여권·결제정보 다루는 여행사들…정보보호 공시는 '하나투어' 뿐

[사진=최근 3년간 하나투어의 KISA 공시를 바탕으로 챗GPT가 생성한 이미지][디지털데일리 장주영 기자] 여권 정보와 결제 정보 등 민감한 개인정보를 대량으로 보유한 여행업계가 정보보호 투자 확대 필요성에 직면한 가운데, 주요 여행사 중 정보보호 투자 현황을 공개한 곳은 하나투어가 유일한 것으로 나타났다.개인정보 유출과 랜섬웨어 공격이 잇따르는 상황에서 대다수 여행사는 투자 규모조차 확인하기 어려워 업계의 정보보호 투자 투명성을 높여야 한다는 지적이 잇따른다.1일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 하나투어는 최근 3년간 정보보호 투자와 전담 인력을 꾸준히 확대해왔다.하나투어의 정보보호 투자액은 2023년 20억6929만원에서 2024년 23억2388만원, 2025년 24억5456만원으로 2년 새 약 18.6%(3억8527만원) 증가했다.정보기술(IT) 투자액 대비 정보보호 투자 비중도 2023년 5.9%에서 2024년 6.6%, 지난해 6.8%로 꾸준히 상승했다.정보보호 전담 인력 역시 같은 기간 10.3명에서 11.9명, 13.2명으로 늘었다. 내부 인력은 9.3명에서 12.2명으로 증가했으며 외주 인력은 1명을 유지했다. 정보기술 인력 대비 정보보호 인력 비중도 4%에서 3년만에 5.7%까지 확대됐다.투자는 3년 연속 보안 솔루션 구축과 고도화에 집중됐다. 하나투어는 보안 솔루션 신규 도입과 보안관제 운영, 개인정보보호 솔루션 고도화 등을 추진했다.이와 함께 실시간 보안관제, 사이버 위협정보 분석·공유시스템(C-TAS) 참여, 정보시스템 취약점 진단, 개인정보보호 교육 등 보안 체계 강화 활동도 지속하고 있다.반면 모두투어와 참좋은여행, 노랑풍선, 교원투어, 한진트래블 등 공시 자율성을 띄는 주요 B2C 여행사들은 정보보호 투자 현황을 공시하지 않고 있다.현행 정보보호 공시는 매출액 3000억원 이상, 정보통신 서비스 일 평균 이용자 100만명 이상 등 일정 규모 이상의 정보통신서비스 사업자 등을 대상으로 이뤄진다. 때문에 공시 의무가 없는 기업은 투자 규모를 외부에서 확인하기 어려우며 업계 전반에서 정보보호 투자가 확대되고 있는지 여부도 파악할 수 없는 상황이다.다만 공시 의무가 없더라도 개인 민감 정보를 다루는 업종이나 기업의 경우 자율적으로 현황을 공시하기도 한다. 정보보호 투자가 단순한 비용이 아닌 고객 신뢰를 확보하기 위한 필수 투자라는 인식이 있기 때문이다. 온라인 예약과 해외 결제가 일상화된 만큼 개인정보 보호 수준을 높이고 투자 현황을 보다 투명하게 공개하려는 노력을 들이는 셈이다.정부 또한 지난 1월부터 정보보호 공시 의무 조건 중 하나인 ‘매출액 3000억원 이상’ 조건을 삭제하고 유가증권시장 및 코스닥 상장 법인 전체로 공시 의무를 확대하는 개정안 입법을 추진 중이다.여행사는 고객의 여권 정보와 생년월일, 연락처, 카드 결제 정보, 여행 일정 등 민감한 개인정보를 대량으로 보유하는 업종이다. 최근 전 세계적으로 랜섬웨어 공격과 개인정보 유출 사고가 증가하면서 여행업계 역시 정보보호 중요성이 더욱 커지고 있으나, 한국의 여행시장은 관련 부문에서 여전히 미흡하다는 지적이 나온다.하나투어 관계자는 “민감한 여행 예약 정보를 다루는 여행 기업으로서 정보보호 관리체계 인증(ISMS) 등 보안 체계를 꾸준히 고도화하며 최근에는 제로 트러스트 시범사업에 수요기업으로 참여하는 등 보안 시스템 전반을 점검하고 있다”며 “앞으로도 끊임없는 보안 혁신을 통해 안심하고 이용할 수 있는 여행 서비스를 제공할 계획”이라고 전했다.
원문 보기 ↗