이 기사는 2025년 12월 08일 08:11 thebell 에 표출된 기사입니다.

항공사 승객의 개인정보를 탈취하면 어디까지 알아낼 수 있을까. 이름과 연락처, 주소 등 일반적인 개인정보부터 여권번호와 주민등록번호는 기본이다. 할랄이나 코셔, 채식 등의 특수식 정보를 토대로 종교나 신념까지 추론할 수 있다. 임산부·휠체어 등의 요청이 있었다면 의료정보까지 파악이 가능하다. 동승자·결제 정보와 출입국 기록은 물론이다. 신분부터 종교까지 포괄하는 하늘 위 데이터센터다.

바꿔 말하면 해커나 정보탈취자들의 좋은 먹잇감이라는 의미다. 심심치않게 항공사 해킹과 개인정보 유출 사고가 발생하고 있다. 규모도 크다. 국내 항공업계의 정보보안 현황을 보면 펜데믹 후 투자액이 점차 상승 추세다. 다만 여전히 대형항공사(FSC)와 저비용항공사(LCC) 사이 격차가 크고 정보보호 투자액의 비중도 높지 못하다.

◇유명인 신상부터 카드 결제정보까지…해커들의 단골 먹잇감

올해 7월 발생한 호주 콴타스 항공 해킹으로 600만명의 개인정보가 탈취됐다. 해커가 콴타스 항공의 콜센터를 공격해 제3자 고객서비스 플랫폼에 접근하면서다. 승객의 이름과 이메일, 전화번호, 생년월일, 마일리지 적립 번호 등이 노출됐다.

10월에는 베트남 항공이 비슷한 공격을 당해 데이터 유출 사고를 공지했다. 에어프랑스-KLM그룹 개인정보 유출 사건도 2025년 발생했다.

정보의 유출 정도가 심각한 사례도 여럿이다. 2023년 대만의 국영항공사 중화항공이 해킹 공격을 받아 당시 차기 대권주자인 라이칭더 부총통과 반도체 제조회사인 TSMC의 창업자 장중머우 등 정·재계 인사들의 개인정보가 빠져나갔다. 2019년 발생한 케세이퍼시픽 정보유출 사건에서는 개인정보 외에 과거 여행기록이 유출됐고 2020년 이지젯 사고에서는 CVV(카드인증값) 번호를 포함한 신용카드 정보까지 도난당했다.

국내 항공사들도 예외가 아니다. 항공업계 정보유출은 발권 시스템 공급사, 콜센터 등 고객 대응부문, 제3자 정보이전 과정에서의 해킹 등 항공사 외부 요인에 따라 발생하는 경우도 빈번하다.

특히 LCC의 경우 외부 판매 채널 비중이 높아 이 부분의 보안도 취약할 가능성이 높다. 2021년 미국 SITA의 데이터센터 해킹이 한 예다. 이 센터가 해킹을 당하며 제주항공과 에어서울·옛 플라이강원 고객이 여권번호 등의 유출 피해를 입었다.

◇투자 규모는 매년 늘지만…국내 평균에도 못 미친다


한국인터넷진흥원(KISA) 2025년 공시에 따르면 대한항공의 2024년 정보보호부문 투자액은 139억원으로 집계됐다. 전체 정보기술부문 투자액이 2595억원으로 이중 5.4%를 보안에 투입했다. 정보보호 부문 전담인력의 비중 역시 5.4%다. KISA의 정보보호공시 현황분석 보고서를 참고하면 대한항공은 국내 항공 운수업계에서 관련 투자액이 가장 많은 기업이다.

FSC와 LCC가 규모의 차이가 있는 만큼 절대 투자액을 비교하는 건 무리다. 하지만 비중으로 봐도 개선의 필요성이 있어 보인다. 제주항공은 같은 기간 정보보호부문 투자액으로 24억원을 썼다. 전체 정보기술부문 투자액 대비 비중은 4.3%다. 다만 정보보호부문 인력의 비중은 12.4%로 비교적 높았다. 티웨이항공은 10억원을 썼고 비중은 3.2%에 그쳤다. 인력 비중은 6.7%다.

정보보호최고책임자(CISO)와 개인정보책임자(CPO)를 구분하지 않거나 구분하더라도 임원이 아닌 실무자만을 배치했다. 대한항공은 정보보안 실장이 두 직책을 겸했다. 제주항공도 마찬가지다. 티웨이항공은 본부장급이 CPO를 맡았으나 CISO는 임원이 아닌 실무자가 담당했다.

항공사의 특성상 이용객의 국적이 다양한 데도 글로벌 평균은 커녕 국내 평균에도 미치지 못하고 있다. 국내 773개 기업의 평균이 6.29%인데 모두 이보다 낮다. 보안 컨설팅 기관 IANS 리서치(IANS Research)와 글로벌 사이버보험 업체 히스콕스(Hiscox) 등에 따르면 북미 등 글로벌 기업들의 IT 예산 대비 보안투자액 비중은 10~11%로 추산된다.

우리나라 법무부와 국제항공운송협회(IATA) 정보 등을 종합하면 탑승객의 승객명단기록(PNR)·출입국 사전정보(API)가 심사관에게 미리 전달된다. 또 유럽연합(EU) 거주자의 데이터가 포함될 경우 일반개인정보보호법(GDPR)의 역외 적용을 받는다. 항공업계가 최소한 글로벌 표준까지는 다가가야 한다는 의미다.

◇통합 FSC·LCC의 대형화…'인증확보·전담조직 운영' 개선 노력

아직 개선 여지가 많지만 투자 금액이 늘고 조직은 선진화되고 있다. 대한항공과 아시아나항공의 합병, 이에 따라 대체항공사로서 항로가 다양해진 제주항공과 티웨이항공은 각각의 변화와 위치에 맞춰 정보보안 체계를 재설계하고 있다.

대한항공의 정보보호 투자액은 2022년 81억원에서 지난해 말 139억원으로 늘었다. 올해 10월부터 이사회 산하의 정보보호·개인정보보호위원회 위원장을 부사장에서 부회장으로 격상시켜 위상을 강화했다. 경영진 최고층이 직접 사이버 리스크를 챙기는 구조다.

대한항공은 대형 항공사답게 선제적으로 정보보안 체계를 갖춘 편이다. 정보보호 관리체계(ISMS)를 취득해 유지하고 있다. 사이버 보안 전담조직(TCC)을 별도로 운영한다.

제주항공과 티웨이항공 등은 핵심 서비스 범위에 대해 ISMS 인증을 유지하고 있다. 제주항공은 지속가능경영보고서에서 ISMS·ISO27001 등 인증 유지와 정보보호 조직 체계를 명시했다. 정보보호 협의체를 구축하고 경영진과 정보보호팀장, IT부서 팀장 등이 참여한 회의를 주재한다.

티웨이항공 역시 2026년 3월까지 유효한 ISMS 인증을 보유 중이다. 티웨이항공은 6월 정보보호 겸 개인정보 보호 최고 책임자(CISO&CPO) 채용 계획을 발표하기도 했다.