접근이 발생한 사실이 확인됐다.
    중소벤처기업부와 창업진흥원 조사 결과, 프로젝트에 참여한 AI 솔루션 업체가 API(Application Programming Interface) 호출과 웹 크롤링을 통해 비공개 처리된 참가자 이메일 주소를 수집한 것으로 파악됐다. 이 과정에서 이메일 주소뿐 아니라 창업 아이디어 요약 정보와 심사평도 함께 유출된 것으로 확인됐다.
특히 사고 발생 약 한 달 전인 2026년 05월, 이용자가 API 응답을 통해 개인정보가 노출될 수 있는 취약점을 제보한 사실이 뒤늦게 알려지면서 보안 구조 개선이 미흡했다는 지적이 제기됐다. 중기부는 현재 국가사이버안보센터 등 외부 전문기관과 합동으로 정확한 사고 경위와 추가 유출 여부를 조사 중이다.

 

  사고내용 요약  

    1. 회사명 : 중소벤처기업부·창업진흥원(모두의 창업)
    2. 사고유형
        - API 취약점 기반 개인정보 유출 사고
        - 비인가 정보수집 및 웹 크롤링 사고
        - 사업 참여업체 정보 무단 수집 사고
        - 플랫폼 개인정보 노출 사고
    3. 유출규모
        - 모두의 창업 프로젝트 합격자 : 약 5,000명
        - 비정상 접근 확인 IP : 9개
        - 추가 유출 규모 : 조사 중
    4. 유출항목
        - 이메일 주소
        - 창업 아이디어 요약 정보
        - 심사평
            ※ 실명, 휴대전화번호, 상세 신청서 및 상세 아이디어는 현재까지 유출되지 않은 것으로 확인


    5. 특이사항
        - 외부 해커가 아닌 사업 참여 AI 솔루션 업체가 정보 수집 주체로 확인
        - API 취약점을 통한 비인가 정보 접근 발생
        - 웹 크롤링을 통한 정보 수집 정황 확인
        - 사고 발생 약 1개월 전 동일 취약점 제보 이력 존재
        - 유출 정보 기반 홍보성 이메일 발송 확인
        - 국가사이버안보센터 등 외부 전문기관 조사 진행 중
        - 상세 창업 아이디어는 유출되지 않은 것으로 확인
        - 프로젝트 심사평까지 유출된 것으로 확인


  사고대응 타임라인  

       - 2026년 05월 07일
          . 이용자, API 응답을 통한 개인정보 노출 가능성 제보
          . 사업 아이디어 및 팀원 정보 노출 가능성 신고
          . 운영기관, 임시 조치 수행

      - 2026년 06월 15일 09시
          . 모두의 창업 프로젝트 합격자 프로필 공개
      
      - 2026년 06월 15일 15시경
          . 이용자 문의를 통해 비공개 정보 접근 정황 인지
          . 허가되지 않은 접근 경로 확인
          . 긴급 차단 및 보안 조치 시행

      - 2026년 06월 15일 16시
         . 비인가 접근 경로 전면 차단 조치 완료

      - 2026년 06월 16일 10시경
         . 특정 AI 업체 홍보메일 수신 관련 민원 접수
         . 개인정보 활용 정황 확인

      - 2026년 06월 16일 18시
         . AI 기반 자동 데이터 수집 차단 기능 적용

      - 2026년 06월 18일
         . 개인정보 유출 사실 공식 공지
         . 정보주체 개별 통지 실시
         . 한국인터넷진흥원(KISA) 신고
         . 피해신고센터 운영 개시

      - 2026년 06월 21일
         . 사업 참여 AI 업체의 비정상 API 호출 및 웹 크롤링 정황 공개
         . 국가사이버안보센터 등 전문기관 합동조사 진행

      - 2026년 06월 22일
          . 중기부 브리핑 및 향후 개선방안 발표 예정


  개인정보 유출 관련 홈페이지 안내   



  대응내역  

    - 비인가 접근 경로 차단
    - 시스템 긴급 보안 점검 수행
    - 자동 데이터 수집 차단 기능 적용
    - 정보주체 개별 통지 실시
    - 한국인터넷진흥원(KISA) 신고
    - 국가사이버안보센터 합동 조사 착수
    - 피해신고센터 운영
    - 추가 유출 여부 조사 진행
    - 플랫폼 보안구조 개선 검토
    - 개인정보 활용 정황 모니터링 수행


 재발방지대책(권고사항)   

    1. 기술적 조치
       - API 접근통제 및 인증체계 강화
       - 비인가 API 호출 탐지 시스템 구축
       - 개인정보 응답 최소화 및 마스킹 적용
       - 웹 크롤링 및 자동 수집 방지 솔루션 도입
       - API 보안 게이트웨이(API Gateway) 구축
       - 비정상 대량 조회 탐지 체계 운영
       - 개인정보 접근 로그 실시간 모니터링
       - 정기 취약점 진단 및 모의해킹 수행


    2. 관리적 조치
       - 참여기업 대상 개인정보보호 계약 및 보안 의무 강화
       - 외부 협력업체 접근권한 최소화
       - 취약점 제보 대응 프로세스 개선
       - 개인정보 영향평가 수행
       - 개인정보 처리 현황 정기 점검
       - 정보보호 교육 및 보안 인식 강화
       - 개인정보 유출 대응 매뉴얼 정비
       - 제3자 정보 활용 및 접근 통제 정책 강화


  관련기사(출처)  

 

감사합니다.