2025.12.23 아시아나항공 해킹 임직원 개인정보유출 요약

 

1. 개요

• 2025년 12월 24일 아시아나항공의 사내 인트라넷 시스템 '텔레피아(Telepia)'가 해외 서버를 경유한 비인가 접근으로 외부 해킹 공격을 받았습니다. 
• 사건 발생 당일인 12월 23일 아침 7시부터 비정상적 접근이 시작되었으며, 약 36시간이 경과한 12월 24일 오후 6시 32분에 아시아나항공이 침입을 감지하였습니다.
• 특히 주목할 점은 중국 지역의 원격 접속 중계 장비를 통해 해킹이 이루어졌다는 사실입니다. 
• 아시아나항공이 구글 기반 업무 프로그램을 사용하는 데, 중국에서는 직접 접속이 차단되어 있어 직원들이 VPN(가상사설네트워크) 우회 접속을 사용하다가 이를 악용당한 것으로 한국인터넷진흥원이 추정하고 있습니다.

 

2. 피해범위

 - 유출된 임직원 정보 규모는 총 1만 6천여 건에 달합니다.

  > 이는 다음과 같이 세분화됩니다.

• 아시아나항공: 9,018건
• 파트너사: 2,293건
• 에어부산: 2,100건
• 기타: 3,466건

 - 현재 아시아나항공의 직원 수가 약 8,000명 규모임을 고려하면, 콜센터 등 협력사 직원과 자회사 직원까지 포함된 광범위한 피해입니다.

 - 다행히 고객 개인정보는 임직원 정보와 별도의 서버에 분리되어 저장되어 있어 유출되지 않은 것으로 확인되었습니다.

 - 다만 주목할 점은 파트너사 유출 정보 중에 아시아나IDT(항공 예약과 발권, 탑승 등 여객시스템을 운영하는 아시아나항공의 자회사) 정보도 포함되었다는 사실입니다.

 

3. 유출항목

 - 유출된 정보는 다음과 같습니다.

• 인트라넷 계정(ID)
• 암호화된 비밀번호
• 사번(직원번호)
• 부서
• 직급
• 이름
• 전화번호
• 이메일 주소

 - 비밀번호는 암호화된 상태로 저장 및 유출되었으므로, 아시아나항공은 직접적인 계정 탈취 위험이 낮은 것으로 평가했습니다.

 - 그러나 유출된 사번과 부서 정보 등을 조합하면 임직원을 대상으로 한 정교한 2차 공격(피싱, 스미싱 등)이 가능할 수 있다는 우려가 제기되고 있습니다.

 

4. 원인

 - 직접적인 침입 경로는 중국 지역의 원격 접속 중계 장비를 통한 비인가 접근입니다.

 - 기술적 원인은 다음과 같이 분석됩니다.

  > VPN 보안 취약점

• 아시아나항공은 구글 기반 업무 프로그램을 사용하고 있으나, 중국 지역에서는 이 서비스에 대한 직접 접속이 차단되어 있습니다.
• 따라서 중국 근무 직원이나 중국 출장자들이 VPN을 통해 우회 접속하는 방식을 사용하고 있었으며, 이 VPN 접속이 충분히 보호되지 못했을 가능성이 있습니다.

  > 외부 네트워크 접근 제어 미흡

• 해외 서버를 경유한 비인가 접근이 사전에 차단되지 못했다는 사실은 외부 네트워크로부터의 접근 제어가 충분하지 않았음을 시사합니다.

  > 침입 감지 지연

• 해킹은 12월 23일 아침 7시부터 시작되었으나, 아시아나항공이 이를 감지한 것은 약 36시간 후인 12월 24일 오후 6시 32분입니다.
• 이는 실시간 모니터링 체계가 충분하지 못했음을 나타냅니다.

 

5. 대응

 - 아시아나항공의 대응 조치는 다음과 같습니다.

