대한항공의 기내식 협력업체 KC&D서비스가 외부 해커그룹의 공격을 받아 대한항공 임직원 개인정보 약 3만여 건이 유출된 사실이 확인됐다.

유출된 정보에는 성명과 계좌번호 등 민감 정보가 포함된 것으로 전해졌다.

항공업계에 따르면 우기홍 대한항공 부회장은 지난 26일 사내 공지를 통해 “KC&D로부터 임직원 개인정보 유출 피해 사실을 전달받았다”며 “분리 매각된 외부 협력업체의 관리 영역에서 발생했더라도, 당사 임직원 정보가 연루된 만큼 이번 사안을 매우 엄중하게 인식한다”고 밝혔다.

대한항공은 인지 즉시 서비스 연동 안정성 점검, 긴급 보안 조치, 관계 기관 신고를 마쳤고, 현재 정확한 유출 범위와 대상자 파악에 역량을 집중하고 있다고 설명했다.

이번 사안의 본질은 ‘외부 협력사 사고’라는 프레임으로는 설명되지 않는다. 

대한항공은 2020년 기내식 부문을 사모펀드 운용사 한앤컴퍼니에 분리 매각했다. 그럼에도 분리매각 당시 회사 서버에 남아 있던 임직원 개인정보가 수년간 잔존했고, 이번 해킹으로 유출됐다는 점은 데이터 이관·파기 원칙의 부재, 접근통제·암호화 미흡, 사후 점검 실패를 동시에 드러낸다. 

보안 업계에서는 “분리매각이 이뤄졌다면 개인정보는 완전 삭제 또는 비가역적 익명화가 원칙”이라며 “장기 잔존은 명백한 거버넌스 공백”이라고 지적한다.

대한항공은 “외부 협력업체의 관리 영역”을 강조했지만, 개인정보의 최초 수집자이자 관리 책임의 최종 주체가 누구인지에 대한 질문은 여전히 남는다. 

특히 계좌번호 등 2차 피해(금융사기·피싱)로 직결될 수 있는 정보가 포함됐을 가능성이 제기되면서, 피해자 통지의 신속성, 금융 모니터링 제공 여부, 실질적 보상·구제 계획이 충분한지에 대한 검증이 불가피하다.

법·제도적 쟁점도 뚜렷하다. 개인정보 보호 체계상 보유기간 초과 데이터의 즉시 파기 의무, 위탁·이관 시 기술·관리적 보호조치, 침해 발생 시 신속 통지와 피해 최소화는 기본 의무다. 

위반이 확인될 경우 과징금·과태료, 시정명령, 나아가 민사상 손해배상 논의로 이어질 수 있다. 감독당국의 조사 범위는 분리매각 이후 잔존 데이터 관리 전반으로 확대될 가능성이 크다.

회사 측은 “고객 정보는 안전하다”고 선을 그었지만, 임직원 3만명 규모의 유출 자체가 기업 보안 체계 전반의 취약성을 드러냈다는 점에서 사안의 무게는 가볍지 않다. 분리매각 이후 보안 책임 설계의 공백, 형식화된 협력사 보안 감사, 장기 잔존 데이터 관리 실패가 겹친 결과라면 이는 단발 사고가 아닌 구조적 리스크다. 

왜 분리매각 후에도 개인정보가 서버에 남아 있었는지, 누가 어떤 기준으로 얼마나 오랫동안 접근 가능했는지, 암호화·접근통제·로그 관리가 실제로 작동했는지, 피해자 보호 대책은 충분한지, 재발 방지책은 선언이 아닌 실행인지

이 모든 질문에 투명한 공개와 실효적 조치가 뒤따르지 않는다면 신뢰 회복은 요원하다.