중소벤처기업부 제1차관 노용석입니다.
먼저, 모두의 창업에 참여하고 관심을 가져주신 모든 분들께 금번 플랫폼 유출로 불편을 끼쳐드리고, 특히 정부에 대한 여러분의 신뢰를 지켜드리지 못한 점 머리 숙여 깊이 사과드립니다.
정부는 피해를 우려하시는 도전자분들의 불안감 해소를 최우선으로 하여 피해 구제와 재발 방지 그리고 철저한 조사와 엄정한 책임까지 총력을 다해 추진해 나가겠습니다.
그 첫걸음으로 모두의 창업 T/F를 차관 주재로 격상하고 확대 개편하여 일요일인 어제 킥오프회의를 진행하였고 금일 오전 2차 회의를 개최했습니다. 향후 주 2~3회 정례적으로 회의를 개최하면서 운영체계를 포함한 모든 사안들을 철저히 점검할 계획입니다.
오늘은 우선 지난 1·2차 회의에서 논의한 사항들에 대해 설명드리겠습니다.
먼저, 정보 유출 관련입니다.
지난주 발생했던 합격자 정보 유출 관련, 현재까지 확인된 내용 및 향후 조치계획에 대해 말씀드리겠습니다.
지금까지 확인된 바에 따르면 데이터베이스에 대한 접근은 없었고, 합격자 프로필 페이지가 열린 후 연결된 일부 정보가 노출되었습니다.
주민등록번호, 연락처 등의 개인정보나 상세 도전신청서는 노출되지 않았으며, 이메일과 아이디어 요약본, 심사평, 세 가지의 정보가 암호화된 형태로 노출되었습니다.
현재 국가정보원, 국가사이버안보센터, 개보위와 함께 세부 조사를 진행하고 있으며, 금일 오후 1시 반경 경찰청에 수사 의뢰도 했습니다. 유출 대상 및 범위에 대한 사항은 조사 결과가 나오는 대로 상세히 설명드리도록 하겠습니다.
중소벤처기업부는 모두의 창업 1차 합격자 5,000분이 느낄 아이디어 유출에 대한 우려를 조금이나마 덜어드리기 위해 현행 제도상 가용한 모든 수단을 활용하여 아이디어 보호를 적극 지원해 나가겠습니다.
우선 지식재산처와 협력하여 5,000명 전원에게 제출한 도전신청서의 영업비밀 원본증명 등록을 무상으로 지원하고, 사업자를 등록하실 경우에는 향후 1년간 기술 임치까지 무상으로 지원해 드리겠습니다. 이를 통해 모두의 창업에 모인 도전신청자가 도전자 개인 본인의 창업 아이디어임을 정부가 함께 입증해 드리겠습니다.
더 나아가 스타트업 원스톱 지원센터에 소속된 200여 명의 지식재산·특허 전문 변호사들과의 1:1 밀착상담을 지원하겠습니다.
7월 중 전문 변호사들이 직접 지역으로 찾아가는 17개 시도별 아이디어 보호 매칭데이를 개최하고, 추가적인 아이디어 보호 조치가 필요할 경우 온라인 창구를 통한 후속 상담까지 연계 지원하겠습니다.
창업진흥원 내에 정보유출대책반을 신설하여 피해신고센터에 접수된 의견을 면밀히 검토하고 사고 조사부터 피해자 접수 대응, 재발 방지까지 꼼꼼하게 챙겨나가겠습니다.
더 나아가 모두의 창업 플랫폼이 창업가들이 신뢰할 수 있는 창구로 거듭날 수 있도록 보안 강화를 최우선으로 추진하겠습니다. 외부 전문기업을 통해 철저한 보안 점검을 진행하고 이를 바탕으로 보안 강화 방안을 수립·시행하겠습니다.
다음으로 이 자리를 빌려 SNS·커뮤니티 등을 통해 제기되고 있는 현장의 목소리에도 귀 기울이겠습니다.
아이디어 보호, 보안 신뢰 회복에서 한발 더 나아가 모두의 창업 지원 프로세스에 대한 도전자들이 제기하는 현장의 목소리를 경청하고 개선점을 모색해 나가겠습니다.
가장 많은 의견이 제시되고 있는 AI 설루션 지원 프로그램 관련입니다. 잘 아시는 것처럼 AI 설루션 지원 프로그램은 모두의 창업이 창업가의 성장에 국한되지 않고 국내 AI 스타트업이 판로를 확보하고 기술력을 실증할 수 있는 장으로 확장될 수 있도록 기획했습니다.
