정보보호에 139억원 들였는데...대한항공·아시아나, 임직원 개인정보 유출 '비상'

심영범 기자 / 기사승인 : 2025-12-30 11:26:15
  • -
  • +
  • 인쇄
합병 앞둔 양사에 잇단 보안 사고…정보보호 체계 도마 위
고객 정보 제외됐지만 임직원 1만여명 피해
ISMS 인증 유지 중 잇단 침해…보안 신뢰도 시험대

[메가경제=심영범 기자] 대한항공이 아시아나항공과의 합병을 앞두고 개인정보 유출 사고로 추운 연말을 보내고 있다. 불과 4일전인 이달 25일에 아시아나항공도 사내망 해킹 사고가 발생해 정보 보안 조치가 시급해졌다.

 

30일 업계에 따르면 대한항공은 지난 29일 사내에 개인정보 유출 통지문을 긴급 공지했다. 기내식 공급과 기내 면세품 판매를 담당하는 외부 협력업체가 해킹 공격을 받으면서 대한항공 전·현직 임직원의 계좌번호 등 개인정보가 유출됐다.

 

▲ 대한항공이 아시아나항공과의 합병을 앞두고 개인정보 유출 사고로 추운 연말을 보내고 있다. 불과 4일전인 이달 25일에 아시아나항공도 사내망 해킹 사고가 발생해 정보 보안 조치가 시급해졌다. [사진=대한항공]

 

대한항공은 공지문에서 "기내식 및 기내 판매 업체인 케이씨앤디서비스(KC&D)가 최근 외부 해커그룹의 공격을 받았고, 이 과정에서 해당 업체의 서버에 저장된 당사 임직원들의 성명·계좌번호 등 개인정보가 유출된 것으로 파악됐다"라고 밝혔다.

 

KC&D는 지난 2020년 12월 대한항공이 재무구조 개선을 위해 기내식 및 기내면세품 판매 사업부를 사모펀드 한앤컴퍼니에 매각해 설립된 별도 법인이다. 분리 매각 이후에도 대한항공이 지분 20%를 보유 중이다.

 

대한항공 관계자는 "최근 케이씨앤디서비스로부터 내용을 전달받아 해당 사실을 인지했다. 분리 매각된 외부 협력업체의 관리 영역에서 발생했지만 당사 임직원의 정보가 연루돼 엄중하게 사안을 인식했다"며 서비스 연동 안정성 점검 등 즉각적으로 긴급 보안 조치를 취했다고 밝혔다.

 

KC&D 서버에 저장돼 있던 대한항공 임직원의 일부 개인정보 관련 침해 사고가 발생한 정황이 있는 것으로 파악하고 있다. 다만 고객 정보는 침해되지 않은 것으로 알려졌다.

 

대한항공 관계자는 “침해 사고 발생을 인지한 직후, KC&D에 대한 서비스 연동 안전성 점검 등 긴급 보안조치를 완료했고 위 내용을 관계 기관에 선제적으로 신고했다”며 “또한 침해 사고 내용을 신속히 파악하는 한편, KC&D가 경위를 분석하고 재발을 방지하도록 적극 요청하고 있다. 개인정보보호 태세에 만전을 기할 계획”이라고 전했다.

 

아시아나항공은 지난 25일 사내 안내를 통해 해외 서버에 대한 무단 접근 정황이 확인되면서 사내 인트라넷이 침해됐다고 공지했다. 피해 규모는 임직원과 콜센터 등 협력사를 포함해 약 1만명 수준이다. 유출된 정보에는 사내 인트라넷 계정, 비밀번호, 사번, 이름, 소속 부서, 직급, 전화번호, 이메일 주소 등이 포함됐다. 아시아나 항공도 고객 관련 정보는 해킹되지 않았다고 밝혔다.

 

경찰청 국가수사본부 사이버테러수사대는 아시아나항공에 대한 입건 전 조사에 들어갔다.

