[토요경제 = 이강민 기자] 대한항공씨앤디서비스(이하 KC&D)가 해킹을 당해 대한항공의 정보가 유출됐을 가능성을 사전 인지하고도 대한항공이 이 사실을 뒤늦게 공개했다는 비판에 직면했다.

▲ 대한항공 B787-10/사진=대한항공

30일 업계와 본지 취재에 따르면 대한항공은 전날(29일) 오전 사내 공지를 통해 ‘임직원의 개인정보 유출 사고’를 알렸다.

대한항공은 통지문에서 “기내식과 기내 판매 제품을 납품하는 KC&D가 최근 외부 해커그룹의 공격을 받았고, 이 과정에서 해당 업체의 서버에 저장된 당사 임직원들의 성명·계좌번호 등 개인정보가 유출된 것으로 파악됐다”고 밝혔다. 회사는 서비스 연동 안정성 점검 등 즉각적인 긴급 보안 조치와 함께 관계기관에 신고도 마쳤다”라고 덧붙였다.

KC&D 역시 이날 외부 해킹 공격을 받아 서버에 저장돼 있던 대한항공 임직원의 일부 개인정보를 유출 당한 점을 공개했다.

과거 대한항공의 자회사였던 KC&D는 2020년 분리 매각돼 현재는 사모펀드 한앤컴퍼니가 운영하고 있다. 이번에 유출된 정보는 KC&D가 대한항공에서 분리되기 이전인 2020년 12월 생성된 데이터로 분사 과정에서 삭제되지 않고 남아있던 과거 시스템 자료로 추정된다.

KC&D 측은 “분리 매각 당시 자사로 전직한 임직원 정보만 이관해야 했으나 이전을 요청하지 않은 일부 정보가 함께 남아 있었고 양측 모두 해당 사실을 인지하지 못했다”고 설명했다.

비판이 나오는 이유는 사고 인지 시점과 대외 공개 시점 사이의 상당한 시차다.

KC&D에 따르면 회사는 지난달 22일 다크웹 게시글에서 해외 해킹 조직이 자사와 관련된 정보를 보유하고 있다는 주장을 통해 해킹 가능성을 처음 인지했다.

KC&D는 즉시 대한항공과 협조해 외부 접속 차단과 내부 조사 착수 등 긴급 조치를 진행했고 관련 사실을 관계 당국에 신고했다.

두 회사는 추가 분석을 거쳐 지난 22일 실제 개인정보 유출 여부와 피해 범위를 최종 확인됐다. 하지만 대외 공개는 이보다 4일 뒤인 26일에야 공개했다. 해킹 사고 가능성을 인지한 지 36일 만이다.

업계에서는 법적 의무 이행 여부와 별개로 KC&D와 대한항공이 사고 사실을 11월부터 알고 있었음에도 설명과 공지에는 소극적으로 대응했다는 점을 문제로 지적한다. 특히 사고 발생 이후 한 달이 지나서야 피해 정보 유출 범위를 확인한 것도 “납득하기 어렵다”는 것이다.

해킹사고에 대해 두 회사가 공동으로 대응하고 있었던 만큼 대외 커뮤니케이션에서도 보다 선제적인 공개가 이뤄지지 않았다는 점에서 ‘투명성 부족’이라는 비판이 나온다.

다만 현재까지 금전적 피해나 2차 피해 사례는 접수되지 않은 것으로 전해졌다.

KC&D는 보안 강화 조치와 함께 침해 경로와 사고 원인에 대한 조사를 이어가고 있으며 재발 방지를 위한 내부 관리 체계 개선에 나서겠다는 입장이다.

대한항공은 “KC&D에 대해 사고 경위 분석과 재발 방지 대책 마련을 적극 요청하고 있으며 당사 역시 개인정보 보호 태세를 더욱 강화할 계획”이라고 설명했다.

KC&D 관계자는 “재발 방지를 위해 보안 강화 및 내부 관리체계 개선에 만전을 기하겠다”며 “이번 사고로 불편과 심려를 끼친 점에 대해 다시 한번 깊이 사과드린다”고 말했다.

토요경제 / 이강민 기자 lgm@sateconomy.co.kr 

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]