이에 따라 데이터 바우처, AI 바우처 사업과 유사하게 공급 기업을 국내 AI 스타트업으로 한정하였으며, AI 및 소프트웨어 기술전문가로 평가위원회를 구성하여 기술, 가격의 적정성과 범용성을 심사하여 풀을 구성했습니다.
다만, 모두의 창업의 주연은 창업가들이기에 공급 기업으로서의 활동에 책임감을 부여하고 우수한 AI 설루션이 검증될 수 있는 구조로 만들어 나가겠습니다.
특히 과다 홍보, 가격 변동, 시가 대비 높은 가격 책정 등 비위 행위를 엄격히 금지하고 상시적인 모니터링을 통해 위반 기업을 관리해 나갈 예정입니다.
아울러, 많이 선택된 설루션은 상위에 노출하여 도전자들의 활용도를 통해 해당 AI 설루션의 우수성을 검증하고, 더 나아가 도전자들의 만족도 평가 결과를 2차 모두의 창업 AI 설루션 공급 기업 선정 시 반영하도록 하겠습니다.
모두의 창업 프로젝트는 전 국민에게 창업에 도전하실 수 있는 통로를 열어드리기 위한 국가 프로젝트로 설계하였습니다. 많은 국민들께서 관심을 표하고 정부를 믿고 소중한 창업 아이디어를 제출해 주셨음에도 그 신뢰를 지켜드리지 못한 점 다시 한번 머리 숙여 사과드립니다.
중소벤처기업부는 앞서 말씀드린 바와 같이 최우선적으로 아이디어 보호 절차를 지원하고 외부 조사와 철저한 보안 점검을 실시하며 피해 구제와 재발 방지를 위해 노력하겠습니다.
아울러, 조사 결과에 따른 엄정한 책임도 회피하지 않겠습니다. 더 나아가 도전자들의 현장의 목소리를 경청하며 프로젝트 전반에 대한 개선점도 지속적으로 모색해 가겠습니다.
이상으로 브리핑을 마치겠습니다. 감사합니다. (05:45) [질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 말씀 잘 들었습니다. 이번 정보 유출 주체가 다름 아닌 모두의 창업 프로젝트 AI 설루션 공급하던 참여 업체로 밝혀졌는데요. 외부 공격이 아닌 내부 사업 파트너에 의해서 데이터가 탈취된 건데 해당 업체 선정 과정에서 어떤 보안성 검토가 어떻게 이루어졌길래 이렇게 허술하게 핵심 정보를 유출되게 방치하셨는지 일단 첫 번째 궁금하고요.
그리고 또 두 번째, 지난 18일에 보도 설명자료를 통해서 민원 접수 사실은 밝혔지만 정작 유출의 주체가 시스템에 어떻게 접근 권한이 있는 협력사라는 사실이 누락됐는데요. 이거는 정보 주체인 국민들에게 어떤 정확한 피해 상황을 알린다기보다 사건을 의도적으로 축소하려 한 건 아닌지 궁금하고요. 그리고 왜 당시에 사실관계를 즉시 투명하게 공개하지 않았는지 말씀 좀 부탁드리고요.
또 세 번째는 단순 연락처 유출을 넘어서 도전자들의 가장 핵심 자산인 아이디어 요약과 심사평이 유출됐습니다. 차관님께서 영업비밀 원본증명 지원 등을 대책으로 제시를 하셨는데 이미 유출된 아이디어가 제3자에 도움되거나 악용되는 것을 기술적으로 어떻게 완벽하게 차단할 수 있는 건지도 궁금하고, 또 이미 발생한 지적재산권 침해에 대해 어떤 법적·물적 보상을 책임지실 계획이 있는지 답변 좀 부탁드리겠습니다.
<답변> 기자님, 첫 번째 질문하신 부분은 플랫폼 개발사를 말씀하시는지, 아니면 AI 설루션 업체의 선정의 타당성을 말씀하신 건가요? 지금 두 가지가 약간 혼재가 돼서 말씀하신 것 같습니다.
<질문> 혼재된 건 아니고요. 어쨌든 내부에서 참여한 업체로 드러났잖아요, 지금 이번에.
<답변> 그러니까... <질문> AI 설루션 공급하는 참여 업체.
<답변> AI 설루션 공급 업체의 선정 과정은 제가 앞서 브리핑에서 AI하고 소프트웨어 전문가 10명의 전문가위원회를 통해 선정했다는 말씀드리고요.
저희가 18일에 특정 업체, 이 부분은 말씀드리기 좀 곤란, 지금도 사실 마찬가지인 부분은 해당 업체는 공개된 이메일 주소만 사용했다고 주장하고 있고 그 부분에 대한 수사가 진행 중이기 때문에 현 단계에서 저희가 AI 설루션 업체를 특정해서 그 업체가 정보 유출의 주체라고 말씀드리기 어렵다는 점 양해를 좀 부탁드립니다.
