이 기사는 2025년 12월 08일 08:09 thebell 에 표출된 기사입니다.

제주항공의 정보보안 체계는 외형적 틀은 갖춰져 있지만 투자 기조·우선순위·담당자 직급 체계에서 등락이 반복되는 구조적 한계가 뚜렷하게 드러난다. 정보보호·개인정보보호 이슈의 ESG 중대성 평가 순위도 1년 사이 7위에서 10위로 밀려나는 등 전략적 중요도가 후퇴한 흐름이 관찰된다.

특히 26년 경력의 전문 CISO·CPO가 올해 물러나고 부장급 실무진이 후임 자리를 맡은 점은 보안 거버넌스의 전문성·독립성 측면에서 우려스러운 대목으로 꼽힌다.

제주항공의 정보보안 투자와 인력 규모는 해마다 들쭉날쭉한 흐름을 보인다. 투자액은 2021년 15억1000만원, 2022년 27억8300만원, 2023년 19억3800만원, 2024년 23억8900만원으로 등락을 반복했다. 같은 기간 정보보호·정보기술(IT) 투자 비율은 2021년 7.3%에서 2022년 3.5%로 급감한 뒤 2023년 3.7%, 2024년 4.3%로 소폭 반등했다.

인력 측면도 비슷하다. 정보보안 인력은 2021년 13.9명(정보보안·IT 인력 비율 13.%)에서 2022년 16.3명(15.3%)으로 늘어난 뒤 2023년 16.0명, 2024년 16.5명으로 16명대를 유지하고 있다. 숫자만 보면 일정 수준 이상을 유지하고 있지만 투자 규모와 마찬가지로 명확한 확장 기조를 만들었다고 보긴 어렵다.


정보보안 분야에서 경력을 쌓은 전문가가 올해 정보보호최고책임자(CISO)·개인정보최고책임자(CPO) 자리에서 물러난 점은 보완해야 할 과제다. 제주항공의 CISO와 CPO를 맡아온 이혁중 정보보호실장(상무보)는 지난 8월 31일부로 퇴임했다.

인하대 산업공학과 학사, 포항공과대학교 정보통신학 석사 학위를 보유한 이 상무보는 현대차 펜타시큐리티, 에스티지시큐리티, SK쉴더스, 유넷시스템, 삼성SDS, 넥슨, 엔씨소프트 등에서 26년 동안 정보보안 실무를 맡아온 보안 전문가다. 제주항공은 정보보호실장 자리를 IT본부 팀장 출신 부장급 실무진으로 채운 것으로 전해진다.

제주항공의 2025년 ESG 보고서에서 정보보호와 개인정보보호는 중대성 평가 결과, 14개 항목 가운데 우선순위 10위다. 정보보안 관련 이슈가 안전·서비스·재무성과 등 다른 이슈보다 후순위에 배치됐다는 의미다. 2024년 보고서에서 정보보호 관련 항목이 16개 항목 중 7위였던 점을 감안하면 한 해 만에 3계단 내려앉은 셈이다. 항목 수가 줄어든 상황에서도 순위가 밀렸다는 점까지 고려하면 정보보안의 전략적 우선순위가 중위권에서 하위권으로 내려간 것으로 해석된다.

거버넌스 구조 자체는 갖춰놓았다. 이사회 산하 경영위원회가 정보보안 시스템 개선 등 관련 안건을 심의한다. 사내 임원, 실무진 가운데 CEO와 CISO, CIO, CFO를 비롯해 관련 부서 임원, 정보보호팀장, IT부서 팀장으로 구성된 정보보호 협의체도 두고 있다. 이 협의체가 정보보호 전략을 수립하고 주요 보안 이슈를 결정하는 등 회사 전반의 정보보호 거버넌스를 총괄하는 구조다.

실무 프로세스도 마련돼 있다. 제주항공은 매년 정보 자산의 위험 영향과 발생 빈도를 분석해 보호 대책을 수립·관리하는 위험 평가를 시행한다. 상세 평가, 기준선 평가, 전문가 판단, 국제표준(ISO 31000) 기반 통합 평가 등을 병행해 정보보호 취약성을 진단하고 개선 대책을 세운다는 설명이다.

또 비즈니스와 IT 현황, 각 부서 요구사항을 반영해 연간 계획을 수립하고, 통합 보안 플랫폼을 구축해 ID·엔드포인트·전자 메일·데이터·네트워크·저장소·클라우드·애플리케이션 등 전 계층에서 발생하는 사이버 위협과 침해 사고에 대응하는 체계를 정비하고 있다.