호주 국적항공사 콴타스(Qantas Airways)가 최근 발생한 고객 정보 유출 사태와 관련해, 뉴사우스웨일스(NSW) 대법원으로부터 유출된 데이터에 대한 제3자 접근·공개를 금지하는 임시 금지 명령(interim injunction)을 받아냈다.
2025년 7월 17일, 로이터 통신 보도에 따르면, 이번 가처분 결정은 유출된 개인정보가 온라인이나 다크웹 등지에 추가로 확산되는 것을 사전에 차단하기 위한 법적 장치다.
이번 조치는 이달 초 사이버 해커의 침입으로 수백만 명의 고객 정보가 보관돼 있던 내부 데이터베이스가 공격을 받은 이후 빠르게 추진됐다. 콴타스 측은 “현재까지 유출 정보가 외부에 게시·판매된 정황은 확인되지 않았다“고 강조했다.
사고 경위와 피해 규모
콴타스는 이번 사고로 피해를 본 고객이 총 약 570만 명에 달한다고 밝혔다. 회사는 사고 발생 직후 내부 조사팀을 꾸리고, 지난주 피해 고객 전원에게 이메일·문자 등을 통해 침해된 개인정보 항목(이름, 연락처 등)을 구체적으로 안내했다.
항공사 측은 공식 성명에서
“신용카드 정보, 금융 정보, 여권 번호는 해당 시스템에 저장돼 있지 않았으며, 따라서 어떠한 접근도 이뤄지지 않았다”
고 설명했다.
배경: 호주 잇단 대형 유출 사건
이번 해킹은 호주에서 최근 수년간 발생한 최대 규모 보안 침해로 평가된다. 2022년에는 통신사 옵터스(Optus)와 건강보험사 메디뱅크(Medibank)가 유사한 공격을 받아 고객 데이터가 대량 유출된 바 있다. 전문가들은 호주 기업 전반의 사이버 방어 체계가 복합적 위협에 비해 취약하다는 지적을 제기하고 있다.
특히 항공·운송 산업은 여권·여행 이력 등 고부가가치 개인정보를 다량 보유하고 있어 해커들의 주 표적 중 하나로 꼽힌다. 이번 사고는 정교한 피싱 메일 또는 웹 애플리케이션 취약점을 통한 자격 증명 탈취 방식으로 이뤄졌을 가능성이 제기된다.
당국 및 기관 공조
콴타스는 이번 사건과 관련해 호주 연방경찰(AFP), 국가 사이버보안 조정관(National Cyber Security Coordinator), 호주 사이버보안센터(ACSC) 등과 긴밀히 협력 중이라고 밝혔다. 회사는 “범죄 행위 전모를 규명하기 위한 포렌식 분석과 추적 작업을 계속 진행 중”이라고 전했다.
해킹 피해가 확인된 후, 정부 기관은 위협 수준을 ‘중대’로 상향하고, 업계 전반에 추가 보안 점검 및 다단계 인증(MFA) 강화 지침을 전달했다.
용어로 본 사건 이해
임시 금지 명령(interim injunction)은 본안 재판이 진행되는 동안 권리 침해가 확대되는 것을 막기 위해 법원이 긴급하게 내리는 가처분 결정이다. 본 사건의 경우, 해커가 탈취 정보를 다크웹에 유포하거나 언론·포럼에 게시하려는 움직임이 포착될 때 즉각적인 삭제·차단을 강제할 수 있는 효력이 있다.
또한 데이터 침해(data breach)는 허가받지 않은 주체가 시스템에 접근해 개인정보를 포함한 각종 자료를 획득·유포하는 행위를 의미한다. 최근 기업들은 이와 관련해 GDPR유럽 일반 개인정보보호법, CCSL호주 사이버보안법 개정안(논의 중) 등 엄격한 규제를 동시에 준수해야 한다.
업계 파장과 전망
항공업계 전문가들은 이번 사건이 여행 수요가 팬데믹 이후 회복 국면에 접어든 시점에서 발생했다는 점에 주목한다. 한 투자은행 애널리스트는 “데이터 신뢰성 손상은 고객 충성도와 직결되며, 장기적으로 매출·브랜드 가치에 악영향을 미칠 수 있다”고 평가했다.
다만 임시 금지 명령을 통해 확산을 조기에 차단했고, 결제 정보·여권 정보가 보호됐다는 점이 확인되면서, 단기 주가 변동성은 제한적일 수 있다는 관측도 있다.
전문가들은 “이번 사태는 정보 보안 투자의 필요성을 재확인시킨 계기”라며 “제로 트러스트(Zero Trust) 아키텍처 구축, 위협 인텔리전스 공유 체계가 요구된다”고 지적했다.
콴타스의 후속 조치
콴타스는 전사적 보안 점검 외에도, 피해 고객에게 24개월간 무료 신용 모니터링 서비스 제공을 검토 중이라고 밝혔다. 회사 관계자는 “조사가 완료되면 보안 인프라를 전면 업그레이드하고, 내부 직원 대상 사이버 보안 교육을 강화할 계획”이라고 전했다.
한편 일부 소비자 단체는 “사고 이후 콴타스의 초기 대응 속도와 정보 공개 범위가 이전 유출 사고 대비 개선됐다”고 평가하면서도, “통합적 개인정보 보호법제 개정과 징벌적 손해배상제 도입이 시급하다”고 촉구했다.
※ 기사 작성 시점 기준, 해킹 조직의 정체와 구체적 침입 경로는 공식적으로 발표되지 않았다. 본 문서에 포함된 금융·법률 해석은 기자의 전문적 견해이며, 투자·법적 판단의 근거로 활용되기 전에 반드시 추가적 자문을 구할 필요가 있다.