그리고 지금 이미 유출이 된 경우에는 어떻게 할 거냐, 라는 말씀에 대해서는 아까 말씀드린 대로 저희가 피해신고센터를 이미 설치해서 운영하고 있고, 구체적인 피해에 대해서는 정보 유출에 따른 피해, 손해배상이라든지 손실보상 절차에 따라서 해당 부분은 진행해 드릴 계획으로 설명을 드리겠습니다.
그리고 현 단계에서 어떻게 도용·악용을 100% 차단할 수 있냐, 라고 지적하신 부분에 대해서는 일단은 차단 조치는 했지만 사전에 어떤 부분이 어떻게, 어떤 범위로 유출됐는지의 부분에 대해서는 저희가 사실 유출 대상은 5,000명이라고 말씀을 드렸지만 최대 5,000명이라는 표현이 어떻게 보면 맞는 표현이고요.
저희가 사실은 15일에 인지를 하고 17일하고 18일에 조치할 때까지 유출된 정보의 범위와 대상을 확정하기 위해 노력을 했지만 시간상 그 부분이 조사가 완료되어야 되는 부분이기 때문에 최대 5,000명이 정보 유출의 피해 대상이 될 수 있다는 차원에서 5,000명을 대상으로 안내드렸다는 점 다시 한번 설명드리겠습니다.
<질문> 일단 모두의 창업 출범을 할 때 망 분리나 아니면 고유식별정보 같은 거에 대한 비식별 처리나 서버 이중화 이런 것처럼 정보 보안에 대한 시스템이 구축됐었는지 궁금하고요.
그다음에 방금 설루션 업체를 선정할 때 전문가 10명 통해서 뽑았다고 하셨는데 그럼 그 과정에서 이번 업체처럼 개인정보 유출이 발생할 거라고는, 그거는 파악을 못 하셨나요? 선정 과정에서.
<답변> 첫 번째 말씀하신 정보 보안 시스템 구축 여부는 아까 말씀드린 대로 합격자 프로필 그거를 추가로 오픈하면서 그 부분에 비정상적 API 호출에 취약한 부분이 일부 드러났다는 말씀드리고요. 그전...
<질문> ***
<답변> 기본적인 시스템은 저희가 지금 조사 중이기 때문에 저희 입장에서는 준수한 걸로 파악하고 있습니다만 조사 결과가 나오기 전까지는 뭐라고 정확하게 답변드리기 어려운 점이 있습니다. 그 점을 좀 양해를 부탁드리고요.
저희가 비정상적인 API 호출을 통해서 암호화된 정보가 유출됐다고 말씀드리기 때문에 기본적으로 정보의 암호화는 이루어졌다는 설명을 드리고 싶습니다.
그리고 설루션 업체는 사실 해당 AI 설루션의 품질이라든지, 범용성, 가격 등을 검토했지, 해당 업체가 정보를 유출할 건지, 안 할 건지에 대한 판단을 안 한 걸로 알고 있습니다만 그런 정보 유출 가능성에 대한 판단을 왜 선정 기업, 설루션 업체 선정 과정에서 안 했냐고 말씀하시면 그 부분에 대해서는 저희가 지금 결과적으로 문제가 있었다고 생각합니다.
<질문> 일단 AI 설루션 업체, 일단 비공개 정보만 가져갔다고 현재 주장을 하고 있는데 만약에...
<답변> 비공개가 아니라 공개.
<질문> 공개 정보만. 그런데 만약에 비공개 정보까지 가져갔다고 드러난다면 어떤 조치들을 취할 수 있는지, 현재는 그 설루션에서만 배제한 걸로 알고 있는데 다른 중소... 중기부 관련 사업이라든지, 정부 지원, 정부 관련된 사업에서 추가적인 제재 조치가 취해질 수 있는지, 그리고 현재 그 AI 설루션 업체가 중기부 모두의 창업 AI 설루션 말고 다른 정부 관련 보안 사업이라든지 참여하고 있는 바가 있는지가 궁금하고요.
그리고 하나만 더 하면 이 사이트가 클로드 코드, AI 활용에 의해서 구축이 돼서 좀 보안이 허술했다, 라는 얘기도 했는데 일단 AI 시스... 클로드 코드로 구축된 게 맞는지, 그러면 그 이후에 업체 측 그런 조치만 믿고 중기부 쪽에서는 따로 사이트 보안에 대해서 별도의 감사라든지 진행하지 않았는지 궁금합니다.
