모두의창업 개인정보 유출 피해자 보호 조치 방법, 신고부터 대응까지 실제 절차

모두의창업 개인정보 유출 사고, 무슨 일이 있었나

내 정보가 어딘가에서 새어 나갔다는 사실을 알게 됐을 때의 막막함은 겪어본 사람만 안다. 무엇을 먼저 해야 할지, 내 정보가 어디까지 퍼졌는지, 혹시 지금 이 순간에도 누군가가 내 이름으로 무언가를 하고 있는 건 아닌지. 그 불안감은 충분히 이해된다. 이 글은 그 막막함을 해소하기 위해 쓰였다.

2026년 6월 18일, 중소벤처기업부(중기부)는 정부 창업 지원 플랫폼인 ‘모두의 창업’에서 일부 참가자의 개인정보가 유출된 사실을 공식 확인했다. 중기부는 같은 날 접근 경로를 차단하고 한국인터넷진흥원(KISA)에 신고했으며, 피해신고센터를 운영하기 시작했다. 이어 2026년 6월 19일에는 공식 사과와 함께 피해 확산 방지 및 사고 수습을 위한 조치를 추진 중이라고 밝혔다.

2026년 6월 21일, 사고 원인이 추가로 밝혀졌다. 외부 해킹이 아니라, 프로젝트에 참여한 AI 솔루션 업체가 비정상적인 API 호출과 웹 크롤링을 통해 데이터를 수집한 것이 원인으로 조사되었다. 즉, 외부의 악의적 공격이 아닌 내부 참여 업체의 부적절한 데이터 접근이 사고를 일으킨 것이다.

유출된 정보의 범위는 확인된 바로는 이메일 주소, 아이디어 요약 정보, 심사평이다. 참가자 실명과 휴대전화 번호 등 다른 개인정보는 유출되지 않은 것으로 중기부는 밝혔다. 그러나 이메일 주소만 유출되더라도 스팸 메일, 피싱 시도, 계정 탈취 시도 등 2차 피해로 이어질 수 있기 때문에 안심하고 방치해서는 안 된다.

중기부는 사고 이후 시스템 전반에 대한 긴급 보안 점검을 실시하고, 국가사이버안보센터 등 외부 전문 기관과 협력하여 침해 사고 조사 및 분석, 보안 점검을 진행했다. 또한 제1차관 주재로 정례 점검회의를 개최하여 개인정보 유출 관련 조치 상황, 플랫폼 운영 현황, 향후 개선 방안 등을 지속적으로 점검할 계획임을 밝혔다.

유출 확인 후 72시간 이내 해야 할 긴급 조치

개인정보 유출 사고에서 초기 대응 속도는 피해 규모를 결정짓는 핵심 변수다. 많은 분들이 ‘일단 지켜보자’는 태도로 대응을 미루는 경우가 있는데, 실제 사례에서는 유출 직후 72시간 이내의 조치 여부가 2차 피해 발생 가능성을 크게 좌우하는 것으로 확인된다. 아래 순서대로 빠르게 움직이는 것이 중요하다.

첫째, 유출된 이메일 계정의 비밀번호를 즉시 변경한다. 이번 사고에서 이메일 주소가 유출되었기 때문에, 해당 이메일로 가입된 모든 주요 서비스의 비밀번호를 함께 변경하는 것이 필요하다. 특히 같은 비밀번호를 여러 사이트에서 사용하고 있었다면, 그 모든 계정이 위험에 노출될 수 있다. 비밀번호는 영문 대소문자, 숫자, 특수문자를 조합한 12자리 이상으로 설정하고, 사이트마다 다르게 만드는 것이 원칙이다.

둘째, 이메일 계정의 2단계 인증(2FA)을 즉시 활성화한다. 비밀번호가 유출되더라도 2단계 인증이 설정되어 있으면 계정 탈취를 막을 수 있는 추가 방어선이 생긴다. 구글, 네이버, 카카오 등 주요 이메일 서비스는 모두 2단계 인증 기능을 제공하고 있으므로 설정하지 않았다면 지금 바로 활성화해야 한다.

셋째, 금융감독원에 사기계좌 신고를 접수한다. 일반적으로 많이 알려진 ‘신용정보 낭비방지 등록’보다 실제로 더 빠른 효과를 내는 조치가 있다. 유출 직후 72시간 이내에 금융감독원에 ‘사기계좌 신고’를 접수하면, 은행에서 자동으로 계좌 동결 절차를 진행할 수 있다. 이 절차는 금융감독원 공식 사이트(fss.or.kr) 또는 금융감독원 콜센터(1332)를 통해 접수 가능하다. 이 단계를 놓치면 나중에 피해가 발생한 뒤에야 대응이 가능해지므로 반드시 선제적으로 접수해야 한다.

