미국 소더비와 더불어 세계 양대 경매업체로 꼽히는 영국 크리스티가 한국 정부에 2억8000만원의 과징금을 물게 됐다. 직원이 보이스피싱을 당해 해커에게 시스템 접근 권한을 넘겨주면서 한국 회원 620명의 개인정보가 유출됐기 때문이다.

개인정보보호위원회는 8일 개인정보 보호 법규를 위반한 크리스티에 과징금 2억8000만원과 과태료 720만원을 부과하고 처분 사실의 공표를 명령했다고 9일 밝혔다.

크리스티의 온라인 홈페이지는 2024년 5월 경매시장의 ‘대목’으로 불리는 뉴욕 경매를 앞두고 먹통이 됐다. 당시 해커의 공격을 받은 것으로 추정됐고, 초고가 미술품을 사들이는 세계적인 거부(巨富) 고객들의 개인정보가 대량으로 유출됐을 가능성이 제기됐다. 당시 주요 외신은 크리스티가 고객들의 개인정보를 놓고 해커들과 몸값 협상을 벌이고 있다는 설을 제기하기도 했다.

개인정보위 조사 결과 크리스티의 헬프데스크 직원이 관리자로 가장한 해커의 보이스피싱에 속아 개인정보처리시스템 접근 권한을 해커에게 넘겨준 것으로 드러났다. 개인정보위 관계자는 “헬프데스크 담당자가 임직원 여부를 확인하는 절차가 있는데 이를 누락하고 해커에게 비밀번호를 재발급하고, 계정 접속에 필요한 전화번호를 해커의 전화번호로 변경해준 것으로 나타났다”고 말했다.

이를 통해 지난해 기준 크리스티 한국 회원 4670명 중 620명의 개인정보가 유출됐다. 성명, 국적, 주소, 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호) 등이다.

또 고객의 주민등록번호, 운전면허번호, 여권번호 등 민감한 정보를 암호화하지 않고 저장한 사실도 확인됐다. 고객의 신분 확인을 목적으로 한국인 회원의 주민등록번호도 수집·보관하고 있었다.