개인정보위, 개인정보 유출한 글로벌 경매 사업자 크리스티스에 과징금 2억 8,000만 원 부과
- 안전조치의무 소홀 및 주민등록번호 처리 제한 위반사실 확인
- 주민등록번호는 법령상 명시적인 근거가 있는 경우에만 처리 가능
개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 4월 8일(수) 제6회 전체회의를 열고, 개인정보 보호 법규를 위반한 Cristie, Manson & Woods, Ltd.(이하 '크리스티스')에 과징금 2억 8,000만 원과 과태료 720만 원을 부과하고, 처분 사실의 공표를 명령하였다.
크리스티스는 영국 소재의 글로벌 경매회사로, 개인정보 유출신고에 따라 관련 조사에 착수하였으며, 구체적인 위반 내용과 처분 결과는 다음과 같다.
크리스티스는 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템에 대한 접근 권한을 해커에게 부여함에 따라, 한국 회원 620명의 개인정보*가 유출되었다.
* 성명, 국적, 주소, 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호) 등
조사 결과, 크리스티스는 개인정보처리시스템 접속에 필요한 비밀번호 재발급을 요청받는 경우, 별도의 안전한 인증수단(문자, 이메일 인증 등) 없이 요청자의 입사일, 소속부서 등 간단한 정보만을 확인한 뒤 재발급을 하고 있었다. 해킹 당시에는 이러한 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해 주었다.
또한, 고객의 주민등록번호, 운전면허번호, 여권번호 등을 암호화 조치 없이 저장하는 등 안전조치 의무 위반과 함께, 법령상 주민등록번호 처리 근거 없이 고객의 신분 확인을 목적으로 한국인 회원의 주민등록번호를 수집·보관한 사실도 확인되었다.
아울러, 개인정보 유출 인지('24.5.18.) 후 정당한 사유 없이 72시간을 경과하여 유출 신고('24.5.31.)·통지('24.5.30.)하였다.
이에 개인정보위는 크리스티스에 과징금 및 과태료를 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표할 것을 명령하였다.
개인정보처리자는 정당한 접근 권한을 가지지 않은 자가 인증수단을 쉽게 추출하거나 탈취하지 않도록 인증수단을 안전하게 적용·관리해야 한다고 개인정보위는 당부했다.
또한, 주민등록번호가 유출될 경우 회복하기 어려운 중대한 피해가 발생할 수 있음을 엄중히 인식하여 법령상 명시적인 근거가 없는 경우 주민등록번호를 수집 및 처리할 수 없음을 거듭 강조하였다.
* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.
- 담당자 : 조사1과 도혜원(02-2100-3117)