아시아나항공도 털렸다…항공업계, 정보보안 대응 강화 움직임

항공업계 전반에서 정보보안 관리 체계를 재점검하고, 사고 대응 역량을 강화하려는 움직임이 본격화될 전망이다. ⓒ데일리안 AI 삽화 이미지

아시아나항공에서 임직원 개인정보 유출 사고가 발생하면서, 항공업계 전반이 불안감도 커지고 있다. 이번 사고를 계기로 항공업계 전반에서 정보보안 관리 체계를 재점검하고, 사고 대응 역량을 강화하려는 움직임이 본격화될 전망이다.

26일 아시아나항공에 따르면, 전날 해외 서버의 비인가 접근을 통해 사내 인트라넷에 대한 외부 공격(해킹)이 발생했다. 이로 인해 협력사 직원 포함 임직원 1만여명의 이름·부서·직급·전화번호·사번·이메일 주소 등이 유출됐다. 다만 고객 정보는 유출되지 않은 것으로 알려졌다.

아시아나항공은 전날 사내 공지시스템에 해당 사실을 긴급 공지하며 "인지한 즉시 접속 차단 등 필요한 보안 조치를 완료했으며 추가 피해 확산 방지를 위한 대응을 진행하고 있다"고 밝혔다.

아시아나항공 관계자는 "유출 사실 인지 즉시 불법 접근 경로 차단했으며, 임직원과 관계 기관에 신속히 알린 후 시스템 관리자 계정 패스워드 변경 등 필요한 보호 조치를 적극 시행 중"이라고 설명했다. 아시아나항공은 조사를 통해 사고 경위를 확인하고 있다.

이번 사고를 계기로 항공업계 전반에서 정보보안 관리 체계에 대한 재점검이 이뤄질 것으로 보인다. 항공사는 여권번호, 생년월일, 탑승 이력 등 민감도가 매우 높은 개인정보를 대규모로 취급하는 산업 특성상, 한 차례의 유출 사고가 장기간 피해로 이어질 가능성이 크다. 특히 이러한 정보는 복구가 어렵고 악용 가능성도 높아 개인정보 보호는 항공사 경영의 핵심 과제로 꼽힌다.

이에 따라 국내 항공사들은 고객 개인정보 보호를 최우선 가치로 두고, 전문적인 정보보호 관리체계를 구축·운영하고 있다는 입장이다.

대한항공은 ISMS(정보보호 관리체계)를 지난해 12월부터 오는 2027년 12월까지 유지하고 있으며, 다양한 정보보호 인증을 통해 관리체계의 신뢰성을 검증해왔다. 특히 지난 10월에는 개인정보보호위원장 직위를 기존 부사장에서 우기홍 부회장으로 격상해 최고경영진이 직접 보안 정책을 총괄하도록 했다.

또 대한항공은 24시간 상시 모니터링 체계를 갖춘 사이버보안관제센터(KE TCC)를 운영하며, 운항·예약·정비 등 주요 시스템에 대한 실시간 점검을 수행한다. 개인정보 암호화·권한 최소화·접속 기록 관리 등 고도화된 보호 체계를 운영 중이다.

여객 수 기준 국적 저비용항공사(LCC) 1위인 제주항공은 최고정보보호책임자(CISO)를 CEO 직속으로 배치해 침해사고 발생 시 법정 신고·고객 통지·취약점 조치·재발 방지를 포함한 5단계 대응 체계를 운영하고 있다. 이와 함께 ISMS 인증을 지속 유지하고 국제 정보보호 경영 시스템 인증(ISO)을 매년 갱신하고 있다.

아울러 제주항공은 정보보호 문화를 기업 전반에 내재화하기 위해 일반 개인정보 보호 교육 외에도 부서와 직급별 맞춤형 전문 교육을 확대 시행하고 있다. 사업장별 보안점검(연 4회), 모의 해킹, 악성 메일 모의 훈련, 사업장 내 임직원 보안 캠페인(연 4회) 개인정보 처리방침 다국어 번역 등 다양한 정보보안 인식 제고 활동을 적극적으로 실시하고 있다.

진에어 역시 개인정보 처리에 관한 업무를 총괄해서 책임지고 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위해 임원급의 개인정보보호책임자를 임명하고 있다. 개인정보보호 규제의 변화에 따라 발생하는 보안 위협을 최소하고 고객 신뢰 확보를 위해 정보보호 중장기 전략을 수립해 운영 중이다.

항공업계 한 관계자는 "항공사는 고객과 임직원의 민감한 개인정보를 대규모로 보유하고 있는 만큼, 보안 사고는 기업 신뢰도에 직접적인 영향을 미친다"며 "이번 일을 계기로 업계 전반에서 기술적 보완뿐 아니라 조직과 문화 차원의 보안 강화가 더욱 중요해질 것"이라고 말했다.