창업진흥원, 작년 보안감사서 무더기 감점…개인정보 관리 부실 도마 위

합격자 수천 명의 신상 정보와 창업 아이디어 유출 사고가 발생한 중소벤처기업부의 '모두의 창업' 개인정보를 운용하는 창업진흥원이 작년 보안감사에서 무더기 감점을 받았던 것으로 드러났다.

감점 항목 가운데 절반가량은 최근 들어서야 개선되거나 조치 중인 것으로 나타나 해당 기관이 모두의 창업 개인정보 관리를 맡은 것이 적절했는지에 대한 지적이 제기된다.

연합뉴스가 21일 입수한 '2025년 중기부 정보보안 감사 미비점 개선 계획'을 확인한 결과 창진원은 지난해 중기부 정보보안 감사에서 15개 항목에 대해 미비점이 확인돼 감점받았다.

앞서 중기부는 작년 4∼6월 소속기관 16곳과 산하기관 11곳 등 27곳을 대상으로 인력·조직·기술·대응 훈련 등 41개 항목을 기준으로 보안 실태를 점검했다.

이 점검에서 창진원은 ▲ 관리자 접근통제 미흡 ▲ 중요 파일 암호 미설정 ▲ 사용하지 않은 보안 솔루션 계정 관리 미흡 ▲ 워드나 엑셀 등 다른 응용 프로그램의 데이터를 현재 문서에 연결해 공유하는 기능인 'OLE 객체 삽입' 취약 ▲ 각종 계정 사용 이력 확인 미흡 등 15개 항목에서 감점받았다.

그러나 창진원이 지난달 제출한 개선 계획을 보면 감점 항목 가운데 개선이 완료된 것은 8개에 불과했고, 나머지 7개는 개선 조치가 안 된 상태였다.

구체적으로 ▲ (보안 장치 등) 반·출입 및 점검 실적 없음 ▲ 로컬 보안 정책관리 미흡 ▲ 보안 네트워크 프로토콜(ssh) 버전 관리 미흡 등으로 감점을 받은 사항에 대해서는 올해 하반기에 개선을 마무리하겠다고 밝혔다.

또 '정보화 조직과 별도의 (보안) 전담 조직 필요'로 지적받은 데 대해 창진원은 '정보보안실 신설을 검토하겠다'고 밝혔지만, 개선 시기를 '제반 및 여건 조성 시'로 정했다.

웹 브라우저와 서버 간의 통신을 암호화해 데이터를 안전하게 보호하는 전송 계층 보안(TLS) 프로토콜의 최신 표준 시스템인 'TLS 1.3' 구축의 경우 '가용 자원 고려 후 착수하겠다'고 했다.

전문가들은 이처럼 보안감사에서 여러 허점을 드러내고도 제대로 개선하지 않은 기관이 모두의 창업처럼 대국민 경진대회의 개인정보 관리를 운용한 것에 우려를 표했다.

염흥열 순천향대 정보보호학과 교수는 "공공기관이 예산 확보의 문제가 걸려있으니 정보보안 개선이 신속하게 이뤄지긴 힘들다"면서도 "예산을 들이지 않고도 손볼 수 있는 부문을 먼저 조치하거나, 중기부 차원에서 가용할 수 있는 자원을 투입해서라도 신속하게 개선했어야 했다"고 지적했다.

특히 보안의 미비점이 남아있는 기관이 국민 다수가 참여하는 경진 대회의 개인정보를 운용한 것을 두고 비판의 목소리가 나온다.

창진원이 개인정보보호위원회에 등록한 모두의 창업 개인정보파일을 보면 대회 멘토 3천477건, 신청자 1천303건 등 정보주체 4천780건의 개인정보를 보유하고 있다. 수집된 항목은 이름, 생년월일, 핸드폰 번호, 사진, 성별 등이다.

염 교수는 "국민의 민감정보를 포함한 개인정보를 수집하는 대국민 경진대회라는 점을 감안하면 프로젝트 구축 시 '개인정보보호 중심 설계(PbD)'를 적용했어야 했다"며 "프로젝트 예산을 책정할 때 이중화 서버 구축과 보안 인력 추가 채용 등 프라이버시와 관련한 예산을 더 확보할 필요가 있었다"고 진단했다.

이에 창진원 관계자는 "감점받은 항목에서 조치하지 못한 7개 가운데 1개는 올해 초에 완료했고, 나머지 5개는 최근에 마무리됐다"며 "나머지 1건은 예산을 확보해 연내에 완료할 예정"이라고 해명했다.