대한항공 B-787-10. (사진=대한항공)
연이은 해킹·유출 사고에 국내 산업계에 빨간불이 켜진 가운데, 민감한 개인정보를 다루는 항공업계도 보안 시스템 강화에 나서고 있다.
10일 업계에 따르면 항공산업은 여권번호와 출입국 이력 등 민감한 데이터를 다루는 특성상 보안 사고가 생길 경우 피해가 여타 산업보다도 클 수 있다는 우려가 나온다.
실제로 지난 8월 국제 항공사 에어프랑스-KLM과 베트남항공은 외부 고객관리(CRM) 시스템 침해로 고객 정보가 유출됐고, 호주 콴타스 항공에서도 콜센터 해킹으로 약 600만명의 개인정보가 빠져나간 것으로 파악됐다.
항공산업은 국내법을 넘어 국제 규범·각 국가별 법이 동시에 적용되는 복잡한 구조를 지녔다. 항공사들은 ICAO(국제민간항공기구) 기준을 기반으로 한 항공안전법·공항시설법·항공사업법을 적용받고, IATA(국제항공운송협회) 권고를 따라 운송약관, 운임정책, 운항·서비스 절차를 설계하게 된다.
또 취항하는 모든 국가의 규제와 정부 간 협정, 국제기구·업계 기준을 모니터링하며 운항·안전·영업 정책을 조정한다. 일례로 미국의 경우 출발 전 승객의 이름·생년월일·여권번호 등을 미국 국토안보부(DHS)에 사전 제출해야 하며, 미 교통안전청(TSA)의 Secure Flight 프로그램 검수를 거치게 된다. 하나의 항공편이 뜨고 내릴 때마다 수십 여개의 규율이 동시에 작동하는, 하늘 위 '데이터 요새'나 다름없는 셈이다.
이에 항공사들은 국제 기업들과 공조해 사업을 전개하고 있으며, 예약·발권·결제 시스템 역시 해외 외부 업체 위탁 방식으로 운영하고 있다. 다만 이 과정에서 외부 공급망에 문제가 발생할 시 덩달아 피해를 입는 구조적인 취약점도 문제로 지적돼 왔다.
대표적인 사례가 지난해 7월 터진 미국 보안업체 크라우드스트라이크 보안 업데이트 오류 사건이다. 해당 기업의 보안 소프트웨어 업데이트 결함으로 글로벌 항공 발권 시스템 '나비테어'가 마비되면서, 국제 항공사는 물론 국내 LCC들도 예약·발권 시스템이 지연되는 사태가 발생한 바 있다.
대한항공, 아시아나항공, 티웨이항공, 제주항공의 정보보호투자액 현황. (사진=KISA 정보보호공시 갈무리)
이에 국내 항공사들은 ISMS 인증 유지와 정보보호 조직 개편을 통해 보안 체계 점검에 나서고 있다. KISA(한국인터넷진흥원) 정보보호공시 기준 지난해 대한항공은 정보보안투자에 139억원을, 아시아나항공 348억원, 제주항공 24억원, 티웨이항공은 10억원을 집행했다.
대한항공은 ISMS(정보보호 관리체계)를 지난해 12월부터 유지하고 있으며, 상시 모니터링 체계를 갖춘 사이버보안관제센터를 운영하고 있다. 지난 10월에는 개인정보보호위원장 직위를 기존 부사장에서 우기홍 부회장으로 격상해 최고경영진이 직접 보안 정책을 총괄하도록 했다.
아시아나항공도 지난 2013년 ISMS 인증 취득 이후 전사 정보보호협의체를 통한 리스크 점검, 악성메일 모의훈련, 임직원 보안교육 등을 실행 중에 있다. 또 정보보안담당을 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)로 지정해 보안 거버넌스를 강화하는 모양새다.
제주항공은 CEO 직속으로 CISO를 두고 CIO, CFO를 비롯한 관련 부서 임원, 정보보호팀장, IT 부서 팀장으로 구성된 정보보호 협의체를 통해 ▲정보보호 전략 수립 ▲보안 이슈 결정 등 보안 거버넌스를 총괄하고 있다. 이와 함께 ISMS 인증을 지속 유지하고 국제 정보보호 경영 시스템 인증(ISO)을 매년 갱신 중이다.
티웨이항공은 회사 직속 안전보안실을 핵심으로 한 전사적 안전관리시스템(SMS)을 기반으로 안전위원회와 소위원회를 통해 보안 거버넌스를 운영한다. 티웨이항공은 ISMS 인증을 지속 유지하는 한편, 지난 6월부터 채용 중인 신임 CISO 인력을 더해 보안 체계를 보강한다는 방침이다.