<답변> 먼저 AI 설루션 업체에 대해서는 아까 말씀하신 대로 해당 업체는 현재까지는 공개 정보를 이용한 홍보만 했다고 주장하고 있습니다. 그래서 저희가 해당 풀에서 제외한 건 AI 설루션 업체 참여 조건으로 사전 홍보를 금지하고 있기 때문에 금지한 부분에 대한 제재로서 풀에서 제외했다는 말씀드리고요.
정부 유출에 대한 조사 결과 혐의가 인정이 된다면 법률적 책임을 물을 예정이라는 말씀드리겠습니다. 현재 저희가 아까 구체적으로 말씀은 못 드렸는데 현재까지 9개 IP가 비정상적인 API 호출을 한 걸로 국정원 조사 결과 확인을 했고, 그 9개의 IP의 구체적인 위치와 사업자 등에 대해서 세부 조사가 진행 중에 있다는 말씀드리겠습니다.
그리고 해당 업체가 다른 사업에 참여하고 있는지 이런 부분은 아직까지는 저희가 파악은 못 했는데 이 부분은 일단 배제는 했지만 해당 업체 측에서 아직까지 그렇게 주장을 하고 있기 때문에 제가 오늘 이 업체가 혐의를 확정해서 말씀드리기 어렵다는 말씀, 조사 결과를 기다려 봐야 될 것 같고요.
클로드 코드로 해서 구축했다, 라는 그런 주장이 일부 인터넷에서 있는 것으로 알고 있습니다. 그런데 저희가 이것도 물론 조사해 봐야 되겠지만 개발사 측 통해 조사한 바로는 클로드를 통한 코드 작성은 하지 않았다고 확인했습니다만 그 부분도 결국 조사를 통해서 드러날 것 같습니다.
또 사이트 보안 점검, 중기부 차원에서 왜 해당 사이트에 대한 보안 점검이나 감사가 미흡했냐, 라는 지적에 대해서는 아까 말씀드린 대로 어찌됐건 유출 사고가 났기 때문에 그 점에 대해서는 저희가 과오를 인정하고 외부 업체와 통해서 보안적으로 강화해 나갈 계획임을 말씀드리겠습니다.
<질문> 아직 조금 이해가 안 되는 게, 보도 설명자료를 보면 지난 15일 월요일 오후 3시에 개인정보 접근 시도를 확인하셨고 오후 4시에 접근 경로를 차단 조치했다고 했고, 그다음에 화요일에 보안 기능을 추가 적용했다고 말씀하셨고요. 그런데 18일인 목요일에 피해자에게 사실을 통보했습니다. 인지하고 나서 통보하는 데까지 시간이 약 68시간 정도 걸린 셈인데요.
홈페이지 관리 업체가 중기부에 이를 알리지 않은 것인지, 아니면 중기부가 이 업체의 보고를 받고도 신고를 하지 않은 것인지가... 신고를 하거나 피해자들에게 알리지 않은 것인지 궁금하고요.
그다음에 두 번째는 지난 5월에 구조적으로 보안이 허술하다는 사용자 제보가 추가로 있었던 것으로 확인이 됐습니다. 이번 유출 사고도 동일한 구조에 대한 보안 허점 때문에 발생했다는 지적들이 있는데요. 홈페이지 관리 업체가 이 역시도 중기부에 이를 알리지 않은 것인지, 아니면 중기부가 이 업체 신고를 받고도 조치하지 않은 것인지 궁금합니다.
<답변> 일단 두 가지 것 중에 두 번째부터 먼저 말씀드리겠습니다. 기자님께서 지적하신 것처럼 지난 5월에 공개된 1만 6,000건의 한 줄 아이디어, 한 줄 아이디어와 그다음 비공개인 8,000여 명의 팀원 정보가 노출됐다, 라는 그런 제보가 있었습니다. 그래서 해당 제보가 접수되었고 당시에 플랫폼 개발사에서 즉시 차단 조치를 완료했습니다.
다만, 해당 사안은 플랫폼에 이루어진 민원 재발을... 민원 제보를 개발사가 자체 조치하고 중기부와 창진원에 전혀 보고를 하지 않았습니다. 그래서 개발사의 보고 누락 경위에 대해서는 저희가 법률 검토를 거쳐서 엄정한 책임을 물을 예정이라는 말씀을 드리겠습니다.
그리고 15일에 처음 인지한 후에 18일에 사실 통보가 이루어진 기간에 대한 문제는 저희가 개인정보보호법에 따라서 개인들에게 개별 통보함에 있어 필요한 절차가 일단 유출된 정보가 어떤 건지에 대한 특정이 그리고 어떤 분들이 유출이 됐는지에 대한 대상 확정이, 그러니까 유출 정보의 범위와 대상에 대한 확정이 필요하고 피해를 입은 분들이 어떤 절차를 통해서 이거에 응하셔야 되는지에 대한 프로세스 구축이 필요했습니다.
그래서 아까 말씀드린 대로 저희가 최대한 대상을 확정하기 위해 노력했지만 지금 법적으로 정해진 72시간 내에 어려울 걸로 판단되어 일단 최대 인원인 5,000명 전원에 대해서 안내해 드렸고요. 그다음 현재까지 파악된 바로는 아까 말씀드린 세 가지 자료가 암호화된 형태로 나갔고, 그리고 저희가 피해신고센터라든지 이런 절차를 시스템을 갖추기 위해 시간이 소요됐다고 설명드리겠습니다.
<질문> 안녕하세요? 이번 유출된 정보에 아이디어에 대한 심사평도 포함된 것으로 알고 있는데요. 해당 심사평을 활용해서 이걸 약간 변형해서 다음 사업에 지원하는 경우도 그럼 위험성도 있다고 생각을 하는데 이런 경우에 대해서는 어떻게 관리하실 생각인지 여쭤보고 싶습니다.
<답변> 말씀하신 대로 심사평 자체가 유출된 거에 대해서 굉장히 저희가 엄중하게 인식하고 있다는 말씀드리고요. 아까 말씀드린 대로 결국은 영업비밀 원본증명을 통해 해당 아이디어의 소유주를 분명하게 확정해 드릴 예정이고, 1차 때 저희가 확보한 데이터베이스가 있기 때문에 2기 때 다소 약간의 변형을 통해서 신청하신 경우는 저희가 충분히 선별할 수 있도록 그런 심사체계를 구축하도록 하겠습니다.
<질문> 방금 영업비밀 원본증명과 기술 임치 지원을 해주신다고 했는데 저는 이거만으로 충분한가, 라는 생각이 들었던 게 기술 임치 같은 경우에는 공공기관에 내 기술을 임치해 놓고 정부가 인정을 해주는 거잖아요, 먼저 아이디어를 냈었다고.
<답변> 그렇습니다.
<질문> 그런데 아시겠지만 아이디어 같은 경우에는 비슷한 시기에 두 가지가 나올 수 있어서 '내가 이거를 유출해서 본 게 아니다.'라고 한쪽이 주장을 해서 소송전까지 갈 수도 있는 상황인데, 그런데 아시겠지만 스타트업들이 소송전으로 가면 실질적으로 적기에 시장에 진출을 못 해서 결국은 사업을 하기가 어려워지는데 중기부가 이런 문제까지 어떻게 해결해 주실지가 첫 번째로 궁금하고요.
그리고 두 번째가 지금 아이디어 보호에 대한 내용은 굉장히 많이 말씀을 하셨는데 결국에는 이게 정보가 유출된 거잖아요. 그런데 이 정보에 대해서 영업적인 접근이라든지 이런 부분은 어떻게 해결하실지에 대한 내용은 없는 것 같아서, 왜냐하면 저는 이게 브로커와도 나중에 연결될 가능성이 있다고 생각하거든요. 결국에는 선정자들의 정보가 유출된 건데 그럼 브로커와 연결될 가능성이나 이들의 개인정보가 2차적으로 활용될 거에 대해서는 어떻게 대처를 마련하고 계신지가 궁금합니다.
<답변> 일단 먼저 말씀하신 영업비밀 원본증명과 기술 임치 같은 경우 저희 두 가지를 말씀드린 이유는 기술 임치의 경우가 좀 더 보호 효과가 크다고 기자님 알고 계실 거라고 생각합니다.
다만, 기술 임치 제도 같은 경우에는 기업이나 법인에 사업자등록이 돼 있어야 되는 부분이 있어서 모든 분들께 적용해 드리기는 어려워서 일단 영업비밀 원본증명을 통해서 사업자번호라든지 기업 여부에 관계없이 5,000분 전체를 지원해 드릴 계획이고요.
결국은 원본증명이라는 건 해당 내용과 시기가 동시에 명기가 되기 때문에 그 후에 나온 부분에 대해서는 이게 더 빨랐다는 게 전자지문으로 인식이 된다고 저희가 알고 있습니다. 그래서 시기적으로 이분이 등록한 이후에 나온, 새로, 유형이 비슷한 유형에 대해서는 대항력이 있다고 저희는 알고 있고요. 그 부분은 추가적으로 나중에 원본증명에 대해.
