[뉴스스페이스=이승원 기자] 대한항공의 기내식 협력업체 케이씨앤디서비스(KC&D)가 최근 외부 해커 공격을 받아 약 3만명의 대한항공 임직원 개인정보가 유출되는 사고가 발생했다. 이는 지난 24일 아시아나항공에서 임직원 및 협력사 1만여명의 정보가 유출된 데 이은 항공업계 두 번째 보안 참사로, 공급망 보안 취약성이 부각되고 있다.

대한항공 현직 및 퇴직자의 성명·계좌번호 포함 3만건 노출

KC&D 서버에 저장된 대한항공 현직 및 퇴직 임직원들의 성명, 연락처, 계좌번호 등 약 3만건의 개인정보가 해킹으로 유출된 것으로 확인됐다. KC&D는 2020년 12월 대한항공의 기내식 사업부가 사모펀드 한앤컴퍼니에 약 1,000억원에 분리 매각된 후 독립 운영 중이었으나, 매각 당시 이전되지 않은 과거 데이터가 서버에 잔존해 이번 사고의 원인이 됐다. 다만 고객 여객 정보는 유출되지 않았으며, KC&D 측은 대한항공에 공식 사과와 함께 사고 경위를 전달했다.

'메가캐리어' 출범 앞두고 대참사…대한-아시아나 합병, 보안 시너지 '완전 실패'

대한항공과 아시아나항공의 연쇄 해킹 사고는 합병 과정에서 약속된 보안 시너지가 오히려 취약성을 증폭시킨 부작용으로 업계에서 부정적으로 평가되고 있다. 불과 며칠 간격으로 발생한 두 사건은 통합 항공사의 공급망 보안 허점을 적나라하게 드러내며, '제로 트러스트' 모델 부재가 치명적 약점으로 지목됐다.

항공전문가들은 "합병으로 방대한 데이터가 연결된 상황에서 기존 '성벽 방어' 방식이 무너진 사례"로 규정하며, 메가캐리어 전략의 근본적 재검토를 촉구하고 있다.
​

합병 부작용 폭발…공급망 '약한 고리' 우회 침투 현실화

대한항공 기내식 협력사 KC&D 해킹으로 3만명 임직원 성명·계좌번호 유출은 2020년 분리 매각 후에도 데이터 연동이 지속된 합병 잔재에서 비롯됐다는 분석이 지배적이다.

아시아나항공의 경우 중국 서버 원격 접근으로 1만명 정보 노출은 외주 업체 보안 미흡이 원인으로, 합병 과정에서 아시아나의 낮은 ICT 투자(대한항공의 절반 수준)가 통합 보안 체계에 독으로 작용했다. 업계 관계자는 "합병으로 시스템 통합이 가속화됐으나 보안 감사 미비로 협력사 취약점이 본사로 직결, 시너지 대신 리스크 폭증"이라고 비판했다.
​

시너지 실패 판정…투자 격차·조직 혼선 보안 블랙홀 조성

대한항공은 2022~2025년 ICT에 6000억원 이상 투자했으나 아시아나항공은 2000억원대에 그쳐 합병 후 보안 격차가 해킹 취약성을 키웠다는 지적이 쏟아진다. 전문가들은 "통합 과정에서 레거시 시스템 미개선과 외주 관리 소홀로 '공급망 공격'에 무방비 노출, 합병 시너지가 아닌 부메랑"으로 규정했다.

글로벌 사례처럼 브리티시항공 외주 해킹(38만명 유출) 재현을 넘어, 항공업 특유의 데이터 공유 구조가 합병 리스크를 극대화했다고 업계는 한목소리로 꼬집는다.
​

항공업계 충격파…'통합 항공사' 보안 재설계 불가피

연쇄 사고는 메가캐리어 출범을 앞둔 대한항공의 보안 신뢰를 무너뜨리며, 우기홍 부회장조차 "협력사 보안 전면 재검토"를 인정할 만큼 위기감이 고조됐다. 해커그룹 '클롭' 연관 의혹 속 제로 트러스트 전환 지연은 합병 후 대규모 유출 참사 초래할 수 있다는 경고가 현실화됐으며, 항공업계 전체 공급망 감사 강화가 불가피해졌다.

항공업계 관계자들은 "합병이 경쟁력 강화를 약속했으나 오히려 보안 실패로 고객·임직원 불신 증폭, 전략적 후퇴 위기라는 혹평이 이어지고 있다"고 평가했다.