영국에 소재한 세계적인 경매 기업 크리스티(Christie's)가 한국 회원 수백 명의 민감 정보를 유출해 한국 정부에 2억8000만원의 과징금을 물게 됐다. 

지난 8일 개인정보보호위원회는 제6회 전체 회의를 열고 개인정보 보호법을 위반한 크리스티에 과징금 2억 8000만 원과 과태료 720만 원을 부과하기로 의결했다. 

조사 결과 2024년 크리스티의 헬프 데스크 직원이 해커의 보이스피싱에 속아 개인정보 처리 시스템 접근 권한을 넘겨주면서 한국 회원 620명의 정보가 유출됐다.

크리스티 경매에서 레오나르도 다빈치의 "살바토르 문디" 경매가 진행되는 동안, 경매 관계자들이 고객들과 전화 통화를 하고 있다. / GettyimagesKorea

유출된 데이터에는 성명, 국적, 주소는 물론 '고유 식별 정보'인 주민등록번호와 여권 번호, 운전면허 번호, 외국인 등록 번호 등이 포함됐다.

크리스티는 개인정보 처리 시스템 접속에 필요한 비밀번호 재발급 시 문자나 이메일 인증 등 별도의 절차 없이 요청자의 크리스티 입사일과 소속부서 등 간단한 정보 확인 절차만 거치는 것으로 확인됐다. 

해킹 당시에는 이러한 확인 절차마저 지키지 않은 채 비밀번호를 재발급하고 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해 준 것으로 파악됐다.

송경희 개인정보보호위원회 위원장이 8일 서울 종로구 세종대로 정부서울청사에서 열린 제6회 위원회 전체회의에서 모두 발언을 하고 있다. 2026.4.8/뉴스1

아울러 한국 고객의 주민번호, 운전면허번호, 여권번호 등 민감정보를 암호화하지 않고 평문으로 저장한 사실도 확인됐다. 또 법적인 주민번호 처리 근거 없이 고객의 신분 확인을 목적으로 회원의 주민번호를 수집·보관한 것으로 드러났다.

개인정보위는 "개인정보 처리자는 인증 수단을 안전하게 적용해 관리해야 한다"며 "법령상 명시적 근거가 없으면 주민번호를 수집하거나 처리할 수 없다"고 지적했다.