[정석만의 프리즘] 집안 단속 못한 정부의 정보 보안

국무총리 후보자인 한성숙 중소벤처기업부 장관이 16일 마포구 SVC 서울에서 열린 모두의 창업 1기 출범식에서 인사말을 하고 있다. 2026.6.16 [사진=연합뉴스]

정부가 개인정보 보호를 강조할 때마다 내세우는 원칙은 분명하다. 개인정보는 국민의 권리이자 자산이며, 이를 유출하거나 부실하게 관리한 기관과 기업은 반드시 책임을 져야 한다는 것이다. 실제로 정부는 개인정보 유출 사고를 일으킨 기업들에 수백억, 수천억원대 과징금을 부과하며 강도 높은 책임을 물어왔다. 개인정보 보호에 있어서는 어떠한 예외도 없다는 메시지였다.

하지만 최근 중소벤처기업부가 추진한 '모두의 창업 프로젝트'에서 발생한 개인정보 유출 사고는 정부 스스로 그 원칙을 얼마나 철저하게 지키고 있는지 되묻게 한다. 창업 지원사업 합격자 5000명의 이메일 주소와 심사평, 아이디어 요약 정보 등이 외부에 노출된 사실이 확인되면서 정부의 개인정보 관리 체계 전반에 대한 우려가 커지고 있다.

이름이나 연락처, 주민등록번호 등 민감한 개인정보가 유출되지 않은 것으로 알려지지만, 예비창업자에게 있어 핵심 자산이나 다름없는 사업 아이디어와 심사 결과가 외부로 빠져 나간 것 역시 심각하지 않을 수 없다. 더군다나 정부를 믿고 제출한 사업 계획과 평가 내용이 외부에 공개됐다면 이는 단순한 개인정보 사고가 아니라 창업 생태계에 대한 신뢰 훼손이라고 봐야 한다.

현재까지 알려진 내용을 보면 외부 침입자가 보안망을 뚫고 시스템을 공격한 것이 아니라 해당 프로젝트에 참가자들을 지원하는 AI솔루션 업체의 해킹이라고 한다. 최첨단 해커의 공격에 당했다기보다 기본적인 보안 관리가 제대로 작동하지 않았을 가능성이 제기되는 것이다.

무엇보다 이미 지난해 중기부의 보안감사 과정에서 창업진흥원의 정보보안 체계와 개인정보 관리 문제에 대한 지적이 제기된 바 있다. 정부가 디지털 창업 플랫폼을 확대 운영하면서도 개인정보 보호 체계와 보안 관리 역량은 그에 걸맞게 강화하지 못했다는 비판도 적지 않았다.

만약 당시 제기된 문제점들이 충분히 개선됐다면 이번 사고를 막을 수 있었던 것은 아닌지 냉정한 점검이 필요하다. 사고가 발생한 뒤 원인을 조사하는 것도 중요하지만, 그 이전에 위험 신호가 있었음에도 제대로 대응하지 못한 것은 아닌지 살펴보는 것이 더욱 중요하다. 사고 자체보다 더 무서운 것은 예고된 위험을 방치하는 조직 문화이기 때문이다.

중기부는 이용자 문의를 통해 사고를 인지한 뒤 접근 경로를 차단하고 추가 보안 조치를 적용했다고 설명한다. 그러나 국민이 궁금한 것은 법적 절차를 지켰느냐가 아니다. 왜 이런 일이 발생했느냐는 것이다.

민간 기업이 같은 사고를 냈다면 정부는 어떤 잣대를 들이댔을까. 보안 취약점이 사전에 지적됐는지, 관리 체계가 적절했는지, 사고 인지와 신고 과정이 신속했는지, 최고 책임자가 어떤 책임을 질 것인지까지 철저히 따졌을 것이다. 

정부는 최근 개인정보 유출과 온라인 이용자 정보 관리 소홀 등을 이유로 기업들에 역대급 과징금을 부과하고 있다. 개인정보보호위원회가 쿠팡에 6000억원이 넘는 과징금을 부과한 것도 개인정보 보호의 중요성을 강조하기 위한 조치였다. 그러나 규제의 정당성은 형평성에서 나온다. 자신에게는 관대하면서 민간에만 엄격한 규제는 설득력을 얻기 어렵다.

이번 사건을 계기로 정부는 개인정보 보호 체계를 원점에서 재점검해야 한다. 특히 창업 지원 플랫폼과 같이 수만 명의 개인정보와 사업 정보를 다루는 시스템에 대해서는 민간 기업 이상의 보안 기준을 적용해야 한다. 외부 위탁업체 관리 체계는 적절했는지, 접근 권한은 최소한으로 통제됐는지, 개인정보 비공개 설정은 제대로 작동했는지, 지난해 지적된 보안 취약점은 실제로 개선됐는지 낱낱이 공개해야 한다.

국민은 정부에 기업보다 더 높은 수준의 책임감을 기대한다. 정부는 규제기관인 동시에 개인정보를 관리하는 거대한 플랫폼 운영자이기도 하기 때문이다. 신뢰는 구호가 아니라 행동으로 증명된다. 이번 사건은 개인정보 보호에 관한 정부의 진정성을 시험하는 계기가 될 것이다.