전문가들은 참가 기업들의 사업모델(BM)과 심사평 등을 무단 수집한 AI 업체에 대해 부정경쟁방지법상 데이터 자산 도용 책임을 물을 수 있다고 지적했다. 사고 원인 역시 외부 해킹이 아닌 플랫폼의 보안 설계 결함으로 확인되면서 정부의 사업 관리·감독 부실에 대한 비판이 확산되고 있다.
|
◇영업비밀성 성립 가능성 점증…“안 돼도 ‘성과물 도용’ 배상 책임”
23일 학계와 법조계에 따르면 이번 사건의 핵심 쟁점은 유출된 창업 아이디어 요약본과 심사평이 법적으로 어떤 성격을 갖는지, 그리고 이를 무단 취득·활용한 행위에 대해 어떤 책임을 물을 수 있는지 여부다.
전문가들은 단순한 개인정보 유출을 넘어 스타트업의 핵심 자산인 사업모델(BM)과 심사평 등이 외부로 반출된 만큼 부정경쟁방지법 적용 가능성을 제기하고 있다. 부정경쟁방지법상 영업비밀로 인정받기 위해서는 비공지성, 경제적 유용성, 비밀관리성 등 세 가지 요건을 충족해야 한다.
황석진 동국대 국제정보보호대학원 교수는 “유출된 자료가 단순 아이디어 수준을 넘어 구체적인 기술 내용과 사업모델, 수익 구조 등을 담고 있고 플랫폼 측이 이를 비공개로 관리해왔다면 영업비밀로 인정받을 여지가 있다”면서도 “단순히 공개되지 않았다는 이유만으로 영업비밀이 성립하는 것은 아니어서 요건 충족 여부를 면밀히 따져봐야 한다”고 말했다.
영업비밀로 인정되지 않더라도 법적 책임을 물을 수 있다는 의견도 나온다.
이성엽 고려대 기술법정책센터장은 “부정경쟁방지법은 영업비밀뿐 아니라 한정적으로 제공된 데이터나 상당한 투자와 노력으로 구축된 성과물을 무단 취득·이용하는 행위도 규제하고 있다”며 “스타트업들의 BM과 심사평이 축적된 플랫폼 데이터베이스(DB)는 중요한 데이터 자산으로 볼 수 있어, 이를 부당하게 활용했다면 민사상 손해배상 책임이 인정될 가능성이 있다”고 설명했다.
다만 정보 수집 의혹을 받는 업체 측은 “공개된 정보를 활용해 안내 메일을 발송했을 뿐”이라며 위법성을 부인하고 있다.
중소벤처기업부는 현재 개인정보보호위원회와 국가정보원 조사에 더해 경찰 수사까지 의뢰한 상태다. 중기부 관계자는 “사실관계가 확정되지 않은 만큼 특정 업체를 언급하기는 어렵다”며 “관련 기업 선정은 정해진 공고와 절차에 따라 진행됐다”고 밝혔다.
|
◇원인은 고도 해킹 아닌 ‘API 설계 결함’…껍데기만 가린 정부 플랫폼
이번 정보 노출 사고는 고도의 외부 해킹이 아니라 허술한 API(응용프로그램 인터페이스) 설계에서 비롯된 것으로 파악됐다. 전문가들은 권한이 없는 사용자가 시스템 취약점을 악용해 비공개 정보를 대량 확보한 전형적인 ‘무단 접근 및 정보 유출’ 사건으로 보고 있다.
강승규 국민의힘 의원실이 창업진흥원을 통해 확보한 개인정보보호위원회 유출신고서에 따르면, 사고는 지난 15일 오전 9시 ‘모두의 창업’ 1차 합격자 5000명의 프로필이 공개된 직후 발생했다. 사업에 참여한 한 AI 솔루션 업체가 비정상적인 API 호출을 통해 참가자들의 비공개 이메일 주소 등을 대량 수집한 뒤 자사 서비스 이용을 권유하는 바우처 홍보 메일을 발송하면서 문제가 드러났다.
