[이코노미스트 박세진 기자] 에어프랑스-KLM그룹의 대규모 개인정보 유출 사건과 관련해 한국인 피해자가 존재하는 것으로 확인됐다.

11일 본지 취재에 따르면 해커 단체가 최근 에어프랑스가 사용하는 세일즈포스(Salesforce) 고객관리 플랫폼에 침입해 데이터에 접근했다. 이 플랫폼은 고객 상담, 마일리지 관리, 문의 처리 등 고객 서비스 전반에 활용되고 있다.

에어프랑스는 해킹 사실을 확인한 직후 피해 승객들에게 공식 안내문을 발송했다. 통보 대상에는 한국 출발·도착편인 AF0267(인천→파리), AF0264(파리→인천) 이용객도 포함됐다. 해당 편명에는 통상 에어버스의 A350-900 기재가 투입되는데, 편당 최대 탑승 가능 인원은 약 324명이다.

지난 7월 22일 에어프랑스 홈페이지를 통해 인천~파리 항공권을 구매한 A 씨는 27일 환불을 요청했지만, 13일 뒤인 8월 8일 ‘개인정보 유출 피해자’라는 통보 메일을 받았다.

A씨는 “취소한 항공권임에도 갑작스럽게 개인정보 유출 사실을 통보받았다”며 “해킹 사유와 재발 방지 대책에 대한 설명이 없어 답답하다”고 말했다.

에어프랑스 측에 따르면, 이번 유출로 이름과 연락처, 이메일 주소 등이 노출됐다. 반면 신용카드 정보, 여권 번호, 마일리지 잔액, 비밀번호 등은 유출되지 않았다고 한다.

에어프랑스는 이번 사건을 프랑스 개인정보보호위원회(CNIL)에 보고했다. CNIL은 프랑스에서 개인정보 보호를 감독하는 국가기관으로, 우리나라의 개인정보보호위원회와 비슷한 역할을 한다.

프랑스를 포함한 모든 유럽연합(EU) 회원국은 2018년부터 ‘유럽 일반개인정보보호법’(GDPR)을 똑같이 적용받는다. 각 나라는 자국의 감독기관을 통해 이 규정을 집행하는데, 프랑스에서는 CNIL이 그 주체다.

GDPR은 개인정보가 유출됐을 때 기업이 취해야 할 조치를 엄격하게 규정하고 있다. 특히 침해 사실을 인지하면 최대 72시간 이내에 감독기관에 신고해야 한다. 이를 어기면 과징금 등 강력한 제재를 받을 수 있다.

한국인 피해 규모는 아직 집계되지 않았다. 에어프랑스 관계자는 “프랑스 본사에 한국인 피해 규모와 보상안을 확인 중”이라고 밝혔다.

문제는 해외에 본사를 둔 항공사의 개인정보 침해 사건이 발생했을 때, 한국 개인정보보호위원회가 직접 강제 조사나 제재를 내리기는 어렵다는 점이다. 개인정보보호위원회의 권한은 국내 사업자나 한국 내에서 개인정보를 처리하는 사업자에 한정되기 때문이다.

또 피해자가 권리를 구제받는 과정의 장벽도 높다. 직접 대응할 경우 언어와 절차, 비용 문제로 실질적인 접근이 쉽지 않다. 집단 소송 역시 해당 국가의 법률 체계에서만 가능하기 때문이다. 

항공업계 관계자는 “한국보다 해외에서는 피해 구제 절차의 장벽이 높다. 다만 소비자 피해 구제를 대행하는 업체들이 있어 외국인들도 이를 통해 보상을 받는 경우가 있다”며 “한국에도 외항사 상대 피해 구제를 전문으로 하는 에이전시가 있고, 이런 업체를 통해 단체로 대응하면 도움이 될 수 있을 것”이라고 조언했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지