개인정보보호위원회는 4월 8일 전체회의를 열어 글로벌 경매회사 크리스티스(Cristie, Manson & Woods, Ltd.)에 대해 과징금 2억 8,000만 원과 과태료 720만 원을 부과하고, 처분 사실을 공표하도록 명령했다고 밝혔다.
크리스티스는 영국에 본사를 둔 세계적인 경매 업체로, 지난해 5월 해커의 보이스피싱 공격으로 한국인 회원 620명의 개인정보가 유출됐다. 유출된 정보에는 성명, 국적, 주소뿐 아니라 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 같은 고유식별정보도 포함됐다.
조사 결과 크리스티스는 비밀번호 재발급 과정에서 안전한 인증 절차를 갖추지 않았다. 정당한 본인 확인 없이 입사일이나 소속 부서 같은 간단한 정보만 확인한 후 비밀번호를 재발급했고, 해커가 전화로 접근 권한을 요청했을 때는 아예 확인 절차 자체를 생략했다. 해커는 이 과정에서 계정에 연결된 전화번호를 자신의 번호로 변경해 시스템에 접속할 수 있었다.
또한 크리스티스는 고객의 주민등록번호와 운전면허번호, 여권번호 등을 암호화하지 않고 저장해 안전조치 의무를 위반했다. 특히 주민등록번호는 관련 법령에 명시적인 처리 근거가 없음에도 한국인 회원의 신분 확인 목적으로 수집·보관해 온 것으로 드러났다.
개인정보 유출 사실을 인지한 시점은 지난해 5월 18일이었지만, 크리스티스는 정당한 사유 없이 72시간이 지난 5월 31일에야 유출 신고를 하고, 5월 30일에 통지를 완료했다. 이에 따라 개인정보보호법이 정한 유출 통지·신고 의무도 위반한 것으로 확인됐다.
개인정보보호위원회는 이번 처분과 관련해 “개인정보처리자는 정당한 접근 권한이 없는 자가 인증수단을 쉽게 탈취하지 못하도록 안전하게 적용·관리해야 한다”고 당부했다. 아울러 “주민등록번호가 유출될 경우 회복하기 어려운 중대한 피해가 발생할 수 있음을 엄중히 인식해 법령상 명시적 근거가 없는 한 주민등록번호를 수집·처리해서는 안 된다”고 거듭 강조했다.
이번 조치는 개인정보위가 글로벌 기업의 개인정보 보호 의무 위반에 대해 엄격한 기준을 적용한 사례다. 향후에도 국내외 사업자를 막론하고 개인정보 보호 법규를 위반할 경우 강력한 제재가 이어질 전망이다.