사고의 원인은 플랫폼 구축사인 트리플오스의 백엔드 서버 설계에 있었다. 이용자 화면에서는 이메일 등 개인정보가 마스킹 처리돼 보이지 않았지만, 실제 데이터를 주고받는 API에서는 닉네임 등 기본 정보만 입력해도 별도의 인증 절차 없이 비공개 정보까지 반환되도록 설계된 것으로 확인됐다.
염흥열 순천향대 정보보호학과 교수는 “API 접근을 위해 발급되는 토큰에 대한 권한 검증이 제대로 이뤄지지 않아 인가받지 않은 사용자의 요청까지 허용된 상황”이라며 “기획 단계부터 보안을 내재화하는 ‘시큐리티 바이 디자인(Security by Design)’ 원칙에 따라 시스템을 설계할 필요가 있다”고 지적했다.
염 교수는 또 “일부 정보를 가려놓은 마스킹 수준을 두고 암호화라고 표현한 것이 적절한지도 검토가 필요하다”고 덧붙였다.
현재 개인정보보호위원회는 창업진흥원의 신고 지연 여부와 유출된 데이터의 범위 및 성격을 확인하는 데 집중하고 있다. 개인정보위 관계자는 “지난 18일 오후 1시 19분 신고가 접수돼 현재 사실관계를 파악하는 단계”라며 “중기부 등 관계기관과 공조해 조사하고 있다”고 밝혔다.
|
◇“정부 보안 상태 심각”…묵인·방치가 키운 책임론
이번 사태를 계기로 정부의 플랫폼 관리·감독 부실에 대한 책임론도 커지고 있다. 특히 이번 사고가 중소벤처기업부의 대표 창업 지원 사업인 ‘모두의 창업’에서 발생했다는 점에서 파장이 적지 않다.
‘모두의 창업’은 예비 창업자와 스타트업이 AI를 활용해 사업에 집중할 수 있도록 지원하는 대형 국책 프로젝트다. 더욱이 이재명 대통령이 이날 국무회의에서 한성숙 국무총리 후보자에게 “첨단산업이 고용을 충분히 창출하지 못한다면 결국 창업에 집중해야 한다”며 창업 지원 확대 필요성을 강조한 상황이어서, 정부 창업 지원 플랫폼의 신뢰성 문제가 더욱 도드라지고 있다.
실제로 지난 5월에도 합격자 8000여 명의 비공개 정보가 노출됐다는 제보가 있었던 것으로 알려졌다. 그러나 플랫폼 구축사인 트리플오스는 자체 조치만 취했을 뿐 중기부와 창업진흥원에 공식 보고하지 않은 것으로 전해져 초기 대응 부실 논란까지 불거졌다.
이로 인해 정부 주도 창업 지원 사업 전반에 대한 신뢰도에도 적잖은 타격이 예상된다. 특히 창업 아이디어와 사업모델(BM) 자체가 핵심 자산인 스타트업 입장에서는 개인정보를 넘어 사업 정보 유출 가능성까지 우려할 수밖에 없다는 목소리가 나온다.
‘모두의 창업’ 1차 합격 스타트업 관계자는 “정부가 창업에 집중하라고 독려하면서 정작 창업자들의 정보와 아이디어를 보호하는 체계는 허술했던 것 아니냐”며 “보안 인증조차 제대로 확인되지 않은 AI 서비스를 앞으로 믿고 사용할 수 있을지 의문”이라고 말했다. 이어 “적어도 참여 솔루션들은 ISMS(정보보호관리체계) 같은 기본 보안 인증을 갖추도록 해야 한다”고 지적했다.
이기대 스타트업얼라이언스 대표도 “사업을 지나치게 속도전으로 추진하다 보니 결국 문제가 터진 것”이라며 “280개가 넘는 AI 서비스 공급기업을 선정할 필요가 있었는지 의문이며, 무리한 사업 운영이 관리·감독 소홀로 이어진 측면이 있다”고 비판했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
