[뉴스토마토 전연주 기자] 개인정보보호위원회(개보위)가 개인정보 보호 법규를 위반한 글로벌 경매업체 크리스티스에 과징금 2억8000만원과 과태료 720만원을 부과했습니다. 개인정보 유출 사고와 함께 주민등록번호를 법적 근거 없이 수집·보관한 사실까지 확인됐다는 이유입니다.
송경희 개인정보보호위원회 위원장이 지난 8일 서울 종로구 정부서울청사에서 열린 2026년 제6회 개인정보보호위원회 전체회의에서 발언하고 있다. (사진=연합뉴스)
개보위는 지난 8일 제6회 전체회의를 열고 크리스티스에 대해 이 같은 제재를 의결하고, 처분 사실을 홈페이지에 공표하도록 명령했다고 9일 밝혔습니다.
크리스티스는 영국 소재의 글로벌 경매 회사입니다. 이번 사건은 크리스티스 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템 접근 권한을 넘기면서 발생했습니다. 이로 인해 한국 회원 620명의 개인정보가 유출됐습니다. 유출 정보에는 성명, 국적, 주소뿐 아니라 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보도 포함됐습니다.
조사 결과 크리스티스는 비밀번호 재발급 과정에서 별도의 안전한 인증수단을 두지 않았습니다. 문자나 이메일 인증 없이 요청자의 입사일, 소속 부서 등 간단한 정보만 확인한 뒤 비밀번호를 재발급한 겁니다. 해킹 당시에는 최소한의 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고, 계정 접속에 필요한 전화번호도 해커의 번호로 변경해 준 것으로 나타났습니다.
안전조치의무 위반도 확인됐습니다. 크리스티스는 고객의 주민등록번호와 운전면허번호, 여권번호 등을 암호화 조치 없이 저장했습니다. 여기에 더해 법령상 주민등록번호 처리 근거 없이 한국인 회원의 주민등록번호를 신분 확인 목적으로 수집·보관하기도 했습니다. 개보위는 이를 근거로 안전조치의무 위반과 주민등록번호 처리 제한 위반을 함께 적용했습니다.
유출 대응 과정도 문제로 지적됐습니다. 크리스티스는 개인정보 유출 사실을 2024년 5월18일 인지했지만, 유출 신고는 5월31일, 유출 통지는 5월30일 이뤄졌습니다. 정당한 사유 없이 72시간을 넘겨 신고·통지 의무를 이행한 점도 제재 사유에 포함했습니다.
개보위는 이번 처분이 해외 사업자라도 국내 이용자 개인정보를 처리하는 과정에서 안전한 인증 체계와 암호화 조치, 적기 신고 의무를 소홀히 할 경우 제재 대상이 될 수 있음을 보여주는 사례라고 보고 있습니다. 특히 주민등록번호는 유출 시 회복이 어려운 피해로 이어질 수 있는 만큼, 법령상 명시적인 근거가 없는 경우 수집·처리할 수 없다고 거듭 강조했습니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지