<질문> 그러니까 이게 정부가 증명을 해준다고 해도 사실 이게 소송전까지 가면 그 소송전에 소요되는 시간까지 사실 보상해 주기가 어려운 부분이 있잖아요.
<답변> 그렇습니다.
<질문> 그러니까 그 부분을 어떻게 해결하실 건지가 궁금합니다.
<답변> 아까 그래서 말씀드린 대로 저희가 기술피해신고센터를 통해서 만약에 그런 부분이 피해가 확정이 돼서 소송까지 가게 되면 저희가 기술계획... 기술 침해에 대한 또 소송 지원 사업이 있지 않습니까? 그런 사업으로 연결해 드리도록 하고요.
다만, 현 단계에서 그러면, 아시겠지만 기술 침해에 대한 정부의 지원 사업들은 이미 존재하고 있고 적용이 되고 있기 때문에 그 사업과 연결해 드릴 수가 있다는 점하고, 그런 것들을 스타트업들이 전부 알아서 하시기는 힘들기 때문에 아까 스타트업 원스톱 지원센터를 통해 법률 전문가들이 직접 오프라인으로 상담을 하고 필요한 경우에는 전문 서비스까지 연결해 드리는 그런 프로세스로 진행하려고 합니다.
그리고 지금 금번 정보 유출에 따른 브로커 연계 이런 부작용 우려하신 부분은 저희도 전적으로 공감하고요. 그거는 저희가 제3자 부당 개입에 대한 그런 각종 조사와 법적 기반 마련을 추진하고 있습니다. 그 부분도 연결해서 금번 정보 유출이 브로커 활동으로 연계되지 않도록 철저하게 대응하겠습니다.
<질문> 지금 2기를 준비하고 있는 과정에서 예상치 못한 사고가 발생했는데요. 아직 원인 규명이나 이런 부분들이 좀 남은 상황이긴 한데 이게 다 이루어지지 않은 상황에서 2기 프로젝트를 예정된 7월 초부터 진행할 수 있을지 좀 걱정스러운 부분도 있는 것 같습니다. 2기 추진 일정에 대한 변화가 좀 없는지 궁금합니다.
<답변> 말씀 주신 대로 금번 유출 사고의 가장 큰 문제점은 결국 정부에 대한 신뢰를 저희가 지켜드리지 못한 점이라고 생각합니다. 그래서 저희가 해당 플랫폼에 대한 완벽한 보완을 통해서 신뢰가 회복될 수 있는 게 우선이라고 생각하고요.
말씀 주신 대로 2기의 출범 시점은 조정할 계획입니다. 그래서 어느 정도까지 조정할지는 물론 조사 결과하고 시스템 보완 일정에 따라 추후에 설명드릴 수 있을 것 같습니다.
<질문> 안녕하세요? 일단 AI 설루션 업체 관련해서 하나 여쭤보고 싶은데요. 과다 홍보, 가격 변동, 시가 대비 높은 가격 책정 비위 행위 엄격히 금지한다고 말씀해 주셨는데 모창 홈페이지 보면 AI 설루션 업체 리스트에서 이메일 보낸 업체들 외에도 몇 개 빠진 업체가 보이더라고요. 그러면 이 빠진 업체들은 저 세 가지에 해당돼서 제외가 됐다고 봐야 되는지 일단 하나 여쭙고 싶고요.
두 번째로는 개인정보 유출 경위에 대해서 다시 한번 확실히 여쭙고 싶은데요. 비정상적인 API 호출을 통해서 암호화된 정보가 유출됐다는 게 중기부 입장이신 것 같은데 이게 제가 듣기로는 보안 처리를 최선을 다해서 했지만 누군가가 비정상적으로 접근했기 때문에 이번 일이 발생했다고 들리거든요.
그런데 창기부... 창진원이 제출한 개인정보 유출 경위서 보면 일반적으로 보는 홈페이지 화면에서는 비공개 정보가 안 보이는데 API 보안이 미흡했다, 라고 돼 있고 또 중기부에서 문제 발생 후에 API 보완을 해서 비공개 또는 본인이 아닐 경우 정보를 미제공하는 조치를 완료했다고 하셨어요.
그럼 이전에는 비공개 또는 본인이 아닌 경우에도 그냥 보였다는 얘기로 들리거든요, 거꾸로 말하면. 그래서 이게 비정상적인 API 호출이라는 게 외부에서 방화벽을 무너뜨리거나 우회 경로를 통해서 접근한 해킹이라는 건지, 아니면 내부적으로 보안이 미흡해서 정상적인 API 호출로도 암호화된 정보가 노출됐다는 건지 구분을 한번 명확히 해주시면 감사드리겠습니다.