  > 즉시 대응 (12월 24일)

• 오후 6시 32분: 비정상적 접근 감지
• 약 10분 후(오후 6시 40분경): 원격 접속 차단 등 긴급 조치 실시
• 오후 7시 10분: 전 임직원의 인트라넷 비밀번호 일괄 변경
• 공식 공지 및 신고 (12월 25일)
• 오후 2시 30분: 전 임직원에게 개인정보 유출 사실 긴급 공지
• 오후 3시 7분: 한국인터넷진흥원(KISA) 및 관계 기관에 공식 신고

  > 추가 조치

• 시스템 관리자 계정 비밀번호 변경
• 임직원들에게 텔레피아 계정과 동일하거나 유사한 비밀번호를 다른 서비스에서 사용하고 있을 경우 해당 계정 비밀번호도 함께 변경할 것을 권고
• 스미싱, 피싱 메시지, 악성코드, 랜섬웨어 등 2차 피해 징후 발생 시 정보보안팀으로 신고할 것을 요청
• 정확한 침해 경위와 유출 범위 조사 진행 중
• 재발 방지를 위한 추가 보안 조치 병행

​
6. 문제점

 - 본 사건은 여러 가지 보안 및 운영상의 심각한 문제점을 노출했습니다.

  > 침입 감지의 과도한 지연

• 아시아나항공은 12월 23일 아침 7시부터 시작된 비정상적 접근을 약 36시간이 지난 후에야 감지했습니다. 
• 이는 실시간 모니터링 체계가 부족함을 의미하며, 공격자가 35시간 이상 사내 시스템에 접근할 수 있었다는 것을 의미합니다. 
• 감지 이후 임직원 공지까지도 약 20시간이 소요되어, 조직 내부에서의 추가 악용 가능성을 제공했습니다.

  > 외부 접근 제어 체계의 취약성

• 해외 서버를 경유한 비인가 접근이 가능했다는 사실은 경계 보안(perimeter security)이 충분하지 않았음을 드러냅니다. 
• 특히 VPN 우회 접속에 대한 보안 관리가 미흡했던 것으로 보입니다.

> 조직 통합 시기의 보안 공백

• 아시아나항공은 2024년 대한항공에 흡수 인수되면서 대규모 조직 통합을 거쳤습니다. 
• 이러한 조직 통합 과정에서 보안 체계가 충분히 강화되지 못했을 가능성이 있습니다. 
• 흡수 합병 후 1년이 경과했음에도 불구하고 이와 같은 보안 사고가 발생했다는 점은 통합 이후 보안 관리가 미흡했음을 시사합니다.

 > 직원 보호의 한계

• 아시아나항공의 공지는 비밀번호 변경에 중점을 두었으나, 유출된 개인정보(이름, 전화번호, 이메일 등)에 대한 모니터링이나 신용카드 부정 사용 감시, 신원 도용 방지 등 구체적인 추가 보호 방안에 대한 상세한 안내가 제한적이었습니다.

  > 산업 전반의 보안 위기

• 2025년 1~9월 개인정보 유출 신고 건수가 311건으로, 지난해 전체 307건을 이미 초과했습니다. 
• 쿠팡의 3,370만 명 규모 개인정보 유출 사고에 이어 아시아나항공 사건이 발생하면서, 국내 주요 기업들의 보안 체계 전반에 대한 우려가 증대되고 있습니다.

  > 국제적 항공업 보안 위협 확대

• 미국 연방수사국(FBI)은 전 세계적으로 항공업계에 대한 사이버 공격이 증가하고 있다고 경고했습니다. 
• 미국 아메리칸항공 자회사 엔보이 에어(Envoy Air)는 랜섬웨어 조직 '클롭'으로부터 공격을 받았고, 호주 항공사 콴타스(Qantas)는 랜섬웨어 공격으로 약 570만 명의 개인정보가 유출되었습니다. 
• 이러한 국제적 위협 속에서 국내 항공사가 노출되었다는 점은 업계 전반의 취약성을 드러냅니다.
  ​