[서울=뉴시스] 신효령 기자 = 보이스피싱에 속아 수백 명의 개인정보를 유출한 글로벌 경매회사 크리스티스가 우리나라 정부로부터 과징금 제재를 받았다.

개인정보보호위원회는 전날 제6회 전체회의를 열고 개인정보 보호 법규를 위반한 크리스티스에 과징금 2억8000만원 및 과태료 720만원을 부과하기로 의결했다고 9일 밝혔다. 아울러 처분 사실을 사업자 홈페이지에 공표하도록 명령했다.

크리스티스는 영국 소재 글로벌 경매회사로, 2024년 5월 개인정보 유출 신고에 따라 개인정보위 조사가 진행됐다.

조사 결과 헬프데스크 직원이 해커의 보이스피싱에 속아 시스템 접근 권한을 넘겨주면서 한국 회원 620명의 개인정보가 유출된 것으로 확인됐다. 유출된 정보에는 성명·국적·주소는 물론 주민등록번호·여권번호·운전면허번호·외국인등록번호 등 고유식별정보가 포함됐다.

크리스티스의 보안 체계는 허술했던 것으로 드러났다. 비밀번호 재발급시 문자나 이메일 인증 같은 안전한 수단 대신, 입사일·소속 부서 등 기초 정보만 확인해 왔다. 해킹 당시에는 이러한 확인 절차도 지키지 않은 채 비밀번호를 재발급하고, 계정 접속용 전화번호까지 해커의 연락처로 변경해줬다.

또한 주민등록번호, 운전면허번호, 여권번호 등을 암호화하지 않고 저장하는 등 안전조치 의무를 위반했다. 법적 근거 없이 한국인 회원의 주민등록번호를 수집·보관한 사실이 밝혀졌다.

개인정보 유출 인지 후 72시간을 넘겨 신고·통지한 늑장 대응도 확인됐다. 현행 개인정보보호법에 따르면, 개인정보처리자는 개인정보 유출 사실을 인지한 이후 72시간 이내에 개인정보위 등 감독기관에 신고해야 한다.

개인정보위는 "개인정보처리자가 정당한 접근 권한이 없는 자에게 인증수단이 쉽게 추출되거나 탈취되지 않도록 보안 조치를 강화해야 한다"고 당부했다. 또한 주민등록번호는 유출시 회복이 어려운 중대한 피해로 이어질 수 있는 만큼, 법령상 명시적인 근거가 없는 경우에는 수집 및 처리를 엄격히 금지해야 한다고 강조했다.


◎공감언론 뉴시스 snow@newsis.com