[단독]'모두의창업' 합격 정보도 노출…"유출됐다면 공정성 문제"

사태 한 달 전 보안 취약성 제보한 AI 보안 스타트업 '젠토' 단독인터뷰
"한 달 전과 최근 취약성 구조 유사…제보 후 조치 이뤄지지 않은 부분도"
"'모두의 창업'은 기회의 장…창업가들 계속 꿈꿀 수 있도록 도와주길"

AI 보안 스타트업 젠토의 홍승현 대표(가운데), 정혜림 CPO(왼쪽), 박종서 FDE가 지난달 29일 서울 강남구 역삼동의 한 사무실에서 CBS노컷뉴스와 인터뷰를 갖고있다. 김창훈 수습기자

"한 달 전 제대로 조치가 됐더라면 아마 이번 정보 유출 사태와 같은 일이 벌어지진 않았을 거란 생각이 들죠. 아쉬움이 있습니다."

최근 불거진 중소벤처기업부의 '모두의창업' 프로젝트 개인정보 유출 사고 한 달 전 이미 유사한 취약점을 발견해 모두의창업 측에 알렸던 AI 보안 스타트업 젠토(Zento)의 홍승현 대표가 조심스럽게 입을 뗐다.

지난달 15일 대국민 창업 오디션인 모두의창업의 1차 합격자 발표가 이뤄진 직후 합격자 5천명의 이메일 주소, 아이디어 요약 정보, 심사평 등이 프로젝트 지원한 AI솔루션 업체 등에 의해 유출됐다. 젠토는 AI 시대에 맞는 새로운 보안 솔루션 제공을 목표로 하는 젊은 스타트업으로, 이번 정보 유출 사건의 피해자이기도 하다.

젠토는 유출 사실이 드러난 직후 SNS를 통해 이미 지난 5월 초 유사한 보안 취약점을 발견해 모두의 창업 측에 제보했었다는 사실을 밝힌 바 있다. 당시 보안 문제를 직접 발견한 젠토의 박종서 FDE(AI 전방배치 엔지니어)·정혜림 CPO(프로덕트 총괄)와 홍 대표는 지난달 29일 서울 강남구 역삼동의 한 사무실에서 CBS노컷뉴스와 만났다. 이들은 미리 발견해 경고했던 문제점들이 재대로 개선되지 못해 이번 사건으로 이어졌다고 봤다.

최근 대량 정보 유출 사고는 서비스 화면에서 비공개로 숨겨진 정보가 서버 API(응용 프로그램 인터페이스) 호출과 AI 기반 자동 수집(웹 크롤링) 등에 의해 노출된 것으로 파악됐다. 젠토 측 역시 지난 5월 모두의 창업에 지원하던 과정에서 서비스상 외부로 공개돼 있지 않은 정보들이 API 호출 등을 통해 대량 노출될 수 있다는 점을 발견했다.

젠토 측이 지난 5월 초 모두의 창업 측에 보안 취약성에 대해 제보하는 연락 내용. 젠토 제공

당시 젠토 측이 파악한 유출 가능 정보는 지원자들의 아이디어 목록 약 1만 6천 건, 팀원 정보 약 2만 건이었다. 젠토 측은 "각 지원자들의 카카오톡 프로필 사진이나 학력을 알 수 있는 민감한 정보들도 일부 노출이 된 상황이었다"고 설명했다.

아울러 젠토 측은 취약점 발견 당시 아직 발표되기 전이었던 '신속심사' 합격 업체도 실시간으로 확인할 수 있었다고 했다. 중기부는 모두의 창업에 지원자가 몰리자 지원 기간 동안 신속심사를 도입했는데, 이 심사가 진행되던 과정에서 합격 업체가 결정되는 상황이 고스란히 노출된 것이다. 이들은 "만약 이런 정보들이 외부로 유출됐다면 공정성 문제 등이 생길 수 있다고 봤다"고 말했다.

젠토 측은 이러한 취약점에 대해 지난 5월 7일 모두의 창업 측에 구체적인 재현 경로 등과 함께 자세히 알렸고, 당시 "담당부서로 전달했다"는 답신을 받았다고 한다. 다만 추가로 조치 여부 등은 듣지 못했다. 이후 약 한달 뒤 유사한 구조로 합격자들의 정보 수천 건이 유출되는 사건이 발생했다.

중기부는 유출 사고 이후 젠토 측의 제보 사실과 관련해서도 "플랫폼 개발사에서 즉시 차단 조치를 완료했다"고 뒤늦게 설명했다. 이에 대해 젠토 측은 "저희들이 파악하기론 완전한 차단 조치까지 약 2~3일이 소요됐고, 신속심사 합격 업체 정보는 이후로도 합격자 발표시까지 그대로 확인이 가능했다"고 주장했다. 젠토 측의 설명대로면 신속심사 합격 업체 발표는 5월 11일에 이뤄져 약 3~4일간 차단 조치가 이뤄지지 않은 것이다.

이러한 일련의 과정과 관련해 중기부 측은 플랫폼 개발사가 젠토 측의 제보에 대해 자체 조치하고 중기부나 창업진흥원에 전혀 보고를 하지 않았다는 입장이다. 노용석 중기부 제1차관은 지난 22일 "개발사의 보고 누락 경위에 대해서는 저희가 법률 검토를 거쳐 엄정한 책임을 물을 예정"이라고 했다.

모두의 창업 정보 유출 사태 직후 젠토는 SNS를 통해 한 달 전 유사한 보안 취약성을 발견해 제보했다고 밝혔다. 젠토 제공

이번 사고 이후 제보 사실을 알리기까지 젠토의 구성원들은 많은 고민이 있었다고 했다. 홍 대표는 "모두의 창업이란 프로젝트 자체는 창업가나 스타트업들이 실제적 지원과 관심을 받을 수 있는 매우 좋은 기회의 장이라고 생각한다"며 "많은 이들이 희망을 갖고 꿈을 펼칠 수 있는 이번 프로젝트가 망가지면 어쩌나 우려가 된 부분이 있었다"고 했다.

다만 홍 대표는 "하마터면 6만명 넘는 지원자의 정보가 유출될 가능성도 있었던 상황"이라며 "AI 시대에 이번 일과 같은 보안 위협들을 해결하는 게 저희 과제라고 생각했기에 외면하긴 어려웠다"고 했다. 그러면서 "어떤 일이든 분명 시행착오가 있을 수 있고 스타트업과 창업가들이 계속해서 꿈을 이어갈 수 있도록 중기부 측이 계속 애써주시길 바라고 있다"고 덧붙였다.

한편 중기부 장관으로서 모두의창업 프로젝트 추진 사령탑이었던 한성숙 국무총리 후보자는 지난달 22일 이번 사태에 대해 "정부를 믿고 창업에 도전해준 여러분들의 신뢰를 지켜드리지 못했다"며 지원자 등에 대해 사과했다. 국회는 지난달 25~26일 양일간 청문회를 진행한 뒤 같은 달 30일 여당 주도로 한 후보자에 대한 임명동의안을 의결했다.