아시아나항공에 이어 대한항공에서도 해킹으로 임직원 개인정보가 유출되면서 항공업계 전반의 보안 관리 실태가 도마에 올랐다.

29일 경찰에 따르면 경찰청 국가수사본부 사이버테러수사대는 관련 보도를 통해 해당 사고를 인지하고 아시아나항공을 상대로 입건 전 조사(내사)에 착수했다. 경찰은 해킹 경위와 유출 정보의 범위, 개인정보 보호를 위한 기술적·관리적 조치가 적절했는지 등을 조사하고 있다.

아시아나항공은 지난 25일 사내 공지를 통해 해외 서버에 대한 비인가 접근으로 사내 인트라넷 해킹이 발생했다고 밝혔다. 이 과정에서 내부 시스템에 저장돼 있던 개인정보가 외부로 유출된 것으로 회사 측은 파악하고 있다.

유출된 정보는 아시아나항공 임직원과 콜센터 등 협력사 직원 1만여명의 인트라넷 계정과 암호화된 비밀번호를 비롯해 사번·부서·직급·이름·전화번호·이메일 주소 등이다. 앞서 아시아나항공은 고객 개인정보는 유출되지 않았다고 밝혔다.

이번 사고와 관련해 기업의 개인정보 보호 책임을 둘러싼 논란도 불가피할 전망이다. 개인정보보호법은 개인정보 처리자가 해킹 등 침해 사고를 방지하기 위해 접근 통제, 암호화, 보안 프로그램 설치 등 기술적·관리적 보호조치를 취하도록 규정하고 있다. 경찰은 아시아나항공이 관련 의무를 충실히 이행했는지 여부를 중점적으로 살펴볼 방침이다.

유출 정보에 암호화된 비밀번호가 포함된 점도 수사 대상이다. 암호화 방식의 적정성과 관리 체계가 미흡하다고 판단될 경우 개인정보보호법이나 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반으로 이어질 가능성도 배제할 수 없다.

이런 가운데 대한항공도 이날 기내식과 기내 판매 납품업체인 케이씨앤디서비스(KC&D)가 외부 해커 그룹의 공격을 받아 해당 업체 서버에 저장돼 있던 대한항공 임직원의 성명과 전화번호, 계좌번호 등 개인정보가 유출됐다고 공지했다. 해당 업체는 2020년 12월 대한항공에서 분리 매각돼 현재는 한앤컴퍼니가 운영하고 있다.

대한항공은 “사고는 외부 협력업체 관리 영역에서 발생했지만, 당사 임직원 정보가 연루된 만큼 엄중하게 인식하고 있다”며 서비스 연동 안정성 점검 등 긴급 보안 조치를 시행하고 관계 기관에 신고를 마쳤다고 밝혔다.

항공업계에서는 과거에도 개인정보 유출 등 보안 사고가 반복됐다. 해외에서는 브리티시항공과 캐세이퍼시픽 등이 고객 정보 유출로 과징금과 행정 제재를 받은 바 있다. 올해 들어 에어프랑스-KLM과 베트남항공은 외부 고객관리(CRM) 시스템 침해로 고객 정보가 노출된 사실을 인정했다. 호주 콴타스항공은 해킹으로 약 600만명의 개인정보가 유출됐다. 국내에선 최근 연예인 등 유명인의 편도 항공권 정보가 500원에 불법 거래된 사실이 드러나 논란이 됐다.

다만 이번 아시아나항공과 대한항공 사례는 고객 정보가 아닌 임직원과 협력사 직원의 인트라넷 계정이 대량으로 유출됐다는 점에서 내부 시스템 보안 관리 책임이 핵심 쟁점으로 떠오르고 있다.

경찰은 내사 결과를 토대로 본격적인 수사 전환 여부를 판단할 예정이다.

한편 보안업계에서는 아시아나한공 해킹과 관련해 내부 인트라넷과 해외 서버를 연동해 운영하는 구조 자체가 보안 취약점을 키울 수 있다며, 접근 권한 관리 강화와 서버 분리, 상시 점검 체계 구축이 필요하다고 지적한다.

장세풍 기자 spjang@naeil.com