SBS Biz

[사진=개인정보보호위원회]

개인정보보호위원회는 한국 회원 620명의 개인정보를 유출한 영국 소재 글로벌 경매회사 '크리스티스'(Cristie, Manson & Woods, Ltd.)에 과징금 2억 8천만 원과 과태료 720만 원을 부과했다고 오늘(9일) 밝혔습니다.

개인정보위는 어제(8일) 열린 전체회의에서 이같이 의결한 뒤 처분 사실을 홈페이지에 공표하도록 명령했습니다.

개인정보위에 따르면 크리스티스는 헬프데스크 직원이 보이스피싱에 속아 해커에게 개인정보처리시스템에 대한 접근 권한을 부여하면서 유출 사고가 발생했습니다. 이 사고로 한국 회원 620명의 성명, 국적, 주소와 함께 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보가 유출된 것입니다.

조사 결과 크리스티스는 비밀번호 재발급 요청 시 문자나 이메일 등 별도의 인증 절차 없이 입사일, 소속 부서 등 간단한 정보만으로 본인 확인을 한 뒤 비밀번호를 재발급해온 것으로 나타났습니다.

심지어 사고 당시에는 이러한 확인 절차도 지키지 않은 채 비밀번호를 재발급하고, 계정 접속에 필요한 전화번호를 해커의 번호로 변경해 준 것으로 확인됐습니다. 고객의 주민등록번호, 여권번호, 운전면허번호 등을 암호화하지 않고 평문으로 저장하는 등 안전조치 의무도 위반한 것으로 드러났습니다. 아울러 법적 근거 없이 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집·보관하기도 했습니다.

크리스티스는 또 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 신고·통지한 점도 위반 사항으로 지적했습니다.