쿠팡 개인정보 유출 논란 … 항공사도 예외 아니다

쿠팡의 개인정보 유출 논란이 커지면서 항공업계의 정보보호 수준에도 관심이 높아지고 있다. 항공사는 여권번호, 생년월일, 탑승 이력 등 민감도가 높은 고객 정보를 처리하는 업종으로, 유출 시 피해가 장기간 누적될 수 있어 높은 수준의 보안이 요구된다. 

쿠팡 역시 ISMS 인증을 갖춘 상태에서도 3370만명의 고객 정보가 유출된 만큼 항공사 또한 인증 보유만으로 안전을 보장하기 어렵다는 지적이 나온다.

4일 항공업계에 따르면 해외에서는 올해 들어 에어프랑스-KLM과 베트남항공이 외부 고객관리(CRM) 시스템 침해로 고객 정보를 노출한 사실을 잇따라 인정했다. 두 기업 모두 국제 정보보호 표준을 충족하고 있었지만 위탁 시스템에서 사고가 발생했다는 점이 국내 항공사도 안전지대는 아니라는 평가가 나온다. 

항공업은 국제 규범과 국가별 법제가 동시에 적용되는 업종이다. 여객예약정보와 출입국 정보는 국제민간항공기구(ICAO) 부속서에 기본 원칙이 규정돼 있고, 유럽 노선을 운항하는 항공사는 EU 일반개인정보보호법(GDPR)의 데이터 최소수집·전송 규칙을 따라야 한다. 

미국 노선을 운항하는 항공사는 탑승객 정보를 미국 정부에 사전 제출해야 한다. 출발 전 승객의 이름·생년월일·여권번호 등을 국토안보부(DHS)에 보내는 APIS(사전여객정보시스템)와, 테러 감시목록과의 대조를 위해 TSA(미 교통안전청)가 요구하는 Secure Flight 프로그램이 대표적이다. 이 과정에서 항공사는 여객 정보를 정확히 수집·보관하고, 정부로 전송할 때 암호화된 보안 경로를 사용해야 한다.

항공사들은 이와 함께 ISO27001(국제 정보보호 관리체계), IATA 사이버보안 가이드라인 등 국제 기준을 내부 관리체계에 반영하고 있다.

국내 항공사들도 공통적으로 ISMS 인증을 비롯해 ISO27001를 보유하고 있으나, 예약·결제·콜센터·지상조업·마일리지 운영 등 주요 기능이 다수의 외부 사업자·협력사 시스템과 연동되는 구조여서 내부 통제만으로는 모든 위험을 차단하기 어렵다는 지적이 계속돼 왔다. 

공급망을 통한 침해 가능성이 높아지자 항공사들은 최근 정보보안 거버넌스를 최고경영진 직속 체제로 재편하는 등 조직과 프로세스를 대폭 강화하고 있다.

먼저 대한항공은 지난 10월 개인정보보호위원회 위원장을 기존 부사장에서 우기홍 부회장으로 격상했다. 최고경영진이 직접 보안정책을 관장하도록 한 것으로, 전사 시스템을 통합 모니터링하는 사이버보안 관제조직(KETCC)을 중심으로 운항·예약·정비·정산 계열 시스템을 상시 점검한다. 개인정보 암호화, 접근권한 최소화, 접속기록 관리, 개인정보 영향평가(PIA) 등도 운영 중이이다.

아시아나항공은 GDPR 등 해외 법제에 대응하기 위한 준법 체계를 운영하며 전사 정보보호협의체를 통한 리스크 점검, 악성메일 모의훈련, 임직원 보안교육 등을 강화하고 있다. 기술적으로는 데이터베이스(DB) 암호화, 망분리, 접근제어 고도화 등을 적용하고 있다. 

국내 저비용항공사(LCC) 맏형인 제주항공은 정보보호 전담 조직을 CEO 직속으로 배치해 최고정보보호책임자(CISO)가 침해사고 대응 전 과정을 총괄한다. 의심 징후가 탐지되면 사고 분석을 거쳐 전사 태스크포스(TF)를 구성하고, 법정 신고·고객 통지·취약점 조치와 재발 방지까지 이어지는 5단계 대응 절차를 운영하고 있다. ISMS 인증을 갖추고 협력사 보안 가이드 운영, 예약·정산·콜센터 등 외부 시스템 정기 점검도 시행 중이다.

보안업계는 항공사 내부 시스템의 보안 수준은 국제 기준에 부합하나, 협력사·외부 플랫폼 등 공급망 보안은 회사마다 편차가 크다고 지적한다. 

한 업계 관계자는 “항공사는 내부 보안은 비교적 강한 편이지만, 실제 사고는 외부 시스템에서 발생하는 경우가 적지 않다”며 “데이터 전송·위탁 처리·해외 시스템 연동 등 공급망 전반을 관리하는 능력이 향후 경쟁력의 핵심이 될 것”이라고 말했다.