대한항공 임직원 개인정보 3만건 유출, 기내식 협력사 사과(종합)

(서울=뉴스1) 김성식 기자 = 대한항공(003490)의 기내식 협력업체 케이씨앤디(KC&D)서비스가 최근 외부 해커그룹으로부터 해킹을 당하면서 대한항공 임직원들의 개인정보 3만여 건이 유출된 것으로 확인됐다. 이에 KC&D서비스는 대한항공에 피해 사실을 알린 뒤 공식 사과했다.

29일 항공업계에 따르면 이날 KC&D서비스 측은 "이번 사고로 불편과 심려를 끼쳐드린 점을 머리 숙여 사과드린다"며 "회사는 재발 방지를 위해 보안 강화 및 내부 관리 체계 개선에 만전을 기하겠다"고 밝혔다.

대한항공은 지난 2020년 기내식기판사업본부를 사모펀드 운용사 한앤컴퍼니에 분리 매각했다. 이듬해 분사 당시 이관된 회사 서버 내 대한항공 임직원들의 성명과 계좌번호 등 2개 항목의 개인정보 총 3만여 건이 이번 해킹 과정에서 유출된 것으로 알려졌다.

다만 임직원 주민등록번호와 비밀번호는 회사 서버에 저장되지 않아 유출 피해가 없었다. KC&D서비스와 대한항공의 고객 개인정보 역시 유출되지 않았다.

KC&D서비스가 유출 사실을 처음으로 인지한 건 지난 22일이다. 이후 내부 피해 조사를 거쳐 26일에 대한항공 측에 관련 사실을 알렸고 한국인터넷진흥원(KISA)에 신고했다. 기업에서 해킹에 의한 개인정보 유출 사고가 발생할 경우 정보통신망법에 따라 해당 기업은 과학기술정보통신부 또는 KISA에 신고해야 한다.

우기홍 대한항공 부회장도 26일 사내 긴급 공지를 통해 임직원 개인정보 유출 사실을 공유했다. 우 부회장은 "이번 사고가 분리 매각된 외부 협력업체의 관리 영역에서 발생한 것이라 할지라도, 당사 임직원 정보가 연루된 만큼 회사는 이번 사안을 매우 엄중하게 인식하고 있다"고 했다.

이어 "회사는 인지 즉시 서비스 연동 안정성 점검 등 긴급 보안 조치를 완료하고, 관계 기관에 신고를 마쳤다"고 덧붙였다. 그러면서 "현재 정확한 유출 범위와 대상자를 파악하는 데 역량을 집중하고 있다. 2차 피해를 예방하기 위해 회사나 금융기관을 사칭한 이체 요청이나 보안 카드 번호 요구 등 의심스러운 문자나 이메일에 각별히 유의하길 바란다"고 당부했다.

한편 개인정보 유출 책임을 두고 대한항공과 KC&D서비스 간 책임 공방도 이어지는 분위기다. 우 부회장은 임직원 공지에서 '분리 매각된 외부 협력업체의 관리 영역에서 발생한 것'이라고 선을 그었다. 개인정보 관리 책임이 KC&D서비스에 있었던 만큼 유출 책임도 협력업체가 져야 한다는 뜻으로 풀이된다.

그러나 KC&D서비스 관계자는 "KC&D서비스로 전직하는 대한항공 임직원 개인정보만 이관됐어야 하는데, 넘어오지 않아야 할 대한항공 잔류 임직원 개인정보까지 통째로 이관된 것으로 확인됐다"며 "우리는 해당 개인정보 이관을 요청한 적이 없고 정보 제공 사실에 대해 고지받은 바가 없었다"고 말했다.

seongskim@news1.kr