2025.12.26 케이씨앤디(KC&D) 납품업체 해킹 대한항공 임직원 개인정보유출 정리

lastcard 2025. 12. 29. 11:15

2025. 12. 29. 11:15

1. 개요

대한항공의 기내식 및 기내 판매 사업을 담당하는 협력사인 케이씨앤디서비스(KC&D)가 2025년 12월 외부 해커 그룹의 사이버 공격을 받아 대한항공 임직원들의 개인정보가 대량으로 유출되는 사건이 발생했습니다.
우기홍 대한항공 부회장은 2025년 12월 26일 사내 공지문을 통해 이 사실을 임직원들에게 공식 통보했으며, 관련 내용이 12월 29일 언론에 보도되었습니다.

2. 피해범위

이번 해킹 사건으로 약 3만 건(정확히 3만여 건)의 임직원 개인정보가 유출된 것으로 파악되었습니다.
KC&D는 2020년 12월 대한항공에서 사모펀드 운용사 한앤컴퍼니에 분리 매각된 이후 별도의 회사로 운영되고 있으며, 현재 대한항공은 이 회사의 20%의 지분을 보유하고 있습니다.
대한항공은 고객 정보는 유출되지 않았다고 명확히 밝혔습니다.
또한 현재까지 조사 결과에 따르면 상기 항목 이외 추가적인 정보 유출 정황은 없는 것으로 파악되고 있습니다.

3. 유출항목

- KC&D 서버에 저장되어 있던 대한항공 임직원들의 다음과 같은 개인정보가 유출되었습니다.

- 유출된 정보는 ERP(전사적자원관리) 시스템에 저장되어 있던 항목들입니다.

- 특히 계좌번호의 유출은 임직원들의 금융 피해로 이어질 수 있는 민감한 정보라는 점에서 문제의 심각성을 더하고 있습니다.

4. 원인

이번 사건의 근본적인 원인은 2020년 분리 매각 당시 KC&D 서버에 남아 있던 대한항공 임직원들의 레거시 데이터가 적절히 삭제되지 않은 것으로 파악됩니다.
분리 매각 5년이 지난 현재까지도 해당 정보가 KC&D의 서버에 저장되어 있었던 것입니다.
구체적인 해킹 기법이나 보안 취약점에 관한 상세 정보는 현재까지 공개되지 않았습니다.
다만 외부 해커 그룹이 원격 접근을 통해 서버에 비인가 접근(unauthorized access)을 수행한 것으로 알려져 있습니다.

5. 대응

- 대한항공과 KC&D는 사건 적발 직후 다음과 같은 조치를 즉시 실시했습니다.

> 즉각적인 보안 조치

> 지속적인 조사 및 대응

> 임직원 보호 조치

6. 문제점

- 이번 사건은 대한항공의 협력사 관리 및 데이터 거버넌스 측면에서 여러 문제점을 노출했습니다.

> 레거시 데이터 관리 부재

분리 매각 당시(2020년) 대한항공 임직원 정보가 KC&D 서버에서 완전히 삭제되지 않은 점은 대한항공의 데이터 정리 프로세스가 미흡했음을 의미합니다.
5년이라는 장기간 동안 민감한 개인정보가 외부 업체 서버에 방치되었다는 것은 심각한 관리 부실입니다.

> 협력사 보안 관리의 한계

대한항공이 분리 매각한 업체라 할지라도, 대한항공 임직원 정보가 저장되어 있는 이상 해당 업체의 보안 상태에 대한 정기적인 점검과 감시가 필요했습니다.
그러나 이러한 모니터링이 충분히 이루어지지 않았던 것으로 보입니다.

> 산업 전반의 보안 취약성

같은 달(12월) 아시아나항공이 약 1만 명의 임직원 정보 유출 사건을 겪으면서, 항공업계 전반에 걸쳐 사이버 보안 취약점이 광범위하게 존재함이 드러났습니다.
이는 단순한 개별 기업의 문제가 아닌 업계 공동의 과제임을 시사합니다.

> 개인정보 분류 및 최소화 원칙 부재

月光愛靑狼