[기자수첩] 항공사 ‘개인정보유출’ 계속…예방책 마련해야
스크롤 이동 상태바
[기자수첩] 항공사 ‘개인정보유출’ 계속…예방책 마련해야
  • 김자영 기자
  • 승인 2022.03.24 17:08
  • 댓글 0
이 기사를 공유합니다

2021년 아시아나항공·에어서울·제주항공 개인정보 유출
피해 규모 대비 제재 미미…후속 조치·예방책 마련 필요

[시사오늘·시사ON·시사온= 김자영 기자]

ⓒ개인정보보호위원회
ⓒ개인정보보호위원회

항공사의 고객 개인정보 유출사고가 작년 한 해 네 차례 이상 발생했지만 사고후 조치나 예방책 마련에는 미온적인 것으로 나타났다. 국내법상 개인정보유출 피해 규모에 비해 제재가 미미해 항공사가 사태의 심각성을 제대로 파악하지 못하고 있다는 지적이다.

최근 개인정보보호위원회는 작년 10월 아시아나항공에서 발생한 개인정보 유출 사건 관련 과징금 처분을 내렸다. 사건이 발생한지 이미 반년이 지난 만큼, 항공사 차원에서 후속 조치에 대한 논의가 이뤄졌을것으로 예상하고, 어떤 해결책이 마련됐는지 물었다.

그 결과, "개인정보 유출사고 발생 때문은 아니지만 항공권예약발권 및 탑승 시스템 서비스 제공 운용사를 교체하는 일이 있었다"며 "그 이후로 같은 문제가 발생한 적은 없으며 관련 문제가 발생하지 않도록 신경쓰고 있다"는 답변이 돌아왔다. 사실상 구체적인 후속 조치라고 볼 대응은 없는 셈이다. 

지난해 1월 20일부터 2월 11일 사이 SITA 시스템이 사이버 공격을 받아 제주항공·에어서울·아시아나항공·플라이강원 이용 고객 중 일부 결제정보가 유출되는 사건이 있었다. SITA는 전세계 주요 항공사에 항공권예약발권 및 탑승을 위한 시스템 서비스를 제공하는 회사로, 데이터 저장 위치는 미국이다. 당시 여권번호를 비롯해 생년월일, 성별, 국적, 휴대 전화번호 등 민감한 고객 정보도 일부 포함되며 논란이 됐다.

아시아나항공은 SITA 여객 서비스 시스템을 사용하고 있지 않지만, 에어 캐나다·에어 인디아 등을 비롯한 26개사 항공연합 '스타얼라이언스' 소속이다. 스타얼라이언스 소속 항공사들은 항공사간 우수회원 확인을 위해 정보를 공유한다. 아시아나항공은 그중 SITA 시스템을 이용하는 항공사로 인해 유출된 것으로 파악했다고 설명했다. 인도 최대 항공사인 에어 인디아에서 작년 2월 발생한 SITA 사이버 공격으로 약 450만 명에 달하는 고객 개인정보가 유출된 바 있다. 

제주항공은 개인정보 유출 사고 당시 직접 피해대상 고객에만 메일 등을 통해 개별 안내했다. 이 과정에서 '메일 확인을 하지 않는 사람은 피해 사실을 모르고 지나갈 수 있지 않냐', '메일을 통해서도 어떤 정보가 유출됐는지 구체적으로 안내하지 않았다'는 비판을 받기도 했다. 고객에게 2차 피해 예방을 위해 유출 여부 확인 후 카드정지 또는 재발급 및 결제알림서비스를 가입하라고 당부했을 뿐 구체적인 보상책은 없었다. 현재 아시아나 항공을 제외한 해당 항공사 홈페이지에서는 개인정보 유출 관련 공지사항도 확인할 수 없다. 

이로부터 반년 가량 지난 10월, 아시아나항공에서 또다시 탑승객 개인정보 유출 사고가 발생했다. 유출된 정보는 OZ234 항공편을 이용해 중국 청두-인천 노선을 이용한 198명의 영문성명, 생년월일, 예약번호다. 아시아나 측은 금융정보와 연락처정보는 유출되지 않았다고 설명했다. 이로 인해 아시아나 항공은 개인정보보호위원회로부터 과태로 480만 원을 부과받았다. 

2016년 7월, 2017년 2월에도 해킹, 개인정보 유출 등의 일이 발생한 바 있다. 이처럼 크고 작은 개인정보 유출 위험이 끊이지 않고 발생하고 있지만 명확한 해결책은 여전히 마련되지 않은 상태다. 

국내 개인정보 유출 사고 처벌은 해외에 비해 제재가 약하다. 국내에서는 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공하거나 목적외 이용, 유출한 경우 5년이하의 징역이나 5000만 원 이하의 벌금에 처해진다. 하지만 아직까지 최대 형량이 부과된 적은 없다. 실제 개인정보유출 사고의 고의성 판단, 실제 피해여부 확인에 한계가 있기 때문이다. 때문에 이용객 개인이 위험 부담을 감수하거나 회원탈퇴 또는 정보변경, 알림서비스 가입 등 2차 피해 예방 수단을 강구해야하는 실정이다.

해외는 상황이 다르다. 2018년 8월 영국항공 고객 50만 명 정보 유출 사고가 발생했을 당시 영국 정보위원회 ICO는 영국이 속한 유럽연합 일반 개인정보보호법 위반으로 약 2700억 원의 벌금을 부과했다. 

사고를 줄이기 위해 제재를 강화하지 않으면, 피해는 서비스 이용객 몫이다. 개인정보가 인터넷을 통해 국내를 넘어 해외로 쉽게 유출될 수 있는 만큼 개인정보보호법도 글로벌 수준에 맞춰 변화해야 한다. 개인정보유출이 빈번하게 일어나고 있는 항공사도 문제의 심각성을 인식해야 할 때다. 

담당업무 : 정치부 기자입니다.
좌우명 : 생각대신 행동으로 하자

관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.