이 기사는 2025년 12월 08일 08:11 thebell 에 표출된 기사입니다.

대한항공이 정보보호 투자와 전담 인력을 꾸준히 늘리며 보안 거버넌스를 강화하고 있다. 항공업특성상 개인정보를 수집하고 국외 등 제3자에게 이전되는 만큼 정보보안에 적극적으로 대응하고 있다.

특히 아시아나항공과 통합 항공사 출범을 앞두고 있는 만큼 기존 임지영 정보보안실장을 아시아나항공에 파견해 보안 체계를 구축하는 데 힘쓰고 있다. 이에 대한항공 정보보호최고책임자(CISO)·개인정보 보호책임자(CPO)는 최희정 IT전략실장이 맡는다. 대한항공은 개인정보위원회 위원장을 기존 부사장에서 부회장으로 격상시키는 등 보안 리스크에 선제적으로 대응할 계획이다.

◇지난해 정보보호 투자액 100억원 돌파

한국인터넷진흥원 정보보호 공시에 따르면 대한항공의 정보보호 투자액은 2022년 81억원에서 2023년 105억원, 2024년 139억원으로 매해 증가하고 있다. 개인정보 수집 및 출입국 과정에서 제 3자 또는 국외로 개인정보 이전이 이뤄지는 항공업은 정보보호 공시 의무 대상이다.

국내 1위 국적항공사인 대한항공은 규모에 걸맞게 가장 많은 정보보호 투자규모를 자랑한다. 전체 IT 투자액 대비 비중 역시 2024년 기준 5.4%를 기록했다. 인력도 충원하고 있다. 정보기술부문 인력과 정보보호부문 전담 인력은 매해 늘어나고 있다.

2023년 685명을 기록했던 IT 부문 인력은 2024년 718명으로 증가했고 같은 기간 정보보호부문 전담 인력 역시 33명에서 35명으로 늘었다. 정보보호부문 전담 인력 비중도 2024년 5.4% 수준을 유지하고 있다. 이를 통해 2022년부터 2024년까지 고객 개인정보 유출 신고 건수는 0건을 기록했다.


특히 대한항공의 '2025 지속가능경영보고서'에 따르면 대한항공은 ISMS(정보보호 관리 체계)·PCI-DDS(국제 신용카드 결제 데이터 보안 표준) 등을 비롯해 글로벌 정보보호 표준 조건을 충족하고 있다. 이를 바탕으로 한국인터넷진흥원이 선정한 정보보호 투자 우수 기업으로 선정되기도 했다.

대한항공은 사이버 보안센터(KE TCC)도 운영하고 있다. IT 정보 자산의 안정성을 위협하는 사건 등에 신속하게 대응하기 위해서다. 국내외 긴급 보안 취약점을 식별하고 보안전문기업에 위탁을 맡겨 모의해킹 등 주기적인 악성 메일 모의훈련도 실시한다.

글로벌 컴플라이언스도 준수한다. 유럽연합(EU) 일반 개인정보보호법, 중국 데이터 3법 등 각국의 주요 개인정보 보호 규정을 지키고 있다. 특히 2024년 9월에는 중국 데이터 3법에 대응하기 위해 중국 국외 이전에 관한 표준 계약을 체결했고 중국 정부로부터 최종 승인을 받았다.

◇최희정 IT전략실장 'CISO·CPO' 겸직

대한항공은 법적 자격요건을 갖춘 임원급 인력이 정보보호최고책임자(CISO) 겸 개인정보보호책임자(CPO)로 자리하고 있다. 정보보호·개인정보보호위원회를 운영해 법적 리스크를 관리하고 개인정보책임자협의회(K-CPO) 회원사로도 참여한다.

가장 큰 특징은 대한항공과 아시아나 통합 과정에서 대한항공 정보보안을 총괄해 온 임지영 항공보안실장 상무를 아시아나로 파견했다는 점이다. 인력과 개인정보 측면에서도 통합 보안 기준과 시스템을 갖추기 위한 조치다.


임 상무는 1975년생으로 경찰대 법학과를 졸업했다. 로스쿨 교수 출신으로 대한항공 정보보안실장을 맡았던 그는 올해 8월부터 아시아나항공 항공보안실장으로 이동했다. 그의 이동에 따라 최희정 IT전략실장 상무가 현재 대한항공 CISO와 CPO를 겸직하고 있다.

또한 대한항공은 지난 10월부터 정보보호·개인정보보호위원회 위원장을 기존 유종석 부사장에서 우기홍 부회장으로 격상시켰다. 대한항공 관계자는 "전사적인 역량과 자원을 투입해 개인정보보호 리스크에 선제 대응할 예정"이라고 말했다.