개인정보위, 해커에 속아 정보 유출한 크리스티스에 과징금 2억8000만원

개인정보보호위원회는 8일 전체회의를 열고 개인정보를 유출한 글로벌 경매 사업자 ‘크리스티스(Cristie, Manson & Woods, Ltd.)’에 과징금 2억8000만원과 과태료 720만원을 부과하고, 처분 사실 공표를 명령했다고 9일 밝혔다.

이번 조사는 개인정보 유출 신고를 계기로 이뤄졌다. 개인정보위에 따르면, 크리스티스는 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템 접근 권한을 넘겨주면서 한국 회원 620명의 개인정보를 유출했다. 유출 정보에는 성명, 국적, 주소와 함께 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 같은 고유식별정보가 포함됐다.

개인정보위는 크리스티스의 비밀번호 재발급 절차가 허술했다고 판단했다. 회사는 개인정보처리시스템 접속 비밀번호 재발급 요청을 받을 때 문자나 이메일 같은 별도 인증수단 없이 입사일, 소속부서 등 간단한 정보만 확인한 뒤 비밀번호를 재발급했다. 해킹 당시에는 이런 확인 절차도 지키지 않은 채 비밀번호를 재발급했고, 계정 접속에 필요한 전화번호까지 해커 전화번호로 바꿔준 것으로 조사됐다.

개인정보위는 주민등록번호 처리 제한 위반도 확인했다. 크리스티스는 고객의 주민등록번호, 운전면허번호, 여권번호 등을 암호화하지 않고 저장했다. 또 법령상 근거 없이 한국인 회원의 주민등록번호를 신원 확인 목적으로 수집·보관한 사실도 드러났다. 개인정보위는 주민등록번호는 법령에 명시적 근거가 있을 때만 처리할 수 있다고 밝혔다.

유출 신고와 통지도 늦었다. 개인정보위에 따르면 크리스티스는 2024년 5월 18일 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 같은 달 30일 통지하고 31일 신고했다.

개인정보위는 개인정보처리자가 정당한 접근 권한이 없는 사람이 인증수단을 쉽게 알아내거나 빼내지 못하도록 인증수단을 안전하게 적용·관리해야 한다고 당부했다. 아울러 주민등록번호가 유출되면 회복하기 어려운 피해가 생길 수 있는 만큼, 법적 근거 없이 주민등록번호를 수집·처리해서는 안 된다고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network