'쿠팡 사태'가 불붙인 보안 이슈…항공업계, 개인정보 보호 강화에 사활

3월 12일 인천국제공항 제2여객터미널 대한항공 체크인카운터 모습 ⓒ뉴시스

최근 쿠팡에서 대규모의 고객 개인정보가 유출되며 2차 피해 우려가 커지자, 광범위하게 개인정보를 다루는 항공업계에서도 보안 점검과 대응 체계 강화에 주력하고 있다.

8일 항공업계에 따르면, 항공사는 여권번호·생년월일·탑승 이력 등 민감도가 높은 정보를 다루는 특성상 유출 시 피해가 장기간 누적될 수 있고 복구도 쉽지 않다.

실제로 올해 들어 에어프랑스-KLM과 베트남항공은 외부 고객관리(CRM) 시스템 침해로 고객 정보가 노출된 사실을 인정했으며, 호주 콴타스 항공에서도 해킹으로 약 600만명의 개인정보가 유출됐다. 국내에선 최근 연예인 등 유명인의 편도 항공권 정보가 500원에 불법 거래된 사실이 드러나며 논란이 일기도 했다.

항공업은 일반 기업과 달리 국제 규범·국가별 법령·항공사 내부 시스템·외주 시스템이 겹겹이 얽힌 구조다. 여객예약정보(PNR)와 출입국 정보의 기본 처리 원칙은 국제민간항공기구(ICAO) 부속서를 따라야 하며, 유럽 노선 운항 시에는 EU 일반개인정보보호법(GDPR)에 규정된 '데이터 최소 수집·전송 규칙'을 준수해야 한다.

미국 노선의 경우 규제가 더욱 복잡하다. 항공사는 출발 전 승객의 이름·생년월일·여권번호 등을 미국 국토안보부(DHS)에 사전 제출(APIS)해야 하며, 미 교통안전청(TSA)은 Secure Flight 프로그램을 통해 테러 감시목록과 해당 정보를 대조한다. 이 과정에서 항공사는 정확한 수집 및 보관, 암호화된 전송 경로 구축 등 고도의 기술적·관리적 안전장치를 갖춰야 한다.

이처럼 규제가 다층적으로 얽혀 있고 외부 플랫폼과 시스템 연동이 필수적이기 때문에 항공업은 자연스럽게 공급망 보안 취약성이 높아질 수밖에 없는 구조다. 이에 국내 각 항공사들은 고객의 개인정보 보호를 최우선 가치로 두고, 전문적인 정보보호 관리체계를 구축·운영하고 있다.

먼저 대한항공은 ISMS(정보보호 관리체계)를 지난해 12월부터 오는 2027년 12월까지 유지하고 있으며, 다양한 정보보호 인증을 통해 관리체계의 신뢰성을 검증해왔다. 특히 지난 10월에는 개인정보보호위원장 직위를 기존 부사장에서 우기홍 부회장으로 격상해 최고경영진이 직접 보안 정책을 총괄하도록 했다.

또 대한항공은 24시간 상시 모니터링 체계를 갖춘 사이버보안관제센터(KE TCC)를 운영하며, 운항·예약·정비 등 주요 시스템에 대한 실시간 점검을 수행한다. 개인정보 암호화·권한 최소화·접속 기록 관리 등 고도화된 보호 체계를 운영 중이다.

대한항공 관계자는 "대한항공은 고객정보 등 개인정보보호 관리체계 강화를 위해 만전을 다하고 있으며, 전사적인 역량과 자원을 투입하여 개인정보보호 리스크에 선제적으로 대응할 예정"이라고 밝혔다. 이어 "사내 개인정보보호 전담기구 등을 통하여 개인정보 보호조치의 이행사항 및 담당자의 준수여부를 확인해 문제 발견 시 즉시 시정 조치하도록 하고 있다"고 강조했다.

아시아나항공 정보보안 조직도 ⓒ아시아나항공

아시아나항공은 정보보안담당을 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)로 지정해 관리 거버넌스를 강화했다. 또한 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무전담 조직을 운영 중이다.

침입방지시스템(IPS), 웹방화벽(WAF)과 같은 다양한 정보보호시스템을 운영하고 있으며, 보안이벤트분석시스템(SIEM)과 연동해 실시간 대응 체계를 유지하고 있다. ISMS 인증을 2013년 최초 취득한 후 매년 재검증을 통해 지속적으로 유지하고 있으며, EU GDPR과 중국 데이터안전법·개인정보보호법 등 국가별 법제 모니터링을 통해 글로벌 규제에도 대응하고 있다.

제주항공은 CISO를 CEO 직속으로 배치해 침해사고 발생 시 법정 신고·고객 통지·취약점 조치·재발 방지를 포함한 5단계 대응 체계를 운영하고 있다. 이와 함께 ISMS 인증을 지속 유지하고 국제 정보보호 경영 시스템 인증(ISO)을 매년 갱신하고 있다.

아울러 제주항공은 정보보호 문화를 기업 전반에 내재화하기 위해 일반 개인정보 보호 교육 외에도 부서와 직급별 맞춤형 전문 교육을 확대 시행하고 있다. 사업장별 보안점검(연 4회), 모의 해킹, 악성 메일 모의 훈련, 사업장 내 임직원 보안 캠페인(연 4회) 개인정보 처리방침 다국어 번역 등 다양한 정보보안 인식 제고 활동을 적극적으로 실시하고 있다.

항공업계 관계자는 "최근 여러 산업에서 연쇄적으로 개인정보 사고가 발생하면서 항공사 내부에서도 공급망 전반을 다시 점검하는 분위기"라며 "민감 정보가 많은 업종인 만큼 단순한 인증 유지가 아니라 실제 운영 과정에서의 통제력을 높이는 것이 앞으로의 핵심 과제"라고 말했다.