소더비와 함께 세계 최대 경매회사로 꼽히는 ‘크리스티스(크리스티, 맨슨 앤드 우즈)’가 한국 회원 정보 유출과 관련해 과징금 처분을 받았다.

개인정보보호위원회는 8일 전체회의에서 개인정보 보호 법규를 위반한 크리스티스에 과징금 2억8000만원과 과태료 720만원을 부과하고 처분사실 공표를 명령했다고 9일 밝혔다.

개인정보위에 따르면 크리스티스는 안내데스크 직원이 해커의 보이스피싱에 속아 개인정보처리 시스템에 대한 접근 권한을 해커에게 부여, 한국 회원 620명의 이름·국적·주소를 비롯해 주민번호·여권번호·운전면허번호 등과 같은 고유식별번호가 유출됐다.

조사 결과, 크리스티스는 개인정보처리시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우, 문자·이메일 등 별도의 안전한 인증수단 없이 요청자의 입사일, 소속부서 등 간단한 정보만을 확인한 뒤 재발급을 하고 있었다.

해킹 당시에는 이러한 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해 준 것으로 나타났다.

또한, 고객의 주민등록번호·운전면허번호·여권번호 등을 암호화 조치 없이 저장하는 등 안전조치 의무 위반과 함께 법령상 주민등록번호 처리 근거 없이 고객의 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집·보관한 사실도 확인됐다.

개인정보 유출 신고도 정당한 사유 없이 72시간을 경과해 이뤄졌다.

개인정보위는 “정당한 접근 권한을 가지지 않은 자가 인증수단을 쉽게 추출하거나 탈취하지 않도록 인증수단을 안전하게 적용·관리해야 한다”며 “법령상 명시적인 근거가 없는 경우 주민등록번호를 수집 및 처리할 수 없다”고 강조했다.

이재걸 기자 claritas@naeil.com