META-X

Home > 테크&트렌드 > 인더스트리

사이버공격으로 콴타스 고객정보 유출..."항공 보안 비상": X 기자 / 기사승인 : 2025-07-07 09:00:01

‘서드파티 리스크’가 가져온 치명적 구멍

2025년 7월 2일, 호주 최대 항공사 콴타스(Qantas)는 고객 데이터가 유출되는 사이버 공격을 공식 발표했다.

시스템은 현재 차단되었으나, 최대 600만 명의 고객 정보가 유출됐을 가능성이 제기되며, 글로벌 항공보안 체계에 대한 경고음이 울리고 있다.

제3자 플랫폼을 통한 우회 공격

이번 사고는 콴타스의 운영 시스템 자체가 아닌, 외부 고객지원 플랫폼을 대상으로 한 해킹에서 비롯됐다. 사이버 범죄자는 콴타스 고객센터 중 하나를 타깃으로 하여, 제3의 고객 응대 플랫폼에 침입했다.

이 플랫폼은 콴타스의 공식 시스템과는 분리된 구조였지만, 약 600만 명에 달하는 고객 서비스 기록이 보관되어 있던 것으로 확인됐다.

콴타스는 유출된 정보에 ▲이름 ▲이메일 주소 ▲전화번호 ▲생년월일 ▲프리퀀트 플라이어(Frequent Flyer) 번호가 포함되었다고 밝혔다.

반면, 다음과 같은 민감정보는 해당 시스템에 저장되지 않아 유출되지 않았다고 강조했다.

여권 정보
신용카드 및 금융정보
로그인 정보, 비밀번호, PIN 번호

콴타스는 프리퀀트 플라이어 계정 접근도 없었다고 설명했으나, 전문가들은 이름·생년월일·이메일·전화번호가 결합될 경우 피싱 및 스푸핑 공격에 취약해질 수 있다고 경고했다.

‘서드파티 리스크’가 가져온 치명적 구멍

사건의 본질은 '타사 플랫폼'에 대한 보안관리 부실이다. 최근 기업들이 고객 응대, 예약 시스템, 마일리지 관리 등을 외주화하는 사례가 늘면서, '서드파티 리스크'는 사이버보안의 주요 변수로 부상했다.

콴타스는 즉각적으로 해당 시스템을 차단하고 연방경찰, 사이버보안센터, 개인정보보호위원회 등 관계 기관에 사고를 보고했다. 현재 전문 보안업체와 함께 정밀 조사를 진행 중이다.

이번 사고는 항공사 보안 개념의 확장을 요구한다.

기존 항공 보안은 비행기 운항의 안전성과 공항 내 테러 대응에 초점을 맞춰왔다. 그러나 디지털화가 가속화된 2020년대 중반, 고객정보 보호가 항공사 신뢰의 핵심 축으로 부상하고 있다.

항공사 고객 정보 유출, 콴타스만의 일이 아니다

영국 정보위원회(ICO)는 2020년 10월, 2018년에 발생한 영국 항공(British Airways)의 데이터 유출 사고와 관련하여 GDPR 위반으로 2천만 파운드(약 340억 원)의 벌금을 부과했다. 이 사고로 인해 약 429,612명의 고객 및 직원의 개인 정보가 유출되었으며, 여기에는 이름, 주소, 결제 카드 번호, CVV 코드 등이 포함됐다. 공격자는 브리티시 에어웨이즈 웹사이트의 자바스크립트 파일을 조작하여 고객 결제 정보를 자신들의 도메인으로 리디렉션하는 "폼재킹(formjacking)" 방식을 사용했다.

2023년 또는 2024년 초에 유나이티드항공을 포함한 여러 항공사가 CrowdStrike의 소프트웨어 업데이트 오류로 인해 시스템 장애를 겪은 적도 있다. 이는 서드파티 소프트웨어의 기술적 결함으로 인한 것이었다.

최근 FBI는 'Scattered Spider'라는 해커 그룹이 항공 산업을 표적으로 삼고 있다고 경고했다. 이들은 사회 공학 기술을 사용하여 IT 헬프 데스크를 속여 시스템에 접근하고 민감한 데이터를 훔치거나 랜섬웨어를 사용하는 것으로 알려져 있다. 최근 3주 내에 웨스트젯, 하와이안항공, 콴타스 등 3개 주요 항공사가 사이버 공격을 받은 것으로 전해진다.

이러한 사례는 ▲사이버 보안 거버넌스의 미비 ▲위기 대응 체계 부족 ▲IT 아웃소싱 리스크 등에서 비롯된다.

항공사의 신뢰자산, ‘디지털 보안’으로 확장될 것

이번 사건은 콴타스만의 위기가 아니라 글로벌 항공산업 전체에 경고를 주는 신호다. 향후 항공사는 다음과 같은 전략적 전환이 필요하다: