6백만 명 승객 정보 유출: 콴타스 항공 대규모 데이터 유출 사건의 내막
시드니, 호주 — 시드니 항구에 새벽이 밝아올 무렵, 콴타스 항공 경영진은 그 어떤 항공사도 원치 않을 소식에 잠에서 깨어났다. 사이버 범죄자들이 시스템을 침해하여 최대 6백만 명의 고객 개인 정보를 유출했을 가능성이 제기되었고, 이는 최근 몇 년간 호주에서 발생한 가장 큰 사이버 사건 중 하나로 빠르게 확산되었다.
진행 중인 수사로 인해 익명을 요구한 콴타스 항공의 한 고위 사이버 보안 담당자는 "이상 징후를 감지한 순간, 우리는 심각한 상황에 직면했음을 알았다"며, "몇 시간 안에 그 범위가 명확해졌다. 단순한 침투 시도가 아니었다. 그들은 이미 내부에 들어와 있었다"고 말했다.
디지털 강도: 해커들은 어떻게 관문을 우회했나
이번 공격은 콴타스 항공의 핵심 시스템이 아닌, 콜센터 중 한 곳에서 사용하는 타사 고객 서비스 플랫폼의 취약점을 노렸다. 이러한 "공급망 공격"을 통해 사이버 범죄자들은 이름, 이메일 주소, 전화번호, 생년월일, 그리고 상용 고객 번호를 포함한 방대한 고객 정보에 접근할 수 있었다.
피해를 입은 고객들에게는 다행스럽게도, 침해된 시스템에는 신용카드 정보, 여권 정보, 또는 상용 고객 계정 로그인 자격 증명은 포함되어 있지 않았다. 그럼에도 불구하고, 유출된 데이터는 수백만 명의 호주 국민들과 잠재적인 해외 고객들에게 심각한 개인 정보 침해를 의미한다.
해당 사건에 정통한 사이버 보안 분석가들은 이번 공격이 스캐터드 스파이더(Scattered Spider) 그룹의 이전 공격과 놀라운 유사성을 보인다고 지적했다. 이 정교한 범죄 조직은 사회 공학적 전술, 즉 IT 직원을 사칭하여 직원들을 속여 비밀번호나 인증 코드를 알아내는 방식으로 항공사와 대기업을 표적으로 삼는 것으로 알려져 있다.
"신뢰는 우리의 가장 소중한 화물": 콴타스 항공의 피해 통제 노력
콴타스 항공의 바네사 허드슨(Vanessa Hudson) CEO는 이번 유출 사태에 신속하게 대응하며, 비행 운항 및 승객 안전에는 영향이 없음을 강조하는 동시에 공식 사과문을 발표했다. 항공사는 침해된 시스템을 격리하고 호주 사이버 보안 센터(Australian Cyber Security Centre), 호주 정보 위원회 사무국(Office of the Australian Information Commissioner), 호주 연방 경찰(Australian Federal Police)과 협력하기 시작했다.
허드슨 CEO는 회사 보도자료를 통해 "우리는 이번 사태를 즉시 통제하기 위해 조치했으며 추가 보안 조치를 시행하고 있다"며, "고객 데이터의 안전은 최우선이며, 이러한 일이 발생하여 깊이 유감스럽다"고 밝혔다.
이번 대응은 코로나19 팬데믹 기간 동안의 논란 이후 명성을 재건하고 있는 콴타스 항공에게는 민감한 시기에 이루어졌다. 업계 전문가들은 이번 사건이 이러한 노력에 상당한 어려움을 초래할 수 있다고 지적한다.
한 저명한 사이버 보안 연구원은 "이것은 전형적인 공급망 공격"이라며, "콴타스 자체 시스템은 견고할 수 있지만, 가장 약한 고리는 바로 타사 공급업체였다. 이는 핵심 고객 대면 기능을 아웃소싱하는 모든 기업에게 경종을 울리는 사건이다"라고 언급했다.
글로벌 하늘의 폭풍: 더 넓은 사이버 보안 지형
콴타스 항공의 유출 사건은 고립된 채 발생한 것이 아니다. 이는 여러 부문에서 전례 없는 사이버 사건의 물결 속에서 발생했다.
- 인도 줌카(Zoomcar)는 2025년 6월 840만 명의 사용자 피해를 보고했다.
- 지난달 전 세계적인 대규모 유출로 무려 160억 개의 로그인 자격 증명이 노출되었다.
- 의료 서비스 제공업체 에피소스(Episource)는 540만 명의 개인 정보가 유출되는 사태가 발생했다.
- 소매 대기업 아홀드 델하이즈(Ahold Delhaize)는 220만 명에게 영향을 미치는 랜섬웨어 공격을 받았다.