<답변> 먼저, AI 설루션 업체가 3개 업체가 배제된 부분에 대해서는 일단은 현재로서는 아직까지 본격적인 서비스 단계가 아니기 때문에 과다 홍보를 이유로 배제한 것으로 이해해 주시면 될 것 같습니다.
그리고 기술적인 부분이긴 한데 비정상적인 API 호출이라는 거는 아시겠지만 시스템에는 프론트엔드가 있고 백엔드가 있습니다. 그래서 여러분들이 접속해서 보시는 건 프론트엔드인데 프론트엔드상에서는 드러나지 않는 정보가 뒤쪽에 있는, 백엔드에 있는 정보가 제공된 건데, 정상적으로 권한이 있는 자가 요청하면 당연히 제공하게 돼 있는데 권한이 없는 자가 권한이 있는 것처럼 AI를 활용한 툴을 활용해서 암호화된 정보를 비정상적으로 가져갔다고 이해해 주시면 될 것 같고요.
그렇기 때문에 저희가 일단 조사 결과가 나와야 되겠지만 일단 관련 기관 입장은 해킹으로 본다, 라고 그런 입장은 들었습니다만 조사 결과가 나와야 되기 때문에 그렇게 설명을 오늘은 드릴 수 있을 것 같습니다.
백엔드에서 비정상적인 API 호출을 했기 때문에 이 자체가 어떻게 보면 해킹 행위의 한 유형으로 볼 수 있다는 점 그리고 암호화된 데이터를 정상적으로 볼 수 있는 권한이 있는 자가 아니라 AI를 활용해서 권한이 있는 것처럼 어떻게 보면 시스템을 속여서 데이터를 가져갔다, 라고 이해해 주시면 될 것 같습니다.
<질문> 작년 중기부 보안감사에서 창진원이 무더기 감점을 받았었는데 그중의 절반 가까이가 모두의 창업 출범을 하기 전까지도 개선이 안 됐었는데 산하기관한테 모두의 창업 관련해서 개인정보 수집·관리를 맡기셔도 됐다고 생각을 하셨는지 궁금합니다.
<답변> 지금 결과론적으로 물어보시면 일단 정보 유출이 있었기 때문에 문제가 있었다는 점은 저희가 회피할 수 없다고 생각하고요. 작년 보안감사에 지적된 사항 중에 일부 예산 확보나 규정 개정이 필요한 일부 사항은 다소 지연이 됐지만 지적 사항은 대부분 저희가 알기로는 해소된 것으로 알고 있습니다만 말씀하신 대로 적절성 여부에 대해서는 사후적으로 지금 저희가 말씀드리긴 좀, 책임을 회피하기는 어렵다고 보고 있습니다.
<질문> 모두의 창업 T/F 3,700만 원 포상금 수여받았는데 여기에 대해서는 정보 유출이 일어난 이후에 어떤 변동이 있는지, 그리고 모두의 창업 포상금 수여할 때 가장, KPI가 지원자 수였는지 가장, 포상을 수여하게 된 가장 근거가 되는 것은 무엇이었는지 궁금합니다.
<답변> 아까 말씀드린 대로 일단은 이번에 5,000분의 아이디어 보호가 최우선 과제라고 생각하고요. 현재 저희 시스템의 보안 강화와 또 차질 없는 신뢰 회복이 중요하다고 생각합니다. 하지만 말씀드린 대로 이런 일이 발생하게 된 경위와 책임에 대해서는 저희가 철저하게 조치할 예정이고, 조사 결과에 따라서 말씀하신 부분의 모두의 창업 T/F가 포상을 받은 것이 적절했는지에 대한 판단은 조사 결과에 따라 저희가 적절히 조치할 수 있을 것 같습니다.
그리고 당시에 포상을 지원... 지정, 그러니까 저희가 선정하게 된 사유는, 이게 모르겠습니다. 지금 어떻게 받아들이실지 모르겠지만 기존에 하던 정부의 창업 지원 사업과는 다른 새로운 접근을 시도했다는 점, 그리고 6만 3,000명에 해당하는 창업 생태계의 그런 반응을 얻어낼 수 있었다는 점 등이, 여러 가지가 반영됐고요. 다만, '6만 3,000명이라는 숫자 때문에 한 거냐?'라고 말씀 주시면 '그렇진 않다.'라고 답변드리고 싶습니다.
