- 해커 속임수에 시스템 권한 통째로 넘겨… 한국인 620명 주민번호·여권번호 노출
- 개인정보위, 안전조치 위반 및 불법 수집 확인… 과징금 2억 8,000만 원 엄중 처분
세계적인 권위를 자랑하는 영국계 경매 전문 기업 크리스티스(Christie's)가 허술한 보안 관리로 해커에게 시스템 접근 권한을 내어주는 초유의 사태를 빚으며 한국 정부로부터 거액의 과징금 처분을 받았다.
개인정보보호위원회는 8일 열린 전체회의에서 개인정보 보호 법규를 위반한 크리스티스 측에 과징금 2억 8,000만 원과 과태료 720만 원을 부과하고, 위반 사실을 대외적으로 공표할 것을 명령했다.
이번 사건은 내부 직원의 부주의와 구조적인 보안 결함이 맞물려 발생했다. 크리스티스의 헬프데스크 직원은 해커의 정교한 보이스피싱 수법에 속아 개인정보처리시스템에 접속할 수 있는 권한을 직접 부여한 것으로 드러났다. 조사 결과, 해당 업체는 평소에도 시스템 비밀번호를 재발급할 때 이메일이나 휴대전화 인증 같은 안전한 본인 확인 절차를 거치지 않았다. 대신 입사일이나 소속 부서 같은 단순한 정보만으로 비밀번호를 초기화해 주는 등 보안에 극히 취약한 운영 방식을 고수해 왔다.
해킹 사고 당시 크리스티스 측은 기본적인 신원 확인 절차조차 생략한 채 해커의 요구대로 비밀번호를 재설정해주었으며, 계정 접속용 전화번호를 해커의 번호로 변경해주는 치명적인 실책을 범했다. 이로 인해 한국인 회원 620명의 성명, 주소 등 일반 정보는 물론 여권번호와 운전면허번호 등 고유식별정보가 외부로 유출됐다. 특히 우리 법령상 명백한 근거 없이 한국 사용자의 주민등록번호를 수집해 보관하고, 이를 암호화조차 하지 않은 채 서버에 저장해온 사실이 밝혀져 충격을 더했다.
사후 대응 역시 낙제점이었다. 개인정보 보호법에 따르면 유출 사실을 인지한 후 72시간 이내에 신고와 통지를 마쳐야 하지만, 크리스티스는 2024년 5월 18일 사고를 인지하고도 약 2주가 지난 5월 말에야 신고를 마쳐 법정 기한을 크게 넘겼다. 개인정보위는 주민등록번호가 유출될 경우 피해 회복이 불가능할 정도로 치명적인 결과가 초래될 수 있다는 점을 강조하며, 법적 근거 없는 주민등록번호 처리는 절대 불가하다는 입장을 재확인했다.
이번 처분은 글로벌 기업이라 할지라도 한국 내 서비스를 제공할 경우 우리 국민의 정보를 보호하기 위한 안전조치 의무를 충실히 이행해야 한다는 원칙을 다시금 일깨운 사례로 평가된다. 개인정보위는 정당한 권한이 없는 자가 인증 수단을 탈취하지 못하도록 시스템 관리 체계를 원점부터 재점검할 것을 업계 전반에 당부했다.
