개인정보보호위원회는 한국 회원 620명의 개인정보를 유출한 국제 경매회사 크리스티스(Cristie, Manson & Woods, Ltd.)에 과징금 2억 8,000만 원과 과태료 720만 원을 부과했습니다.

개인정보위는 어제(8일) 열린 제6회 전체회의에서 이같이 의결하고, 처분 사실을 홈페이지에 공표하도록 명령했습니다.

개인정보위에 따르면, 지난 2024년 크리스티스는 직원이 해커의 보이스피싱에 속아 개인정보처리시스템에 대한 접근 권한을 해커에게 부여했습니다.

이 사고로 한국 회원 620명의 이름과 국적, 주소, 주민등록번호 등이 유출됐습니다.

조사 결과, 크리스티스는 개인정보처리시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우 별도의 인증수단 없이 요청자의 입사일, 소속부서 등 간단한 정보만을 확인한 뒤 재발급을 하고 있었는데 해킹 당시에는 이러한 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해 준 것으로 드러났습니다.

개인정보위는 "이밖에도 고객의 주민등록번호, 운전면허번호, 여권번호 등을 암호화 조치 없이 저장하는 등 안전조치 의무 위반과 함께, 법령상 주민등록번호 처리 근거 없이 고객의 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집‧보관한 사실도 확인됐다"고 밝혔습니다.

또 개인정보 유출 사실을 인지한 후 정당한 사유 없이 72시간을 넘겨 신고·통지한 점도 위반 사항으로 지적했습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

이지현(ji@yna.co.kr)