모두의 창업 1차 진출자 정보 유출 사건 정리 — 외부 해킹 아닌 합격팀사 API 호출, 한 달 전 제보도 묵살

모두의 창업 1차 진출자 정보 유출 사건 정리 — 외부 해킹 아닌 합격팀사 API 호출, 한 달 전 제보도 묵살

2026년 6월 15일 중소벤처기업부(중기부)의 "모두의 창업" 1차 합격자 5,000명의 이메일·아이디어 요약·심사평이 유출된 사건은 외부 해킹이 아니라 프로젝트 합격팀사(AI 솔루션 업체)의 비정상 API 호출로 발생했습니다.

 

한 달 전 같은 합격팀사가 취약점을 제보했으나 중기부·창진원이 인지하지 못한 정황도 뒤늦게 확인됐습니다.

 

📌 사건 개요

🔍 유출 경위 — 외부 해킹이 아닌 프로젝트 합격팀사

📋 유출된 정보 항목

항목	성격	노출 경로
**이메일 주소**	비공개 (화면에 표출 안 됨)	API 호출로 수집 가능
**창업 아이디어 요약**	비공개	동일 경로
**심사평가(심사평)**	비공개	동일 경로

⚠️ 확인된 피해 사례와 잠재적 위험

직접 확인된 피해(현재 공식 확인된 2차 피해는 없음)

 

이번 사건은 정부 창업 지원에 지원한 사람들만의 문제가 아닙니다.

어떤 온라인 서비스에든 동일 유형의 취약점이 존재할 수 있습니다.

1.정부·공공기관 서비스 이용 후에도 이메일 노출을 점검합니다** 이번처럼 "비공개"라고 안내된 항목이 API 호출로 수집될 수 있다는 점이 확인됐습니다.

정상적인 사용자 화면에서 보이지 않는다고 해서 데이터가 안전하다고 단정하면 안 됩니다.

 

2.인증 메일·공식 안내 메일을 위장한 피싱에 각별히 주의합니다** 유출된 이메일 리스트는 추후 2~3개월에 걸쳐 표적형 피싱에 활용될 가능성이 있습니다. "추가 정보 요청", "서류 재제출", "보안 점검 안내" 같은 제목의 메일은 발신 도메인을 직접 입력해 진위 여부를 확인하는 것이 안전합니다.

 

3.자신의 아이디어·심사평이 노출됐는지 의심되면 즉시 KISA에 상담합니다** 피해 확산을 최소화하려면 빠른 신고가 핵심입니다.

KISA 개인정보침해 신고·상담 (☎ 1833-6972) 또는 개인정보보호위원회 (☎ 1833-6972)에서 무료 상담을 받을 수 있습니다.

 

4.비밀번호·2차 인증을 점검합니다** 이번 사건에서 직접적으로 비밀번호가 유출된 것은 아니지만, 동일 이메일로 가입한 다른 서비스(클라우드, 금융, SNS 등)의 비밀번호 변경과 2차 인증 활성화를 함께 진행하는 것이 좋습니다.

 

 

✅ 정리

 

모두의 창업 1차 진출자 정보 유출 사건은 단순한 "해킹 사고"가 아니라, **정부 사업 참여 기업 내부의 비정상 API 호출**과  취약점 제보 묵살이라는 두 겹의 실패가 결합된 구조적 사고입니다. 5,000명의 창업자가 외부에 노출된 이메일·아이디어·심사평은 단순 스팸을 넘어 사업 존폐를 위협하는 무기로 쓰일 수 있어 2차 피해 가능성에 대한 면밀한 모니터링이 요구됩니다.

정부 차원의 사과와 외부 보안 진단이 시작됐지만, 합격자 본인이 스스로 2차 피싱과 아이디어 표절에 대비하는 조치가 그 어느 때보다 중요한 시점입니다.