메뉴 보기
영국에 소재한 세계적 경매 회사 크리스티가 주민등록번호를 비롯한 한국 회원 620명의 개인정보를 유출해 과징금 2억8000만원과 과태료 720만원을 물게 됐다.
개인정보보호위원회는 8일 전체 회의에서 개인정보 보호법을 위반한 크리스티에 이 같은 처분을 의결했다.
2024년 5월 크리스티의 헬프 데스크 직원이 해커의 보이스피싱에 속아 해커에게 개인정보 처리 시스템 접근 권한을 부여해 한국 회원 620명의 민감한 개인정보가 유출됐다. 성명과 국적, 주소뿐 아니라 고유 식별 정보인 주민번호, 여권 번호, 운전면허 번호, 외국인 등록 번호 등이 포함됐다.
크리스티는 개인정보 처리 시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우 문자메시지나 이메일 인증 같은 별도의 인증 수단 없이 입사일, 소속 부서 등 간단한 정보만 확인해 비밀번호를 재발급해 온 것으로 조사됐다. 해킹 당시엔 이런 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 바꿔 주기까지 했다.
크리스티는 또 한국 회원의 주민번호, 여권 번호, 운전면허 번호 등을 암호화 조치 없이 저장하는 등 안전조치 의무를 위반했다. 주민번호의 경우엔 법령상 처리 근거 없이 고객의 신분 확인을 목적으로 수집해 보관했다.
개인정보위는 “개인정보 처리자는 인증 수단을 안전하게 적용해 관리해야 한다”며 “법령상 명시적 근거가 없으면 주민번호를 수집·처리할 수 없다”고 강조했다.
