연합뉴스보이스피싱에 속아 해커에게 한국 고객 정보를 넘긴 글로벌 경매사 '크리스티 맨슨 앤 우즈'(크리스티스)가 과징금 2억 8천만 원과 과태료 720만 원을 부과받았다.
9일 개인정보보호위원회에 따르면, 위원회는 전날 제6회 전체회의를 열고 이같은 제재와 처분 사실의 공표를 명령했다.
영국 소재의 글로벌 경매회사 크리스티스는 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템에 대한 접근 권한을 해커에게 부여해 한국 회원 620명의 개인정보를 유출한 것으로 조사됐다.
유출된 정보에는 성명, 국적, 주소, 고유식별정보(주민등록번호, 여권번호) 등이 포함됐다.
조사 결과, 크리스티스는 개인정보처리시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우, 별도의 안전한 인증수단 없이 요청자의 입사일, 소속부서 등 간단한 정보만을 확인한 뒤 재발급을 하던 것으로 나타났다.
해킹 당시에는 이같은 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경하기도 했다.
또 고객의 주민등록번호, 운전면허번호, 여권번호 등을 암호화 조치 없이 저장하는 등 안전조치 의무도 위반한 것으로 드러났다. 법적 근거 없이 고객의 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집·보관한 사실도 확인되됐다.
여기에 더해 개인정보 유출 인지 후에도 정당한 사유 없이 72시간을 경과해 신고하기도 했다.
개인정보위 관계자는 "정당한 접근 권한을 가지지 않은 자가 인증수단을 쉽게 추출하거나 탈취하지 않도록 인증수단을 안전하게 적용·관리해야 한다"며 "주민등록번호가 유출될 경우 회복하기 어려운 중대한 피해가 발생할 수 있기 때문에 법령상 근거가 없이 수집 및 처리할 수 없다"고 강조했다.