 

30일 한국인터넷진흥원(KISA)에 따르면 대한항공의 정보보안 전담 인력은 2022년 26.3명, 2023년 30.5명, 2024년 33.7명, 2025년 38.9명으로 늘어나는 추세다. 대한항공은 정보보호 관리체계(ISMS) 인증을 지난해 12월부터 2027년 12월까지 유지하고 있다. 지난 10월에는 개인정보보호위원장 직위를 기존 부사장에서 우기홍 부회장으로 격상해 최고 경영진이 직접 보안 정책을 총괄하도록 했다.

 

정보보호부문 투자액도 2022년 81억원, 2023년 105억원, 지난해 139억원으로 늘렸다. 정보보호에 비용을 늘린 의미를 잃게 된 것이다.

 

해외 항공업계에서도 개인정보 유출 사고가 발생했다. 지난 8월에는 에어프랑스-KLM그룹에서 10월에는 베트남항공은 외부 고객관리(CRM) 시스템 침해로 고객 정보가 노출됐다. 호주 콴타스항공은 해킹으로 약 600만명의 개인정보가 유출됐다.

 

정보보호·개인정보보호 관리체계 'ISMS'와 'ISMS-P' 인증을 받은 기업·기관이 1000만명 이상의 개인정보 유출 피해를 발생시켰을 경우 인증이 취소된다. 반복적으로 개인정보 보호법을 위반하거나 고의·중과실 위반 행위로 사회적 영향이 큰 경우에도 원칙적으로 인증이 취소된다.

 

개인정보보호위원회는 지난 29일 과학기술정보통신부와 서울정부청사에서 ISMS·ISMS-P 인증 취소 관계기관 대책회의를 열고 사이버침해, 개인정보 유출사고 기업 인증 취소 기준·절차를 공개했다.

 

ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.

 

권보헌 극동대 항공대학장은 "대한항공이 아시아나항공과 합병 전 보안 문제에 대해 철저히 신경써야 할 것"이라며 "해킹 기술이 나날이 발전하는 만큼 블록체인 기법 등을 마련해 조치를 취해야 할 것"이라고 밝혔다. 

[저작권자ⓒ 메가경제. 무단전재-재배포 금지]

뉴스댓글 >

최신기사

1

HD현대중공업 계열사서 근로자 사망…3조5000억 안전투자 무색
[메가경제=주영래 기자] HD현대중공업 계열사 사업장에서 또다시 중대재해가 발생하며 그룹 전반의 안전관리 실효성에 대한 우려가 커지고 있다. HD현대중공업은 10일 공시를 통해 종속회사 HD현대M&S 울산 사업장에서 천장크레인 정비 작업 중 근로자 1명이 추락해 사망하는 사고가 발생했다고 밝혔다. 사고는 전날(9일) 발생했으며, 추가 부상자는 없는

2

프리미엄 스킨케어 브랜드 ‘에포드’, 출시 1주년 기념 대규모 프로모션 진행
[메가경제=전창민 기자] 차별화된 제품 디자인과 독자적인 기술력으로 K-뷰티 시장에서 주목받아온 프리미엄 스킨케어 브랜드 ‘에포드(EPODE)’가 출시 1주년을 맞아 오는 7월 14일부터 대규모 고객 감사 프로모션을 진행한다고 밝혔다. 에포드는 하이드로겔 위주의 콜라겐 마스크팩 시장에 프리미엄 나노시트 건식 마스크팩을 선보이며 3040 여성 소비자들을 중

3

[G-MEGA 패치] 컴투스 '제우스', 클래스 8종 공개 外
[메가경제=이상원 기자] 여름 성수기를 맞아 주요 게임사들이 신작 정보 공개와 대규모 시즌 업데이트, 서비스 기념 이벤트, 오프라인 체험 행사를 잇달아 선보이며 이용자 공략에 나섰다. 10일 주요 게임업계 업데이트 및 이벤트 소식을 정리했다.◆ 컴투스 '제우스: 오만의 신', 클래스 8종·AI 모드 공개 컴투스는 신작 MMORPG '

HEADLINE

더보기

트렌드경제

더보기