[로이슈 전여송 기자] 유종필 창업진흥원장이 '알박기 인사' 논란에 이어 중소벤처기업부 대규모 창업지원 프로젝트 '모두의 창업' 정보유출 사태까지 겹치며 관리 책임론에 직면하고 있다. 사고 한 달 전 유사한 정보노출 위험을 경고한 제보가 있었지만, 그 사실이 중기부와 창업진흥원에 보고되지 않은 것으로 드러나면서 창업진흥원의 위탁관리·감독 체계가 도마에 올랐다.

26일 IT업계에 따르면 '모두의 창업'은 아이디어 발굴부터 사업화까지 원스톱으로 지원하는 정부의 대국민 창업지원 프로젝트다. 1기 모집에 6만3,000여 명이 지원해 5,000명이 1차 선발됐으며, 정부는 하반기 2차 추진 등을 위해 추경에서 1,550억 원을 별도 편성하는 등 사업 규모를 키워왔다.

그러나 1차 선발 과정에서 최대 5,000명의 이메일, 아이디어 요약본, 심사평 등이 허가되지 않은 경로로 유출되는 사고가 발생했다. 중기부는 상세 도전신청서와 연락처 등은 유출되지 않았다고 설명했지만, 창업 아이디어 요약본과 심사평까지 외부로 나갔다는 점에서 단순 개인정보 사고를 넘어 창업 아이디어 보호 체계의 허점이 드러났다는 비판이 나온다.

특히 이번 사태의 가장 큰 쟁점은 사전 제보와 보고 누락이다. 헤럴드경제에 따르면 1차 합격팀이자 보안 진단 전문 스타트업인 Zento팀은 지난달 7일 플랫폼의 API 취약점을 발견해 아이디어 목록 약 1만6,000건 등이 외부에서 구조적으로 수집될 수 있다고 경고하고 개선 권고안을 전달했다.

당시 '내부 확인 후 조치하겠다'는 답변을 받았지만 한 달 뒤 유사한 형태의 유출이 현실화됐다는 게 Zento 측 설명이다. 제보자 측은 "한 달 전 목록 API 응답을 최소화했다면 같은 방식의 대량 수집 가능성은 크게 줄일 수 있었을 것"이라고 밝혔다. 중기부도 5월 제보와 개발사의 자체 차단 조치가 있었던 사실은 인정하면서, 그 사실이 중기부와 창업진흥원에 보고되지 않았다고 확인했다.

무엇보다 이번 제보자가 외부 해커가 아니라 사업에 직접 참여한 1차 합격팀이자 보안 진단 전문 스타트업이었다는 점에서, 전문가의 사전 경고가 위탁관리 체계 안에서 걸러지지 못한 책임은 더 무겁다는 지적이 나온다. 개인정보보호법은 위탁자가 수탁자의 개인정보 처리 현황을 교육·점검하고 감독하도록 규정하고 있어(제26조), 개발사의 보고 누락과 별개로 위탁기관인 창업진흥원의 감독 책임 자체를 묻는 목소리도 커지고 있다.

개인정보 유출 인지 후 통보까지 약 68시간이 걸린 점도 논란이다. 중기부는 유출 범위와 대상자 특정, 피해 대응 절차 구축에 시간이 필요했다고 설명했다. 그러나 대규모 국책사업에서 개인정보와 창업 아이디어가 함께 유출된 사안이라는 점에서 대응 속도와 사전 대비 체계가 충분했는지에 대한 의문은 남는다.

정부가 내놓은 사후 대책의 실효성에도 의문이 제기된다. 중기부는 유출된 아이디어 보호를 위해 영업비밀 원본증명 등록과 기술임치 지원 등을 추진하겠다고 밝혔지만, 이미 유출된 아이디어가 변형돼 재사업화되거나 분쟁이 소송으로 번질 경우 스타트업은 시장 진입 시기를 놓칠 수 있어 사후 보호책만으로는 한계가 분명하다는 것이다. 창업자 입장에서는 정부 플랫폼에 제출한 아이디어 요약본과 심사평이 외부로 나갔다는 사실만으로도 불안이 커질 수밖에 없다.

창업진흥원장 책임론도 이 지점에서 제기된다. 유종필 원장은 2025년 2월 제6대 창업진흥원장으로 취임해 3년 임기를 시작했다. 유 원장은 취임 당시부터 정치권에서 '알박기 인사' 논란에 휩싸였고, 같은 해 국정감사에서도 더불어민주당 의원들로부터 사퇴 요구를 받은 바 있다. 창업진흥원은 앞서 올해 초 국민권익위원회 종합청렴도 평가에서도 최하위 등급을 받아 내부 관리 부실 지적을 받은 만큼, 이번 유출 사태가 일회성 사고가 아니라 기관 운영 체계 전반의 문제라는 비판도 나온다.

현재 대전경찰청 사이버수사대는 창업진흥원으로부터 정식 수사 의뢰를 접수하고 유출 경위 등을 확인하고 있다. 중기부 역시 개발사의 보고 누락 경위에 대해 법률 검토를 거쳐 엄정하게 책임을 묻겠다는 입장을 밝힌 것으로 전해졌다.

전여송 로이슈(lawissue) 기자 arrive71@lawissue.co.kr