<질문> 수고 많으십니다. 차관님이 나오셨으니까 질문을 드리는데 당장에야 모두의 창업의 문제에 대한 해결이 우선이긴 하겠지만 중소벤처기업부 산하기관에도 여러 기관들이 좀 있지 않습니까? 소진공도 있고 또 중진공도 있고 기보도 있는데, 이런 기관들이 갖고 있는 사실 다양한 어떤 정보들이 있을 텐데, 기존의 것들이. 이번에 대두된 김에 혹여나 이게 좀 정리가 되면 향후 그들 기관에 대한 어떤 보안 점검이라든지 이런 어떤 문제들이 재발이 방지될 수 있도록 혹시 거기에 대한 대응책도 준비를 하고 계신지 궁금합니다.
<답변> 앞서 말씀드린 대로 저희가 모두의 창업 T/F를 확대 개편했다고 말씀드렸습니다. 그래서 거기에 사이버안보팀을 추가했고요. 일단은 모두의 창업 플랫폼 중심으로 점검하겠지만 기자님 말씀하신 대로 산하기관 전반에 걸친 사이버 안보 문제 저희가 집중적으로 점검해서 이런 사고가 재발되지 않도록 하겠습니다.
<질문> AI 설루션 공급 기업 관련해서 언급해 주셔서 여쭤보고 싶은데요. 최근에 설루션 공급 기업에게 안내한 공지에서 '수요자 신청기관 중 일부 공급 기업이 설루션 가격을 임의로 변경한 사례가 발생했다는 민원이 다수 접수됐다.'고 공지를 해주신 거로 알려졌는데요.
그렇다면 실제 가격 변동 사례가 있어서 민원이 접수가 됐었던 것인지 그리고 가격을 변경한 일시 제한 조치가 며칠에 진행된 것인지 궁금합니다.
<답변> 이 부분은 자세한 사항은 담당 과장이 추가로 설명해 드리고 취지만 제가 좀 말씀드리면, 기자님들 잘 아시겠지만 정부가 하는 바우처 사업들이 여러 개가 있었습니다. 수출 바우처도 있고 중소기업 혁신 바우처도 있는데 바우처 공급 기업들이 정부 사업임을 이유로 인위적으로 가격을 부풀려서 폭리를 취하는 사례들이 있었습니다. 그에 따른 기업의 만족도 저하라든지 각종 문제가 이미 확인됐기 때문에 금번 설계를 하면서 기존 가격을 조정하지 않는다는 그런 조건을 넣었다는 말씀드리고요.
그리고 실제 가격 변동이 있어서 한 조치인지는, 실제 가격 변동 사례가 있어서 한 공지사항이라고 말씀드리겠습니다.
<질문> ***
<답변> 아까 설명을 잠깐 드렸습니다. 한 달 전에 노출된 것으로 나타난 건 한 줄 아이디어와 창업 팀원 정보가 있었습니다. 한 줄 아이디어는 공개 자료였고요. 창업 팀원 정보가 비공개 자료였기 때문에 그 부분에 대한 차단 조치는 이루어진 것으로 알고 있고 금번에 유출된 내용에도 해당 내용은 없는 걸로 알고 있습니다.
그래서 그 부분에 대한 조치는 이루어졌지만 그런 조치가 이루어졌고 어떻게 하겠다는 내용이 저희 창업진흥원하고 중소벤처기업부에 보고되지 않은 점에 대해선 굉장히 저희가 엄중하게 생각하고 있고, 결과에 따라서 필요하면 법적 조치까지 취하도록 하겠습니다.
<질문> ***
<답변> 일단 말씀하신 대로 해당 업체가 현재는 공개된 정보만으로 했다, 라고 주장하고 있는데 저희가 비정상적인 호출했다, 라고 판단한 근거는 이메일을 공개로 설정하지 않은 분에까지 연락이 갔었다는 점에 있어서 비정상적인 호출로 저희가 생각하고 있습니다.
<질문> 방금 전에 비공개 정보까지 유출이 됐다는 점에서 비정상적인 호출이라고 판단하셨다고 했는데 만약에 정상적으로 호출을 했는데 비정상적으로 정보를 줘버렸으면 그러면 보안에 문제가 있었던 건 아닌가요?
<답변> 그러니까 지금 API 호출이 정상적이었냐, 비정상적이었냐의 판단의 근거는 권한을 가진 자가 호출을 했느냐, 아니면 권한이 없는 자가 권한이 있는 것처럼 호출을 했느냐를 기준으로 판단해 주셔야 될 것 같습니다. 그렇기 때문에 권한이 없는 자가 정보를 획득했다는 것 자체가 비정상적인 API 호출로 보실 수 있을 것 같습니다.
<답변> (사회자) 추가적인 질문 없으시면 이것으로 브리핑 마치겠습니다. 감사합니다.
<끝>