"한국인 620명 정보 유출"…개인정보위, 英 크리스티스에 과징금 2억여원 부과

[아이뉴스24 박정민 기자] 개인정보보호위원회가 한국인 회원 620명의 개인정보를 유출한 영국 경매회사 크리스티스에 과징금 2억 8000만원과 과태료 720만원을 부과했다.

개인정보위는 지난 8일 전체회의에서 이같은 제재 처분을 의결하고 처분 사실의 공표를 명령했다고 9일 밝혔다.

앞서 크리스티스에서는 지난 2024년 헬프데스크 직원이 보이스피싱에 속아 해커에게 개인정보처리시스템 접근 권한을 부여하고, 한국 회원 620명의 개인정보가 유출되는 사고가 발생한 바 있다. 성명·국적·주소와 함께 주민등록번호 등 고유식별정보도 유출됐다.

개인정보위 조사에 따르면 크리스티스는 해킹 당시 비밀번호 재발급 확인 절차를 지키지 않고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해준 사실이 확인됐다. 재발급 절차 역시 문자, 이메일 인증 등 별도의 안전한 인증수단 없이 입사일·소속 부서 등 간단한 정보만 확인하는 식으로 운영됐다.

크리스티스는 조사 과정에서 고객의 주민등록증·운전면허·여권 번호 등을 암호화 조치 없이 저장한 사실도 확인됐다. 개인정보위는 크리스티스가 개인정보보호법상 고유식별정보처리 의무(24조), 안전조치 의무(29조), 통지·신고 의무(34조) 등을 위반했다고 보고 과징금·과태료를 부과했다.

개인정보위 관계자는 "개인정보처리자는 정당한 접근 권한을 가지지 않은 자가 인증수단을 쉽게 추출하거나 탈취하지 않도록 인증수단을 안전하게 적용·관리해야 한다"며 "주민등록번호 유출의 경우 회복하기 어려운 중대한 피해가 발생할 수 있음을 엄중히 인식해야 한다"고 설명했다.