ⓒ 데일리포스트 이미지 출처=pixabay

[데일리포스트=김정은 기자] 인도 최대의 항공사 '에어 인디아'(Air India)가 2021년 2월에 발생한 사이버 공격으로 국내외 약 450만 명에 달하는 개인 정보가 유출됐다고 공식 발표했다.

에어 인디아는 5월 21일(현지시간) 승객 개인 정보를 바탕으로 항공권 예약 발권 서비스 시스템을 제공하는 'SITA'가 사이버 공격을 받아, 약 450만 항공사 고객 개인정보가 유출된 것으로 파악했다고 발표했다. 

에어 인디아는 성명에서 "2011년 8월 26일부터 2021년 2월 3일 사이에 에어 인디아를 이용한 고객 데이터에 영향이 있다"고 밝혔다. 에어 인디아에 따르면 올해 초 승객 데이터를 처리하는 SITA 서버가 해킹을 당했고, 이 서버는 승객 데이터를 저장하고 처리하는 SITA PSS 시스템에 속한다. 에어 인디아에서 티켓을 예약하면 관련 데이터가 SITA PSS 시스템에 저장되는 방식이다. 

유출된 정보에는 승객 이름·생년월일·연락처·신용 카드 번호 및 기타 신용 카드 정보·여권 정보·항공권 번호 등이 포함되어 있다. 다만 신용카드 CVV/CVC 번호는 SITA에 저장되어 있지 않기 때문에 영향을 받지 않은 것으로 보인다고 에어 인디아는 주장했다. 

ⓒ 데일리포스트 이미지 출처=India Today

그 후 에어 인디아는 손상된 서버를 신속하게 서버를 복구하고 보안을 강화했으며, 더 이상의 서버 이상은 없었다고 밝혔다. 아울러 데이터가 유출된 고객에게 이메일을 보내 사건 전체(해커 공격 및 데이터 유출)에 대해 조사를 진행하고 있다고 알리는 한편, 개인정보의 안전을 위해 비밀번호를 변경하도록 조언했다.

그러나 에어 인디아의 이번 성명은 SITA 해킹 사고 발표 후 몇 달이 지난 시점에서 나온 것이다. 당시 사이버 공격을 당한 SITA는 에어 인디아 이외에도 말레이시아항공, 싱가포르항공, 일본항공, 루프트한자 등 여러 항공사에 고객 정보 유출 사실을 통보한 바 있다. 

인도에서는 최근 대규모 개인정보 유출 사건이 연이어 발생해 논란이 일고 있다. 대표적으로 해킹 단체 레드 래빗 팀(Red Rabbit Team)이 인도의 다국적 통신 서비스 기업 에어텔 인디아(Airtel India)에서 다량의 개인정보를 훔쳤다고 주장했다. 실제로 해당 데이터는 다크웹에서 판매되었으나 에어텔 인디아 측은 허위 주장이라며 반박했다. 

ⓒ 데일리포스트 이미지 출처=flickr

이 외에 인도 최고 식료품 배달 스타트업 빅바스켓(Big Basket)과 모바일 결제 서비스 업체 모비크위크(Mobikwik)의 고객정보 유출, 통신업체 지오 플랫폼(Jio Platforms)의 보안 오류 등 해킹 공격에 취약한 모습을 보이고 있다. 

현지 매체인 인디아 투데이(India Today)는 에어 인디아의 발표가 타사보다 훨씬 늦게 이루어진 상황에 대해 "인도에는 적절한 데이터 보호법이 없고, 데이터 처리에 대한 규제가 느슨해 대부분의 기업이 데이터 유출 사실을 공개하거나 고객에게 통지하지 않는다"고 비판했다. 

저작권자 © 데일리포스트 무단전재 및 재배포 금지