대한항공-아시아나 잇따라 사내망 뚫려 LCC 등도 보안체계 담보 못해고객 정보 유출 땐 2차 피해 눈덩이
  • ▲ 아시아나항공에 이어 대한항공에서도 개인정보 유출 정황이 잇따라 확인되면서 항공업계 전반에 보안 경계심이 커지고 있다. ⓒ뉴데일리 서성진 기자
    ▲ 아시아나항공에 이어 대한항공에서도 개인정보 유출 정황이 잇따라 확인되면서 항공업계 전반에 보안 경계심이 커지고 있다. ⓒ뉴데일리 서성진 기자
    아시아나항공에 이어 대한항공에서도 개인정보 유출 정황이 잇따라 확인되면서 항공업계 전반에 보안 경계심이 커지고 있다. SKT, KT 등 이동통신사와 쿠팡, 신세계 등에서 개인정보 유출 전례가 있는 만큼 항공사 역시 확인된 범위를 넘어 실제 피해가 확대될 수 있다는 우려가 나온다.

    30일 항공업계에 따르면 경찰은 최근 아시아나항공의 사내 인트라넷 시스템이 외부 공격에 노출돼 임직원 개인정보가 유출된 정황과 관련해 조사에 착수했다. 현재 해킹 경로와 실제 유출 범위, 추가 침입 여부 등을 들여다보고 있다.

    아시아나항공은 해외 서버를 통한 비인가 접근으로 사내 인트라넷 시스템 ‘텔레피아’가 해킹되면서, 임직원과 콜센터 등 협력사 직원을 포함한 약 1만명의 개인정보가 유출됐다고 밝혔다. 유출 항목에는 인트라넷 계정 정보와 암호화된 비밀번호, 사번, 소속 부서, 직급, 이름, 전화번호, 이메일 주소 등이 포함됐다. 다만 고객 개인정보는 유출되지 않았다는 게 회사 측 설명이다.

    대한항공 역시 기내식 납품업체 시스템이 해킹되면서 일부 임직원 개인정보가 외부로 유출된 사실을 확인했다. 대한항공은 현재까지 고객 개인정보 유출은 확인되지 않았다는 입장이지만, 유출 경위와 범위에 대한 추가 점검을 진행 중이다. 개인정보보호법상 일정 규모 이상의 개인정보 유출이 확인될 경우 관계 기관 조사와 행정 처분이 불가피한 만큼, 수사 확대 가능성도 거론된다.

    항공업계에서는 이번 사안을 개별 기업의 단발성 사고로 보기보다, 항공사 보안 시스템 전반의 구조적 취약성이 드러난 사례로 해석하고 있다. 

    항공사 정보 시스템은 예약·운항·정비·마일리지·고객관리 등으로 복잡하게 분절돼 있고, 이 과정에서 협력사와 외주업체, 해외 플랫폼 등 외부 연결망과의 접점이 다수 존재한다. 

    공격자는 상대적으로 방어가 느슨한 외부 연계 구간, 이른바 ‘약한 고리’를 통해 내부망으로 우회 침투하는 방식을 반복적으로 활용해 왔다는 분석이다. 이런 구조적 특성상 제주항공과 티웨이항공 등 국내 저비용항공사(LCC) 역시 해커들의 공격에 언제든 노출될 수 있다는 지적이 나온다.

    문제는 이러한 침투가 실제 고객 정보로 이어질 경우 피해가 급격히 확대될 수 있다는 점이다. 항공사는 여권 정보와 국적, 생년월일, 국제선 여정, 결제 정보 등 개인의 신원과 이동 이력을 동시에 보유하는 산업이다. 일부 정보만 유출되더라도 다른 데이터와 결합돼 항공권 예약 변경이나 환불 안내를 가장한 사칭·피싱으로 악용될 소지가 크다. 카드사와 호텔, 렌터카 등 제휴 서비스와 연동된 구조 역시 2차 피해가 다른 플랫폼으로 확산될 가능성을 키우는 요인으로 꼽힌다.

    양대 항공사는 이번 사안이 임직원 개인정보 유출에 국한된다고 설명하고 있다. 다만 이동통신사와 쿠팡 등 대형 플랫폼의 과거 사례에서 초기 발표 이후 수사와 조사 과정에서 실제 피해 규모가 크게 확대된 전례가 있었던 만큼, 실제 피해 규모는 수사 결과를 면밀히 따져봐야 한다는 시각이 지배적이다. 

    특히 유출 범위가 내부 자료를 넘어 다른 시스템이나 외부 연계 구간으로 확산됐는지가 향후 판단의 핵심 변수가 될 전망이다.

    항공사 개인정보 해킹 사고는 국내에만 국한된 문제가 아니다. 영국 브리티시에어웨이즈는 고객 개인정보 유출 사건과 관련해 영국 정보보호 당국으로부터 약 2000만 파운드(약 290억원)의 과징금을 부과받은 바 있다. 유럽 일반개인정보보호법(GDPR)은 글로벌 매출의 최대 4%까지 과징금을 부과할 수 있도록 하고 있어, 여권과 결제 정보를 포함한 민감한 개인정보를 대량으로 처리하는 항공사에는 상당한 재무적 부담으로 작용한다.

    국내에서도 개인정보보호법에 따라 유출 정보의 민감도와 관리 책임 여부, 사고 이후 대응 수준에 따라 과징금과 시정 명령, 손해배상 책임이 뒤따를 수 있다. 업계에서는 고객 정보 유출로 범위가 확대될 경우 법적·재무적 부담이 급격히 커질 수 있다고 보고 있다.

    대한항공이 내년 말 통합항공사 출범을 앞두고 있는 점도 부담 요인으로 꼽힌다. 예약과 마일리지, 고객관리 시스템 통합이 예정된 가운데 보안 체계까지 동시에 재편되지 않을 경우 새로운 취약점이 발생할 수 있다는 우려가 나온다. 

    한 항공업계 관계자는 “통합 과정은 보안 리스크가 가장 커지는 시기”라며 “사내 인트라망은 물론 협력사와 외부 연결망까지 포함한 보안 투자가 확실하게 이뤄져야 한다”고 말했다.