[개인정보보호위원회 제공]
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 한국 회원 620명의 개인정보를 유출한 '크리스티스'에 과징금 2억8천만원과 과태료 720만원을 부과했다고 9일 밝혔다.
개인정보위는 전날 전체회의에서 이같이 의결하고, 처분 사실을 홈페이지에 공표하도록 명령했다.
개인정보위에 따르면 영국 소재 글로벌 경매회사인 크리스티스는 헬프데스크 직원이 보이스피싱에 속아 해커에게 개인정보처리시스템에 대한 접근 권한을 부여하면서 유출 사고가 발생했다.
이 사고로 한국 회원 620명의 성명, 국적, 주소와 함께 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보가 유출됐다.
조사 결과 크리스티스는 비밀번호 재발급 요청 시 문자나 이메일 등 별도의 인증 절차 없이 입사일, 소속 부서 등 간단한 정보만으로 본인 확인을 한 뒤 비밀번호를 재발급해온 것으로 나타났다.
사고 당시에는 이러한 확인 절차도 지키지 않은 채 비밀번호를 재발급하고, 계정 접속에 필요한 전화번호를 해커의 번호로 변경해 준 것으로 확인됐다.
또 고객의 주민등록번호, 여권번호, 운전면허번호 등을 암호화하지 않고 저장하는 등 안전조치 의무를 위반했으며, 법적 근거 없이 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집·보관한 사실도 드러났다.
개인정보 유출 사실을 인지한 후 정당한 사유 없이 72시간을 넘겨 신고·통지한 점도 위반 사항으로 지적됐다.
개인정보위는 "개인정보처리자는 정당한 접근 권한을 가지지 않은 자가 인증수단을 쉽게 추출하거나 탈취하지 않도록 인증수단을 안전하게 적용·관리해야 한다"고 당부했다.
이어 "주민등록번호가 유출될 경우 회복하기 어려운 중대한 피해가 발생할 수 있다"며 "법령상 명시적인 근거가 없는 경우 주민등록번호를 수집 및 처리해서는 안 된다"고 강조했다.
chacha@yna.co.kr