개인정보위, 안전조치의무 소홀 및 주민등록번호 처리 제한 위반 사실 확인

[보안뉴스 한세희 기자] 글로벌 경매 기업 크리스티가 부실한 관리로 개인정보를 유출, 2억8000만원의 과징금을 내게 됐다.

개인정보보호위원회(위원장 송경희)는 개인정보 보호 법규를 위반한 크리스티(Cristie, Manson & Woods, Ltd.)에 과징금 2억8000만원과 과태료 720만원을 부과했다고 9일 밝혔다.


크리스티 헬프데스크 직원이 2024년 해커의 보이스피싱에 속아 개인정보처리 시스템 접근 권한을 해커에게 부여한 것으로 조사 결과 나타났다. 이에 따라 한국 회원 620명의 이름과 국적, 주소, 주민등록번호나 여권번호 등 고유식별정보 등 개인정보가 유출됐다.

크리스티는 개인정보처리시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우, 문자나 이메일 등 별도 인증 수단 없이 요청자의 입사일, 소속 부서 등 간단한 정보만 확인해 재발급했다. 해킹 당시엔 이러한 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커 전화번호로 변경해 주었다.

또 고객 주민등록번호, 운전면허번호, 여권번호 등을 암호화 조치 없이 저장했고, 법령상 근거 없이 고객 신분 확인 목적으로 한국인 회원의 주민등록번호를 수집보관했다. 개인정보 유출 사실을 인지한 후 정당한 사유 없이 72시간을 경과해 유출 신고 및 통지한 점도 문제가 됐다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>