경제타임스 김은국 기자 | 항공업계의 보안 전선에 비상이 걸렸다. 국내 대형 항공사인 아시아나항공의 심장부라 할 수 있는 사내 인트라넷이 외부 세력에 의해 침탈당하면서 임직원과 협력사 직원 1만여 명의 개인정보가 유출되는 사고가 발생했다.

■ 쥐도 새도 모르게 침투한 '비인가 접근'

사건의 발단은 지난 12월24일이었다. 아시아나항공에 따르면 해외 서버를 경유한 것으로 추정되는 외부 공격자가 사내 인트라넷 시스템인 ‘텔레피아(Telepia)’에 비인가 접근을 시도했다. 회사는 사고 발생 직후인 25일 오후, 전 임직원에게 긴급 통지문을 보내 유출 사실을 공식화했다.

현재까지 파악된 유출 항목은 이름, 부서, 직급, 사번, 전화번호, 이메일 주소 등 신원 정보는 물론, 인트라넷 계정과 암호화된 비밀번호까지 포함됐다. 다행히 고객 예약 정보 등 민감한 소비자 데이터는 별도 망으로 분리되어 있어 피해를 면했지만, 내부 직원들의 정보가 통째로 넘어갔다는 점에서 2차 피해 우려가 커지고 있다.

■ '암호화된 비번'도 안심 못 해

아시아나 측은 비밀번호가 암호화되어 있어 직접적인 계정 탈취 가능성은 낮다고 설명한다. 그러나 전문가들의 시각은 다르다. 유출된 사번과 부서 정보 등을 조합하면 임직원을 대상으로 한 정교한 '스피어 피싱(Spear Phishing)'이 가능해지기 때문이다.

특히 협력사 콜센터 직원들의 정보까지 포함되었다는 점은 이번 공격이 아시아나항공의 전체 '공급망(Supply Chain)'을 노린 조직적인 해킹일 가능성을 시사한다. 유출된 계정 정보를 이용해 시스템 관리자 권한을 획득하려 하거나, 다른 내부 시스템으로 침투 범위를 넓히는 '횡적 이동(Lateral Movement)'의 발판이 될 수 있다는 지적이다.

스피어 피싱은 불특정 다수에게 뿌리는 일반적인 피싱과 달리, 특정 개인이나 조직을 겨냥해 정교하게 조작된 메시지를 보내는 ‘표적형 공격’을 말한다. 작살(Spear)로 물고기를 찍어 잡는 사냥 방식에서 이름이 유래됐다.

공격자는 유출된 정보를 바탕으로 “오창 에너지플랜트 ○○부서 김 과장님, 긴급 보안 점검 공지입니다”와 같이 지인이나 사내 관계자를 사칭한다. 피해자는 본인의 사번이나 직급 등 정확한 정보가 포함된 메시지를 받으면 의심 없이 첨부 파일을 클릭하거나 가짜 로그인 사이트에 접속하게 된다.

보안 전문가들은 “단순히 비밀번호가 암호화되었다고 안심할 일이 아니다”라며 “유출된 프로필 정보는 공격자가 임직원의 신뢰를 얻기 위한 완벽한 ‘각본’이 되며, 이를 통해 기업 내부망에 다시 침투해 핵심 자산을 탈취하는 징검다리로 활용될 수 있다”고 경고한다.

■ 2025년 보안 잔혹사…기업 내부통제 '시험대'

올해 들어 쿠팡, 신한카드, 그리고 통신 3사에 이르기까지 대형 기업들의 보안 사고가 줄을 잇고 있다. 이번 아시아나 사고 역시 한국인터넷진흥원(KISA) 등 관계 기관에 신고되어 정밀 조사가 진행 중이다.

아시아나항공은 즉시 불법 접근 경로를 차단하고 관리자 패스워드를 변경하는 등 긴급 처방에 나섰다. 하지만 업계에서는 "해외 서버를 통한 침입을 사전에 차단하지 못한 점, 1만 명에 달하는 방대한 정보가 한꺼번에 유출된 점에 대해 관리 소홀 책임을 피하기 어려울 것"이라는 목소리가 높다.

고객 데이터뿐만 아니라 기업의 자산인 임직원 정보 보호를 위한 보다 강력한 제로 트러스트(Zero Trust) 보안 모델 도입이 시급한 시점이다.