이 기사는 2025년 12월 09일 08:09 thebell 에 표출된 기사입니다.

티웨이항공은 우리나라 두 곳의 대형 항공사(FSC) 합병에 맞춰 신규진입항공사(Remedy taker)로 선정됐다. 유럽노선까지 중장거리 비행길을 열면서 항공사로서 갖춰야할 역량도 확대됐다. 기종이나 기단은 물론 안전까지 범위가 넓다.

티웨이항공은 정보보안 부문의 선진화를 위해 노력 중이다. 정보보호 공시를 통해 투자금과 인력을 공개하고, 자체 개인정보 처리방침에서 개인정보 보호책임자(CPO)와 데이터 보호책임자(DPO)를 각각 구분해 명시했다.

다만 국내 대형 FSC는 물론 저비용 항공사(LCC)와 견줘도 낮은 정보보안 투자 비중과 절대금액은 개선해야할 숙제다. 현재 진행 중인 채용 절차를 통해 신임 CISO 등 인력을 더하면 추가적인 개선이 기대된다.

◇유럽노선 취항 2년차 "사업 확장, 정보보안 보강 중"

티웨이항공이 정보보안 관련 투자를 늘려야 하는 이유는 뚜렷하다. 몸집이 LCC를 넘어 FSC에 가까워지고 있어서다. 주요 이용객의 국적이 다변화됐고 선진국의 기준도 충족해야 한다.

대한항공과 아시아나항공의 합병에 따라 공정거래위원회와 각국 경쟁당국이 노선 재배치 등을 요구했고 국내 항공사들이 대체항공사의 기회를 잡았다. 티웨이항공은 그중에서도 유럽 노선을 얻어내면서 주력 무대를 아시아권에서 유럽으로 확대했다. 캐나다 등 북미노선에도 도전했다.


현재 아시아나항공이 가입 중인 스타얼라이언스 합류도 타진 중이라고 전해진다. 스타얼라이언스는 글로벌 항공 동맹체로 루프트한자, 싱가포르항공, 전일본공수(ANA) 등이 소속돼 있다. 내년 상반기 사명을 트리니티항공으로 바꾼다는 계획도 내놨다.

6월 대명소노그룹이 공정거래위원회로부터 티웨이항공과의 기업결합승인을 받으며 거버넌스가 교체됐다. 대한항공 출신의 베테랑 이상윤 대표도 새로 부임했다. 대형화 변화의 한복판에 서 있는 셈이다. LCC에 만족할 수 없다는 의지가 읽힌다.

발맞춘 정보보안 투자 확대 의지도 전했다. 티웨이항공 관계자는 "사업 확장으로 노선과 디지털 서비스인 웹, 앱, 결제, 제휴 등이 늘어나면서, 정보 보호와 개인정보 보호 수준을 더 높이고 있다"고 설명했다. 또 "고객 정보 보호를 최우선 가치로 정보보호 정책을 시행하며, 내부 기준을 지속적으로 고도화하고 관련 법규를 엄격히 준수하겠다"고 답했다.

◇'CISO&CPO' 전문인력 확보 중…CPO·DPO 별도 선임

인사 계획으로 변화가 읽힌다. 티웨이항공은 최근 경력직 기장과 신입 정비사 등 인력 확보 계획을 밝혔다. 이와 함께 베테랑 CISO&CPO 직무의 적임자도 찾고 있다.

티웨이항공은 개인정보보호 업무 경력 2년 이상을 포함한 정보보호 업무 경력 10년 이상의 경력직을 조건으로 제시했다. 정보보호 관련 인증, 침해사고 대응, 클라우드 보안 관련 업무 경력이 응시 자격이다. 티웨이항공 관계자는 "정보 보호와 개인정보 보호 수준을 더 높이기 위해 전문 책임자 인력을 보강하는 것"이라고 말했다.

또 개인정보 처리방침을 통해 CPO와 DPO를 확인할 수 있다. 서동빈 총괄임원이 CPO를, 조정현 TIS CM이 DPO를 담당한다. 최신 인력 현황이라고 티웨이항공 관계자는 답했다.


티웨이항공은 이처럼 책임자 지정을 완료하고 개인정보 처리방침에도 담당 부서와 연락처를 명시해 두고 있다. 홈페이지 상에는 IBS, OCI, AWS 등 개인정보 처리 위탁 업체와 결제사 등을 비교적 상세히 공개했다.

한국인터넷진흥원(KISA) 공시에 따르면 정보보호 관련 인증으로는 개인정보 관리체계 인증 제도(ISMS), 국제표준인 ISO/IEC 27001:2022, 글로벌 카드사 표준인 PCI-DSS 등을 획득했다. 중국 개인정보 역외이전 안전평가 등의 평가와 점검도 시행했다.

다만 티웨이항공은 지속가능경영보고서를 발간하지 않아 정보보안 거버넌스가 어떻게 구축돼 있는지 구체적으로 파악하기 어려웠다. 외부인인 투자자나 고객이 정보를 확보하기 쉽지 않다는 이야기다.

◇투자금은 늘었지만 개선 여지…멤버십 '티웨이플러스' 보안도 관건

LCC중에서는 제주항공과 함께 의무공시 기업에 포함돼 있다. 티웨이항공의 정보보호부문 투자액은 약 10억원으로 집계됐다. 전체 정보기술부문 투자액인 약 317억9000만원 대비 3.2% 수준으로 우리나라 기업 평균인 6.29%의 절반 수준이다. 절대 금액도 제주항공의 절반에 그쳤다. 정보기술부문 인력 대비 보호전담 인력의 비중은 6.7%로 준수했다.

하지만 절대 투자금액은 2023년 이후 매년 성장 중이다. 비중이 줄어든 건 2024년 유럽 항로를 추가하면서 정보기술부문 투자액이 크게 늘어난 데에 따른 것으로 보인다. 2022년 3억5000만원에서 2023년 7억3000만원, 지난해 10억원이다. 이 기간 정보기술부문 전체 투자액은 113억6000만원, 155억7000만원, 317억9000만원으로 가파르게 증가했다.


또 하나의 관건은 티웨이항공의 멤버십 서비스를 주관하는 자회사 티웨이플러스의 보안이다. 가입자는 이름과 생년월일부터 본인확인정보(DI), 거주지역, 웹사이트 및 앱 방문이력 등이 수집된다. 개인정보 관리자는 티웨이항공과 같다. 같은 수준의 보안 체계를 구축한 것으로 해석된다.

티웨이항공이 대명소노그룹 편입 후 서비스의 확대재편과 조직개편을 병행하고 있는 점을 감안하면 보안 체계도 그룹의 차원에서 다시 설계할 필요가 있다. 항공 운송과 여행, 리조트를 아우르는 그룹으로 재편되는 만큼 ISMS 인증과 정보보호 공시를 단일 회사의 최소 요건이 아니라 그룹 공통 기준으로 끌어올려야 한다.

정보기술 예산 대비 정보보호 투자 비중을 확대하는 한편 임원급 CISO와 CPO를 분리해 이사회 상설 안건으로 다루는 구조가 함께 뒷받침돼야할 것으로 분석된다.