항공 부문은 특히 취약한 것으로 보이며, 분석가들은 방대한 고객 데이터베이스와 타사 공급업체에 대한 의존도 증가가 공격자들에게 완벽한 환경을 조성하고 있다고 지적한다.
한 위협 인텔리전스 전문가는 "공격자들은 핵심 기업 시스템뿐만 아니라 공급망과 타사 제공업체를 점점 더 표적으로 삼고 있다"며, "콴타스, 웨스트젯, 하와이안 항공이 최근 몇 주간 모두 피해를 입으면서 항공 부문은 특히 압력을 받고 있다"고 설명했다.
시장의 흔들림: 재정적 영향이 구체화되다
유출 소식이 전해진 후 시장이 열리자 콴타스 항공 주가는 즉시 압력을 받아 A$10.76에서 일중 최저치인 A$10.32로 하락했으며, 이는 시가총액에서 약 A$7억 4천만(약 7억 4천만 호주 달러)을 사라지게 했다. 그러나 주가는 2026 회계연도 추정 P/E(주가수익률) 14배에서 지지선을 찾아, 글로벌 동종 업체 대비 상대적으로 작은 할인율을 반영했다.
전문 투자자들에게 문제는 콴타스 항공이 생존할 것인지가 아니라, 명성과 규제 관련 불확실성이 얼마나 오랫동안 주가 배수를 압박하고 현금 흐름을 전환시킬 것인지이다. 예상되는 비용은 상당하다.
- 통지 및 신용 모니터링: A$9천만-1억 2천만(약 9천만-1억 2천만 호주 달러)
- 소송 및 집단 소송: A$4천만-1억 5천만(약 4천만-1억 5천만 호주 달러)
- 잠재적 규제 벌금: A$330만-5천만+(약 330만-5천만 호주 달러 이상)
- 사이버 보안 업그레이드 비용: A$5천만-1억(약 5천만-1억 호주 달러)
- 신뢰 재건을 위한 추가 마케팅: A$3천만-7천 5백만(약 3천만-7천 5백만 호주 달러)
이 모든 비용은 총 A$2억 1천 3백만-4억 9천 5백만(약 2억 1천 3백만-4억 9천 5백만 호주 달러)에 달하며, 이는 콴타스 항공의 2025 회계연도 예상 EBITDA(법인세·이자·감가상각비 차감 전 영업이익)의 4-10%에 해당한다. 상당한 액수임에도 불구하고, 분석가들은 이 비용이 1년치 자사주 매입 역량에도 미치지 못하며, 항공사의 재무 상태(순부채/EBITDA 1.6배)는 여전히 견고하다고 지적한다.
유출 그 너머: 다가올 난기류 헤쳐나가기
피해를 입은 고객들에게는 이제 도난당한 개인 정보를 이용한 피싱 공격, 신분 도용, 표적 사기 등의 잠재적 위험이 따른다. 전문가들은 콴타스 항공이나 제휴 파트너를 사칭하는 의심스러운 통신에 대해 경계를 강화할 것을 권고한다.
한편, 이번 유출 사건은 호주의 데이터 보호 규제와 타사 위험 관리 표준에 대한 새로운 논쟁을 촉발시켰다. 최근 개정된 개인정보보호법은 이전 체계보다 훨씬 높은 벌금을 부과할 수 있도록 하며, 심각한 위반의 경우 최대 A$5천만(약 5천만 호주 달러) 또는 매출의 30%에 달하는 벌금이 부과될 수 있다.
2025년 7월 초 현재 전 세계 주요 데이터 유출 요약
| 기관 | 날짜 | 범위 (영향받은 개인 수) | 노출된 데이터 | 공격 벡터 / 원인 | 산업 분야 |
|---|---|---|---|---|---|
| 콴타스 | 2025년 7월 | 약 6백만 명 | 이름, 이메일, 전화번호, 생년월일, 상용 고객 번호 | 사회 공학을 통한 타사 플랫폼 침해 | 항공 |
| 줌카 | 2025년 6월 | 840만 명 | 이름, 전화번호, 차량 등록 정보, 주소, 이메일 | 알 수 없음, 사건 후 발견됨 | 모빌리티 / 렌탈 |
| 160억 개 자격 증명 유출 | 2025년 6월 | 160억 개 자격 증명 | 사용자 이름, 비밀번호, 토큰, 쿠키, 메타데이터 | 정보 탈취 악성코드 및 크리덴셜 스터핑으로부터 집계 | 글로벌 / 다중 산업 |
| 에피소스 | 2025년 6월 | 540만 명 | 개인 정보, 사회보장번호(SSN), 건강 보험, 의료 기록 | 무단 접근 | 의료 |
| 아홀드 델하이즈 | 2025년 6월 | 220만 명 | 개인 정보, 사회보장번호(SSN), 여권, 운전면허증, 금융 |