아시아나항공에 이어 대한항공에서도 임직원 개인정보 유출 사고가 연달아 발생하면서 국내 대형 항공사의 사이버 보안 수준이 도마에 올랐다. 고객 정보는 아니라는 설명이 반복되고 있지만 수만 명 임직원의 이름과 연락처, 계좌번호까지 외부 해커 손에 넘어간 상황에서 관리 부실이라는 비판이 나온다.
대한항공은 29일 “임직원 성명과 계좌번호 등 약 3만여 건의 개인정보가 침해된 정황을 확인했다”고 밝혔다. 대한항공의 기내식·기내 판매 납품업체인 케이씨앤디(KC&D)서비스가 외부 해커의 공격을 받으면서 해당 업체 서버에 남아 있던 대한항공 임직원 개인정보가 유출된 것이다.
KC&D서비스는 2020년 12월 대한항공에서 분리 매각돼 사모펀드 한앤컴퍼니가 운영 중인 회사다. 문제는 분리 매각 당시 대한항공 임직원 데이터가 서버에 그대로 남아 있었고, 이후 수년 동안 적절한 삭제·암호화 조치 없이 방치된 것으로 보인다는 점이다. “매각했으니 우리의 소관이 아니다”라는 식의 관리 공백이 결국 해킹으로 이어졌다는 비판이 제기된다.
대한항공은 “분리 매각된 외부 협력업체의 관리 영역에서 발생한 사고지만, 임직원 정보가 연루된 만큼 매우 엄중하게 인식하고 있다”며 긴급 보안 점검과 관계 기관 신고를 했다고 설명했다. 그러나 이미 수만 건의 계좌 정보와 연락처가 유출된 뒤에야 통지와 조치가 이뤄졌다는 점에서, 사후 대응에 머문 채 ‘책임 있는 관리’를 주장하는 것은 설득력이 떨어진다는 지적이다.
앞서 아시아나항공은 사내 인트라넷이 해킹을 당해 임직원과 협력사 직원 등 1만여 명의 개인정보가 유출됐다고 공지했다. 유출된 정보에는 계정(ID), 암호화된 비밀번호, 사번, 부서, 직급, 이름, 전화번호, 이메일 주소 등이 포함된 것으로 알려졌다. 회사 측은 고객 정보는 포함되지 않았다고 해명했지만, 개인정보보호법 위반 여부를 둘러싸고 수사가 진행 중이다.
내부 인트라넷 계정, 사번, 직급, 연락처, 계좌번호 등은 2차 피싱, 스미싱, 보이스피싱, 표적 공격(스피어 피싱)을 위한 맞춤형 재료가 될 수 있다. 임직원 정보가 한 번 새나가면 그다음에는 고객과 파트너, 더 나아가 국가 중요 인프라로 피해가 확산할 수 있다는 점에서 사안은 가볍지 않다.
특히 항공사는 항공기 운항 정보, 예약·발권 시스템, 보안 검색 등 국가 안보와 직결되는 민감 인프라를 다루는 업종이다. 이런 곳에서 기본적인 인트라넷 방어와 협력사 서버 관리조차 제대로 안 돼 있었다는 사실은 단발성 사고라기보다 구조적 안전불감증의 결과라는 비판으로 이어진다.
이미 국내에서는 대형 플랫폼·금융·통신사를 잇따라 강타한 개인정보 유출 사고를 계기로 제재 강화와 징벌적 손해배상 논의가 본격화된 상태다. 이 가운데 규제 당국이 항공·물류·에너지 등 핵심 인프라 업종을 대상으로 전면적인 보안 실태 점검과 제도 정비에 나서야 한다는 요구로 이어지고 있다.
한 기업 보안 전문가는 “임직원 정보 관리 체계를 원점에서 재설계하고, 계열 분리·외주화 과정에서의 데이터 삭제·암호화 의무를 강화하지 않는다면 같은 사고는 언제든 재발할 수 있다”며 “우연한 해킹 피해자라는 변명으로는 책임을 더 이상 가릴 수 없다”고 말했다.
김재원 기자 jkim@segye.com
