정보보호에 139억원 들였는데...대한항공·아시아나, 임직원 개인정보 유출 '비상'

합병 앞둔 양사에 잇단 보안 사고…정보보호 체계 도마 위
고객 정보 제외됐지만 임직원 1만여명 피해
ISMS 인증 유지 중 잇단 침해…보안 신뢰도 시험대

심영범 기자

tladudqja@naver.com | 2025-12-30 11:26:15

[메가경제=심영범 기자] 대한항공이 아시아나항공과의 합병을 앞두고 개인정보 유출 사고로 추운 연말을 보내고 있다. 불과 4일전인 이달 25일에 아시아나항공도 사내망 해킹 사고가 발생해 정보 보안 조치가 시급해졌다.

 

30일 업계에 따르면 대한항공은 지난 29일 사내에 개인정보 유출 통지문을 긴급 공지했다. 기내식 공급과 기내 면세품 판매를 담당하는 외부 협력업체가 해킹 공격을 받으면서 대한항공 전·현직 임직원의 계좌번호 등 개인정보가 유출됐다.

 

▲ 대한항공이 아시아나항공과의 합병을 앞두고 개인정보 유출 사고로 추운 연말을 보내고 있다. 불과 4일전인 이달 25일에 아시아나항공도 사내망 해킹 사고가 발생해 정보 보안 조치가 시급해졌다. [사진=대한항공]

 

대한항공은 공지문에서 "기내식 및 기내 판매 업체인 케이씨앤디서비스(KC&D)가 최근 외부 해커그룹의 공격을 받았고, 이 과정에서 해당 업체의 서버에 저장된 당사 임직원들의 성명·계좌번호 등 개인정보가 유출된 것으로 파악됐다"라고 밝혔다.

 

KC&D는 지난 2020년 12월 대한항공이 재무구조 개선을 위해 기내식 및 기내면세품 판매 사업부를 사모펀드 한앤컴퍼니에 매각해 설립된 별도 법인이다. 분리 매각 이후에도 대한항공이 지분 20%를 보유 중이다.

 

대한항공 관계자는 "최근 케이씨앤디서비스로부터 내용을 전달받아 해당 사실을 인지했다. 분리 매각된 외부 협력업체의 관리 영역에서 발생했지만 당사 임직원의 정보가 연루돼 엄중하게 사안을 인식했다"며 서비스 연동 안정성 점검 등 즉각적으로 긴급 보안 조치를 취했다고 밝혔다.

 

KC&D 서버에 저장돼 있던 대한항공 임직원의 일부 개인정보 관련 침해 사고가 발생한 정황이 있는 것으로 파악하고 있다. 다만 고객 정보는 침해되지 않은 것으로 알려졌다.

 

대한항공 관계자는 “침해 사고 발생을 인지한 직후, KC&D에 대한 서비스 연동 안전성 점검 등 긴급 보안조치를 완료했고 위 내용을 관계 기관에 선제적으로 신고했다”며 “또한 침해 사고 내용을 신속히 파악하는 한편, KC&D가 경위를 분석하고 재발을 방지하도록 적극 요청하고 있다. 개인정보보호 태세에 만전을 기할 계획”이라고 전했다.

 

아시아나항공은 지난 25일 사내 안내를 통해 해외 서버에 대한 무단 접근 정황이 확인되면서 사내 인트라넷이 침해됐다고 공지했다. 피해 규모는 임직원과 콜센터 등 협력사를 포함해 약 1만명 수준이다. 유출된 정보에는 사내 인트라넷 계정, 비밀번호, 사번, 이름, 소속 부서, 직급, 전화번호, 이메일 주소 등이 포함됐다. 아시아나 항공도 고객 관련 정보는 해킹되지 않았다고 밝혔다.

 

경찰청 국가수사본부 사이버테러수사대는 아시아나항공에 대한 입건 전 조사에 들어갔다.

 

30일 한국인터넷진흥원(KISA)에 따르면 대한항공의 정보보안 전담 인력은 2022년 26.3명, 2023년 30.5명, 2024년 33.7명, 2025년 38.9명으로 늘어나는 추세다. 대한항공은 정보보호 관리체계(ISMS) 인증을 지난해 12월부터 2027년 12월까지 유지하고 있다. 지난 10월에는 개인정보보호위원장 직위를 기존 부사장에서 우기홍 부회장으로 격상해 최고 경영진이 직접 보안 정책을 총괄하도록 했다.

 

정보보호부문 투자액도 2022년 81억원, 2023년 105억원, 지난해 139억원으로 늘렸다. 정보보호에 비용을 늘린 의미를 잃게 된 것이다.

 

해외 항공업계에서도 개인정보 유출 사고가 발생했다. 지난 8월에는 에어프랑스-KLM그룹에서 10월에는 베트남항공은 외부 고객관리(CRM) 시스템 침해로 고객 정보가 노출됐다. 호주 콴타스항공은 해킹으로 약 600만명의 개인정보가 유출됐다.

 

정보보호·개인정보보호 관리체계 'ISMS'와 'ISMS-P' 인증을 받은 기업·기관이 1000만명 이상의 개인정보 유출 피해를 발생시켰을 경우 인증이 취소된다. 반복적으로 개인정보 보호법을 위반하거나 고의·중과실 위반 행위로 사회적 영향이 큰 경우에도 원칙적으로 인증이 취소된다.

 

개인정보보호위원회는 지난 29일 과학기술정보통신부와 서울정부청사에서 ISMS·ISMS-P 인증 취소 관계기관 대책회의를 열고 사이버침해, 개인정보 유출사고 기업 인증 취소 기준·절차를 공개했다.

 

ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.

 

권보헌 극동대 항공대학장은 "대한항공이 아시아나항공과 합병 전 보안 문제에 대해 철저히 신경써야 할 것"이라며 "해킹 기술이 나날이 발전하는 만큼 블록체인 기법 등을 마련해 조치를 취해야 할 것"이라고 밝혔다. 

[ⓒ 메가경제. 무단전재-재배포 금지]