제주항공이 항공권 예약, 발권 시스템을 공급하는 SITA(시타)의 해킹 여파로 탑승객의 개인정보가 유출되는 사태가 벌어졌다. 회사는 해킹 사건을 인지한 지난달 26일에 홈페이지를 통해 개인정보 유출 사실을 안내했고, 이후 11일 파악된 유출 범위 등을 안내하고, 21일 각 회원에게 사과문의 이메일을 발송했다.

시타의 해킹 사고는 지난 1월 20일부터 2월 11일 기간 사이 발생했고, 이후 시타는 고객 항공사에게 이 사실을 알렸다. 이번 해킹으로 제주항공 뿐만 아니 시타 시스템을 이용하는 에어서울, 플레이강원, 아시아나항공 등도 탑승객 정보가 유출됐다.

제주항공은 지난 21일 제주항공 "회원들에게 시타 사이버 공격에 따른 개인정보 유출 사실을 안내한다. 깊은 사과 드린다"며 사과문을 발송했다. 회사는 암호화된 카드번호와 이름이 유출됐다고 설명했다.

시타는 항공사에 항공권예약발권 및 탑승을 위한 시스템 서비스를 제공하는 회사이며, 데이터가 저장된 위치는 미국이다.

사과문에서 제주항공은 "시타의 시스템이 사이버공격을 받아 시스템에 저장돼 있던 회원의 암호화된 카드번호와 이름 등 결제정보가 유출 됐다"며 "시타에서 사고 인지 후 전문가와 협력해 사이버 공격을 차단했으며, 원인 분석 등을 진행 하고 있다. 또한 유출된 카드의 카드발행사와 공조해 2차 피해 예방을 위한 보호조치를 완료했다"고 밝혔다.

이어 "유출된 카드 정보는 암호화돼 있으며, 카드사 FDS(이상 금융거래 시스템)을 통해 부정 결제를 예방하고 관리 될 수 있도록 조치돼 부정 결제가 발생할 가능성이 낮다"며 "다만 회원의 카드 유출 여부를 확인하고, 혹시 모를 도용 예방을 위해 카드 재발급 또는 결제알림서비스 가입을 당부한다"고 덧붙였다.

앞서 항공권 예약·발권 시스템을 공급하는 미국 시타(SITA)는 해킹을 당해 고객정보 일부가 유출됐다고 고객 항공사에 통보했다.

유출된 정보는 암호화된 카드번호, 이름 뿐만 아니라 이 외에 여권 관련 정보, 휴대폰번호, 생년월일, 성별, 국적, 영문이름 등이 유출 범위에 포함됐다.

국제선 탑승 고객은 ▲여권번호 ▲여권유효기간 ▲여권발행국가 ▲생년월일 ▲성별 ▲국적 ▲영문이름 ▲휴대폰 번호가 유출됐다. 국내선 탑승자는 ▲영문이름 ▲성별 ▲생년월일 ▲국적 ▲휴대폰 번호가 유출됐다. 국제선, 국내선 탑승객 가운데 휴대폰 번호가 유출된 경우는 일부이다.

◆ 불안한 피해 회원…개인정보 유출 사건 꾸준히 발생

정보 유출 범위가 넓기 때문에 항공사를 이용했던 회원들은 불안감을 감추지 못하고 있다. 한 회원은 "카드 번호, 생년월일, 휴대폰번호 부터 신분증이 되는 여권 정보까지 유출됐다니, 신상정보가 어디서 어떻게, 누구를 통해 악용될지 모르겠다"며 "매우 무섭다"고 말했다.

앞서 국내에서 발생된 해킹으로 인해 개인정보가 유출된 사례가 지속적으로 있어왔다. 암호화폐 거래소 빗썸은 2017년 관리소홀로 고객 개인정보 3만1000여건과 고객 243명이 보유한 암호화폐 70억여 원을 해킹 당했었다. 같은 해 하나투어도 해커의 공격을 받아 여권번호 등 고객 46만여 명의 개인정보가 유출됐다. 지난해는 메가스터디에서 해킹으로 회원 570만명의 개인정보가 유출되는 사고가 있었다.

앞서 2016년에는 인터파크는 사내 PC를 통해 전산망 해킹을 당하면서 1000만명 이상의 회원 정보가 유출되는 사고를 냈고, 현재 두차례에 걸친 손해배상 청구 집단 소송에서 유출 피해 회원에게 1인당 10만원씩 배상해야 한다는 판결을 받았다.

일각에서는 이런 사태를 막기 위해 고객 정보 유출에 따른 '징벌적 손해배상제'가 2014년부터 도입됐지만 피해 발생을 입증하기가 쉽지 않은 것은 물론 과징금도 가벼운 수준이라는 지적이 나온다.

빗썸은 해킹 사건으로 법원으로부터 3000만원의 벌금형을 선고받고, 방송통신위원회에서 과징금 4350만원과 과태료 1500만원 처분 등을 받았다. 하나투어는 항소심에서 법인과 본부장이 각각 1000만원의 벌금형, 방통위로부터 과징금 3억2725만원, 과태료 1800만원 처분을 받았다. 메가스터디는 방통위에서 9억5400만원의 과징금을 부과 받았다.