국무총리 후보자인 한성숙 중소벤처기업부 장관이 16일 오후 서울 마포구 SVC Seoul(스타트업벤처캠퍼스서울)에서 열린 모두의 창업 1기 출범식에 참석해 인사말을 하고 있다.정부의 창업 지원 프로젝트인 ‘모두의창업’에서 발생한 개인정보 유출 사고를 둘러싸고, 사고 발생 약 한 달 전 유사한 보안 취약점이 공식 제보됐다는 주장이 제기되면서 대응 적절성 논란이 일고 있다. 중소벤처기업부는 당시 제보 내용을 확인한 뒤 필요한 조치를 진행했다고 설명했지만, 이후에도 일부 보안 취약점이 남아 있었던 것으로 알려졌다.
2026년 6월 21일 관련 업계에 따르면 자신을 모두의창업 1차 합격자이자 개인정보 유출 피해자라고 밝힌 한 작성자는 사회관계망서비스(SNS)를 통해 지난 5월 플랫폼에서 지원자 개인정보가 API 응답 형태로 노출되는 취약점을 발견해 운영 측에 공식 전달했다고 주장했다. 해당 작성자는 아이디어와 팀원 정보 등이 외부에 노출될 가능성을 우려하며 재현 경로와 개선 권고안을 함께 제출했다고 밝혔다.
작성자는 운영기관으로부터 내부 확인과 조치를 진행하겠다는 답변을 받았으나 이후 유사한 형태의 개인정보 유출이 발생했다며 아쉬움을 나타냈다. 이에 대해 중소벤처기업부는 제보 접수 직후 작성자와 소통하며 내용을 확인했고 필요한 조치를 시행했다는 입장을 밝혔다.
다만 창업진흥원이 지난 18일 개인정보보호위원회에 제출한 개인정보 유출 신고 내용에는 API 관련 보안이 충분하지 않았던 정황이 포함된 것으로 전해졌다. 신고서에는 합격자 지원 프로그램에 참여한 인공지능(AI) 솔루션 업체가 비정상적인 API 호출을 통해 비공개 이메일 주소를 확보한 뒤 홍보 메일을 발송한 것으로 파악됐다는 내용이 담긴 것으로 알려졌다.
창업진흥원은 서비스 화면에서는 해당 정보가 직접 노출되지 않았지만 일부 서버 API의 보안이 미흡해 AI 기반 자동 수집이나 웹 크롤링 등을 통해 정보 취득이 가능했던 것으로 확인됐다고 설명했다. 이후 관련 API를 차단하고 자동 수집 및 크롤링 방지 기능을 추가하는 조치를 시행했다고 밝혔다.
정보보호 전문가들은 공공 서비스의 보안 관리 체계를 보다 강화할 필요가 있다고 지적했다. 보안 환경이 빠르게 변화하는 만큼 전문 인력과 대응 체계 확충이 요구되며, 사전 제보가 있었던 취약점과 실제 사고 간 연관성이 확인될 경우 보다 세밀한 후속 조치가 필요했다는 의견도 제시됐다.
한편 중소벤처기업부는 2026년 6월 22일 브리핑을 통해 모두의창업 사업 진행 상황과 향후 운영 방향에 대해 설명할 예정이다.
