Breaking
사이버 보안(Cybersecurity)
캐세이 퍼시픽 항공, 대규모 데이터 유출 사고로 주식 '난기류'
2019-05-28 18:45:56
허서윤
▲캐세이 패시픽 항공이 데이터 유출 사고를 겪어 940만 명이 넘는 승객들이 영향을 받은 것으로 추정된다(사진=ⓒ픽사베이)

[라이헨바흐=허서윤 기자] 캐세이 패시픽 항공(Cathay Pacific)이 대규모 데이터 유출 사건을 겪었다. 이 사건으로 940만 명이 넘는 승객들이 영향을 받은 것으로 추정된다.

항공산업 컨설팅 기업 엔다우 애널리틱스의 슈코르 유소프는 "이것은 매우 충격적인 사건이다"며 "아마도 항공 분야에서 가장 큰 규모의 정보 유출일 것"이라고 말했다.

케세이 퍼시픽의 데이터 유출 사건이 보도된 것은 작년 10월이다. 그런데 더 충격적인 점은 이 항공사가 데이터 유출 사건을 같은 해 3월에 인지하고도 7개월 동안 문제를 신속하게 해결하지 못하고 늑장 대응을 했다는 것이다. 

케세이 퍼시픽의 허술한 보안 문제가 불거지면서 홍콩의 국회의원들의 발등에도 불이 떨어졌다. 홍콩 입법 위원인 램측팅은 기자회견에서 문제를 해결하기 위해 필요한 조치가 취해졌다고 주장했다.

▲영국 항공은 지난 해 8~9월 사이에 사이버 보안 침해 사건을 겪었다(사진=ⓒ플리커)

항공사 데이터 유출 사건

캐세이 패시픽 항공의 데이터 유출은 홍콩의 전체 인구보다도 많은 사람들에게 영향을 미쳤다. 홍콩 인구 통계 통계청에 따르면 이곳의 인구는 740만 명이다.

이 중대한 사건은 또 다른 항공사인 영국 항공 및 델타 항공이 보안 침해를 겪은 지 몇 개월 지나지 않아 발생한 일이다. 포춘이 보도한 내용에 따르면 이 항공사를 이용한 승객들의 광범위한 개인 정보가 유출됐다.

영국 항공은 지난 해 8~9월 동안 사이버 보안 침해 사건을 겪었다. 해커는 항공사의 시스템에 액세스해 38만 명이 넘는 승객의 신용 카드 정보를 유출했다.

한편, 작년 4월 미국의 주요 항공사 델타는 사이버 보안 위반이 발생했다고 발표했다. 이 공격으로 항공사를 이용한 불특정 다수 승객의 지불 정보가 공개됐다. 사건 이후 두 항공사 모두 사이버 공격 위험을 낮추기 위해 보안 관련 지출을 늘렸다.

조사 진행

홍콩 개인 정보 보호 국장 스티븐 웡은 홍콩법 제 486장에 포함된 개인 정보 법령에 따라 항공사의 의무 준수 여부를 조사하기 시작했다고 발표했다. 이 법에 따르면 개인 정보 침해가 발생하면 사법 당국이 증인의 출석을 요구하거나 공청회를 개최할 수 있다.

또한 컴플라이언스 조사에는 캐세이 패시픽 항공 자회사 드래곤 에어의 활동 또한 포함된다. 드래곤 에어의 승객 중 다수도 데이터 유출 피해를 입었다.

웡은 "항공사가 법 규정을 위반했다고 믿을 만한 합리적인 근거가 있다"며 "컴플라이언스 조사를 통해 캐세이 패시픽 항공의 보안 조치를 상세히 검토할 예정"이라고 덧붙였다.

보컴 인터내셔널 홀딩스의 애널리스트 제프리 청은 "캐세이 패시픽 항공의 보안 위반에 대해 정부 당국이 부과한 벌금에 해당 항공사가 책임이 있는지 여부를 확신할 수 없다"고 전했다.

이 데이터 유출 사건은 홍콩의 사이버 보안법의 변화, 특히 기업이 데이터 유출을 의무적으로 신고해야 한다는 내용을 추가하기 위한 로비 싸움으로 번졌다.

보안 침해 사항

캐세이 퍼시픽의 발표에 따르면 86만 개의 여권 번호, 24만 5,000개의 홍콩 신분증 번호, 403개의 만료된 신용 카드 번호, 27개의 신용 카드 번호(CVV 제외)가 노출됐다.

또한 여행객들의 이름, 국적, 생년월일, 전화 번호, 이메일, 실제 주소, 여행 이력 등의 정보가 노출했다.

웡은 이번 항공사 데이터 유출 사건으로 인해 89건의 불만 사항이 접수됐다고 밝혔다.

이번 대규모 사이버 공격의 범인은 아직 밝혀지지 않았다. 항공사는 여태까지 승객의 개인 정보가 의심스러운 활동에 사용되지 않았다고 주장했다.

항공사 대변인은 데이터 유출 사건 수사에 전적으로 협조하겠다고 밝혔다.

항공사에 게시된 메시지에 따르면 캐세이 퍼시픽의 CEO 루퍼트 호그는 "이번 데이터 보안 침해 사건으로 승객들이 피해를 입은 것에 대해 매우 유감스럽게 생각한다"며 "우리는 영향을 받은 승객에게 연락하고 다양한 방식으로 개인 정보를 보호할 조치를 취하도록 정보를 제공했다"고 밝혔다.

캐세이 퍼시픽의 주식 현황

보안 침해 사건 이후 이 항공사의 주가는 2009년 6월 이후 사상 최저 수준에 도달했다. 시장 가치는 약 3억 6,100만 달러(약 4,045억 원)로 하락했다. 그러나 보안 침해 사건 며칠 후에는 주가를 소폭 회복했다.

캐세이의 데이터 해킹 스캔들은 이 항공사의 재정적인 불황과 맞물렸다. 이 회사는 수년 동안 연속적으로 손실을 기록했고 이에 따라 예산 삭감에 착수한 바 있다. 호그는 비즈니스 클래스에서 제공되는 장거리 비행 서비스를 개선하는 데 힘썼다.

[라이헨바흐=허서윤 기자]