| 서울=한스경제 박정현 기자 | 지난해 국내 대표 항공사들의 정보보호 투자 규모가 오히려 감소한 것으로 나타났다. 예약·결제 정보와 여권 정보, 마일리지 등 민감한 개인정보를 대규모로 보유하는 항공업 특성을 고려하면 보안 투자를 확대해야 한다는 지적이 나온다.
7일 한국인터넷진흥원(KISA)에 공시된 각사의 '2025년 정보보호 공시'에 따르면 국내 1위 대형항공사(FSC) 대한항공의 지난해 정보보호 투자액은 134억원으로 전년(139억3000만원)보다 3.8% 감소했다. 국내 1위 저비용항공사(LCC) 제주항공도 22억4000만원으로 전년(23억9000만원)보다 6.3% 줄었다.
항공사는 예약과 결제 정보는 물론 여권 정보와 마일리지 등 민감한 개인정보를 대량으로 보유하는 산업이다. 최근 랜섬웨어와 개인정보 유출 사고가 잇따르면서 정보보호는 기업 신뢰와 서비스 경쟁력을 좌우하는 핵심 요소로 떠올랐지만, 업계 1위 사업자들의 투자 규모는 오히려 뒷걸음질친 셈이다.
국내 주요 항공사 가운데 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)를 분리 운영하는 곳도 없는 것으로 나타났다.
▲ FSC·LCC 1위도 보안 투자 줄였다
통상 정보보호 투자에는 인건비를 비롯해 자료 유출 방지 및 침입 차단을 위한 정보보호 시스템 구축·운영비, 외주 용역비, 디도스(DDoS) 공격 대응을 위한 전용회선 이용료 등이 포함된다.
대한항공은 "해외 탑승객 증가와 아마데우스(Amadeus) 등 시스템 사용료 및 환율 상승으로 정보기술 투자액은 전년 대비 21.4% 증가했지만, 통합 보안관제 비용 가운데 아시아나항공 부담분을 제외하면서 정보보호 투자액은 3.8% 감소했다"고 설명했다.
대한항공과 아시아나항공은 통합 보안관제를 2025년 10월부터 시행 중이다. 대한항공 공시에서 반영되던 통합 보안관제 비용 부담분이 올해부터 아시아나항공 측으로 반영됨에 따라 기술투자 대비 정보보호 투자 비중은 5.4%에서 4.3%로 하락했다.
반면 아시아나항공은 지난해 정보보호 투자액이 61억4000만원으로 전년(34억9000만원)보다 76.1% 증가했고, 정보보호 인력도 15.5명에서 16.6명으로 늘었다.
다만 양사의 통합 효과를 감안해도 보안 투자 비중은 확대되지 않았다. 대한항공과 아시아나항공의 정보보호 투자액을 합산한 기술투자 대비 정보보호 투자 비중은 지난해 4.29%로 전년(4.53%)보다 0.24%포인트 하락했다. 투자 주체가 일부 아시아나항공으로 이동한 점을 고려하더라도 통합을 앞두고 보안 투자 강도가 높아졌다고 보기는 어렵다는 분석이다.
제주항공도 지난해 정보보호 투자액이 22억4000만원으로 전년보다 감소했고 정보보호 인력 역시 16.6명에서 15.5명으로 줄었다. 지난해에는 CISO가 주요 활동 2건을 수행했지만 올해 공시에서는 관련 활동 실적이 없었다.
다만 제주항공은 LCC 가운데 가장 많은 금액을 정보보호에 투자하고 있으며 인력 규모도 가장 큰 수준이다. 지난해 항공운송사업 매출은 약 1조5000억원으로 진에어(약 1조2900억원), 트리니티항공(1조6330억원)과 비슷하다.
제주항공 관계자는 "당사는 LCC 평균 정보보호전담인력 5.9명 대비 약 10명 더 많은 15.5명을 운영 중"이라고 설명했다.
반면 티웨이항공은 정보보호 투자액이 10억1000만원에서 13억원으로 29% 증가했지만 기술투자 증가폭이 더 커 기술투자 대비 정보보호 투자 비중은 3.2%에서 2.8%로 낮아졌다. 정보보호 인력도 6.2명에서 5.5명으로 감소했다.
티웨이항공은 13억원으로 전년 10.1억원 대비 보안투자가 29% 증가했지만 기술투자 대비 보안투자 비중을 계산했을 때는 되려 3.2%에서 2.8%로 감소했다. 보안인력은 6.2명에서 5.5명으로 줄었다.
다른 항공사들은 보안 투자 확대 기조를 이어갔다. 진에어는 정보보호 투자액을 7억1000만원에서 8억7000만원으로 22.9% 늘렸고 정보보호 인력은 5.5명을 유지했다.
에어부산은 지난해 정보보호 투자액을 11억2000만원에서 14억9000만원으로 33.4% 확대했고 정보보호 인력도 6.1명에서 6.6명으로 늘렸다.
에어부산의 경우 지난 3월 사업보고서를 통해 정병섭 에어부산 대표가 개인정보 보호를 경영 핵심 과제로 제시하기도 했다.
정 대표는 "민감하고 방대한 개인정보를 다루는 항공업 특성상 개인정보 유출은 회사의 존립 기반을 흔들 수 있다는 사실을 임직원 모두 명확하게 인식하고 있다"며 "편의와 관행이 원칙을 앞서지 않도록 철저히 점검하고 고객과 임직원의 개인정보 관리 및 보호 체계를 한층 고도화해 나가겠다"고 밝혔다.
▲ 예약·여권정보 보유한 항공업계, 보안 경쟁력 강화 과제로
실제 항공업계를 겨냥한 해킹 위협은 지속되고 있다. 대한항공은 지난해 말 협력사 KC&D서비스가 해킹 공격을 받아 과거 대한항공 임직원 일부의 개인정보가 유출되는 사고를 겪었다. KC&D서비스는 2020년 대한항공 자회사에서 분리 매각된 별도 법인이지만 대한항공은 "매우 엄중하게 인식하고 있다"며 보안 대응에 나섰다.
지난 2023년에는 대만 국영항공사 중화항공도 해킹 공격을 받아 차기 부총통과 TSMC 창업자 등 정·재계 인사의 개인정보가 유출됐다. 당시 해커는 약 300만명의 데이터베이스를 추가 공개하겠다고 협박한 것으로 알려졌다.
업계에서는 예약·결제 정보와 여권 정보, 마일리지 등 민감한 개인정보를 대규모로 보유한 만큼 디지털 서비스 확대와 함께 정보보호 투자 역시 지속적으로 강화해야 한다는 목소리가 나온다.
이에 따라 항공업계는 디지털 서비스 확대와 함께 정보보호 역량 강화가 필수 과제가 되고 있다는 입장이다.
에어부산 관계자는 "방대한 고객 정보를 다루는 항공업 특성상 개인정보 보호는 고객 신뢰와 직결되는 핵심 과제"라며 "앞으로도 철저한 보안 체계 구축과 관리, 대응을 통해 정보보호 수준을 지속적으로 높여 나가겠다"고 말했다.
제주항공 관계자는 "당사는 AI를 활용한 정보보호 관제 자동화 확대로 인력 효율성을 향상시키고 있다"며 "정보보호 인력은 하반기 충원을 계획 중"이라고 전했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.