넷째, 중기부가 운영하는 피해신고센터에 피해 사실을 접수한다. 중기부는 2026년 6월 18일부터 피해신고센터를 운영하고 있다. 피해자로 공식 등록되어야 이후 지원 제도를 받을 수 있는 자격이 생기므로, 피해 사실을 확인한 즉시 신고하는 것이 중요하다. 피해자라고 해서 자동으로 보호받는 것이 아니라, 본인이 직접 신고하고 서류를 제출해야 지원 대상이 된다는 점을 반드시 기억해야 한다.

공식 신고 절차, 어디에 어떻게 신고하나

신고 창구가 여러 곳이라 어디에 먼저 해야 할지 헷갈리는 경우가 많다. 각 기관의 역할이 다르기 때문에, 상황에 따라 복수의 기관에 동시에 신고하는 것이 오히려 더 효과적이다. 아래에 각 기관의 역할과 신고 방법을 정리했다.

한국인터넷진흥원(KISA)은 이번 사고에서 중기부가 직접 신고한 기관이기도 하다. 피해자 개인도 KISA 개인정보 침해신고센터(privacy.kisa.or.kr)를 통해 별도로 신고할 수 있으며, 신고 후 접수 번호를 받아두면 이후 분쟁 조정 절차에서 증빙 자료로 활용할 수 있다.

개인정보보호위원회는 개인정보 처리 기관의 위반 사항을 조사하고 제재를 가하는 기관이다. 피해자가 직접 신고하면 위원회가 해당 기관을 조사하는 절차가 시작된다. 2026년 4월 2일 개정된 개인정보 보호법에 따르면, 반복적·중대한 위반 시 전체 매출액의 최대 10%까지 징벌적 과징금이 부과될 수 있으며, 2026년 9월 11일부터 시행된다. 이는 피해자 입장에서 기관의 책임을 묻는 데 활용할 수 있는 법적 근거가 강화되었다는 의미다.

계정·금융·신용 정보 보호를 위한 구체적 조치

신고를 마쳤다고 해서 끝이 아니다. 유출된 정보가 실제로 악용되는 것을 막으려면 계정, 금융, 신용 세 가지 영역에서 각각 구체적인 조치를 취해야 한다. 일부는 유출된 정보를 그대로 방치하는 경우가 있는데, 이는 2차 피해의 가장 흔한 원인이 된다.

계정 보호 조치로는 앞서 언급한 비밀번호 변경과 2단계 인증 외에도, 유출된 이메일 주소로 수신되는 모든 메일을 더욱 주의 깊게 살펴야 한다. 피싱 메일은 공식 기관이나 금융사를 사칭하는 경우가 많으며, 링크 클릭이나 첨부파일 실행을 유도한다. 발신자 주소를 꼼꼼히 확인하고, 의심스러운 링크는 절대 클릭하지 않는 것이 원칙이다.

금융 정보 보호 조치로는 금융감독원의 사기계좌 신고 외에도, 주거래 은행 앱이나 인터넷뱅킹에서 ‘해외 IP 접속 차단’, ‘비정상 거래 알림’ 설정을 활성화하는 것이 권장된다. 또한 신용카드사에 연락해 이상 거래 발생 시 즉시 문자 알림을 받도록 설정하고, 필요하다면 카드 재발급을 요청하는 것도 고려할 수 있다. 이번 사고에서 금융 정보 자체는 유출되지 않았지만, 이메일을 통한 피싱으로 금융 정보가 2차로 탈취될 가능성은 여전히 존재한다.

신용 정보 보호 조치로는 공공기관에서 제공하는 무료 신용정보 모니터링 서비스를 적극 활용하는 것이 효과적이다. 나이스신용평가(www.niceinfo.co.kr), 코리아크레딧뷰로(www.allcredit.co.kr) 등에서 신용 조회 이력 알림 서비스를 신청하면, 누군가 내 명의로 신용 조회를 시도할 경우 즉시 알림을 받을 수 있다. 또한 금융결제원의 ‘계좌정보통합관리서비스(어카운트인포)’를 통해 내 명의로 개설된 계좌 목록을 확인하고, 모르는 계좌가 있다면 즉시 신고해야 한다.

추가로, 명의도용 방지 서비스도 활용할 수 있다. 한국정보통신진흥협회(KAIT)가 운영하는 ‘명의도용방지서비스(www.msafer.or.kr)’에서는