홍콩 항공사 캐세이퍼시픽과 그 자회사 캐세이드래곤에서 940만명에 달하는 고객의 개인정보가 유출됐다고 홍콩 사우스차이나모닝포스트(SCMP)가 25일 보도했다.

SCMP에 따르면 캐세이퍼시픽 항공은 전날 밤 웹사이트 성명을 통해 올해 초 승객 개인정보를 보관하는 시스템에 허가받지 않은 접근이 있었으며, 최대 940만명이 영향을 받을 수 있다고 밝혔다.

캐세이퍼시픽은 정보 유출 우려가 있는 승객에 개별적으로 연락해 상황을 설명했으며, 이번 사태가 항공기 운항 안전에는 영향을 미치지 않았다고 덧붙였다.

이번에 유출된 정보는 승객 이름, 생년월일, 국적, 여권 번호, 집 주소, 신분증 번호, 전화번호, 이메일 주소, 우수 고객 회원 번호, 고객 탑승 경력 등을 망라한다.

유출 정보에는 86만건의 여권 번호, 24만5000건의 홍콩 신분증 번호, 403건의 만료된 신용카드 번호, 27건의 무효가 된 신용카드 번호 등이 포함됐다.

항공사 측은 유출된 정보는 승객마다 다르다고 설명했다.

캐세이퍼시픽에 따르면 2018년 3월 처음 의심스러운 활동이 나타났으며, 이에 회사 측은 보안 전문회사와 함께 조사에 착수하고 시스템을 강화했다. 5월 초에는 허가 없이 개인정보에 접근했다는 게 확인됐다.

캐세이퍼시픽 루퍼트 호그 최고경영자(CEO)는 성명에서 "이번 사건을 수습하기 위해 즉각적인 조처를 했으며, 정상급 사이버보안 회사의 도움을 받아 철저한 진상규명에 착수했다"고 밝혔다.

그는 "우리는 IT 보안 대책을 더욱 강화해 나갈 것"이라며 "개인정보가 유용된 증거는 현재로써는 없다"고 덧붙였다.

하지만 항공사 측이 개인정보 유출 정황을 포착한 지 7개월이 지나서야 이를 공개한 데 대해 거센 비난 여론이 일고 있다.

홍콩 입법회 찰스 목 의원은 "정보 유출을 발견한 지 수개월이 지나서야 발표한 이유가 무엇이냐"며 "피해를 본 승객이나 홍콩 당국, 외국 당국 등에게도 이를 즉시 알리지 않았는데, 이는 용납할 수 없는 일"이라고 비판했다.

그는 유럽연합(EU)의 경우 개인정보 유출이 파악된 시점에서 72시간 내로 사실을 공개하도록 한다고 전했다.

영국항공의 경우 8월 21일에서 지난달 5일 사이 해킹으로 온라인 예약 고객 38만 명가량의 카드 결제 정보가 노출된 것을 발견했는데, 이를 발견한 다음 날인 지난달 6일 이를 즉각 발표했다.

홍콩정보기술협회의 프랜시스 퐁 명예회장도 늦장 발표를 비판하면서 "캐세이퍼시픽은 고객 정보의 '암호화' 작업을 했는지를 밝혀야 할 것"이라며 "유출된 고객 정보는 해당 고객의 가상 신분증을 만드는 데 쓰일 수 있어 막대한 피해를 초래할 가능성이 있다"고 지적했다.