행정안전부가 '모두의 창업' 플랫폼을 공공 정보시스템으로 판단하면서 개발사 선정 절차의 적절성이 다시 화두로 떠오를 전망이다. 공공 정보시스템에 요구되는 절차와 기준을 거치지 않은 채 사업이 추진됐기 때문이다.

특히 플랫폼 개발사에 과거 대규모 해킹 사고를 겪은 가상자산 거래소 출신이 재직하고 있는 것으로 확인되면서 사전 검증이 적절했는지도 관심사로 떠오르고 있다.

경상남도 진주시 경상국립대학교에서 열린 모두의 창업 프로젝트 간담회./중소벤처기업부 제공

9일 조선비즈가 강승규 국민의힘 의원실로부터 확보한 행정안전부 유권해석 회신에 따르면 행안부는 중소벤처기업부 질의에 "모두의 창업 플랫폼은 '행정기관 및 공공기관 정보시스템 구축·운영 지침'상 정보시스템에 해당한다"고 결론내렸다. 민간에서 만든 플랫폼이 아니라 정부 정책을 수행하는 전자정부 서비스이자 행정기관이 운영하는 공공 정보시스템이라고 본 것이다.

행안부 판단에 따라 모두의 창업 플랫폼은 공공 정보시스템 구축·운영 지침 적용 대상이다. 사업 발주 전 정보화 사업 사전 협의 등을 거쳐야 하고, 정보시스템 등급을 산정하고 감리 대상 사업일 경우 정보시스템 감리를 실시해야 한다.

이후 행정기관이 사업을 발주하는 경우 제안요청서 작성, 사업자 선정 및 계약 등 지침에서 정한 절차를 밟는다. 계약 방식에 따라 경쟁 입찰이나 수의계약 등 절차는 달라질 수 있지만, 사업자 선정 과정에서는 기술력 평가와 정보 보안 관련 요구 사항에 대한 검토가 이뤄진다.

하지만 모두의 창업 플랫폼 개발사인 '트리플오스'는 중기부와 별도 용역 계약이나 공공 입찰 절차를 거치지 않고 모두의 창업 플랫폼 구축 기업으로 선정됐다.

신한은행이 플랫폼을 구축해 창업진흥원에 무상 제공하는 '기부채납' 방식으로 사업이 추진되면서 구축 업체 선정은 신한은행이 맡았고, 창업진흥원은 완성된 플랫폼을 제공받았다.

사업이 진행된 뒤 플랫폼에서 합격자 개인정보가 유출되는 사고가 발생했고, 행안부는 이를 공공 정보시스템으로 판단했다.

6월 16일 서울 마포구 '스타트업·벤처 캠퍼스 서울'에서 열린 모두의 창업 1기 출범식이 진행되고 있다./홍인석

과학기술정보통신부 역시 모두의 창업 플랫폼 구축 사업을 소프트웨어 진흥법상 소프트웨어 사업으로 판단했다. 이에 따라 소프트웨어 과업심의위원회 심의와 사업 영향 평가 등 관련 제도의 적용 대상이었는지, 해당 절차가 실제 이행됐는지도 따져봐야 할 대목이다.

개발사 선정 과정에서 사업자의 보안 역량과 개발 인력에 대한 검증이 충분했는지도 쟁점으로 떠오르고 있다. 트리플오스에 과거 200억원 규모 해킹 피해를 본 가상 자산 거래소 지닥(GDAC) 운영사 피어테크 출신 개발 인력이 재직 중이다.

2017년 말 설립된 피어테크는 가상자산 거래소 지닥을 운영하며 법인 회원을 중심으로 거래소 시장에서 입지를 넓혔으나 거래량 감소에 2023년 대규모 해킹 사고까지 발생하면서 결국 파산했다.

트리플오스 핵심 인력들이 피어테크 재직 당시 지닥 해킹 사고와 관련이 있었는지 확인되지 않은 상태다. 중기부는 "모두의 창업 플랫폼이 민간 협력으로 구축된 만큼, 계약 관련 자료는 보유하고 있지 않다"는 입장이다. 행안부의 유권해석 등에는 답변하지 않았다.

강승규 의원은 "법이 정한 최소한의 검증 절차만 거쳤어도 소중한 개인정보와 사업 아이디어가 허망하게 유출되는 일은 없었을 것"이라며 "민간협력의 탈을 쓰고 부실로 얼룩진 모두의창업 플랫폼 구축 과정과 운영 전반에 대한 즉각적인 감사가 필요하다"고 말했다.