크리스티스, 해커 보이스피싱에 속아 한국 회원 620명 개인정보 유출… 개인정보위 과징금 2억8천만원 부과

글로벌 경매사 크리스티스(Cristie, Manson & Woods, Ltd.)가 직원이 해커의 보이스피싱에 속아 시스템 접근권을 넘겨주는 초보적인 보안 실패로 한국 고객 620명의 개인정보를 유출했다. 개인정보보호위원회는 8일 전체회의에서 이와 관련해 크리스티스에 과징금 2억 8천만 원과 과태료 720만 원을 부과하고, 처분 사실 공표를 명령했다. 이번 제재는 해외 기업의 한국 내 개인정보 처리 과정에서 발생한 명백한 보안 관리 소홀에 대한 강력한 경고장이다.

사건의 발단은 크리스티스의 헬프데스크 직원이 해커의 전화 사기(보이스피싱)에 속아 개인정보처리시스템에 대한 접근 권한을 해커에게 부여하면서 시작됐다. 조사 결과, 크리스티스는 비밀번호 재발급 요청 시 안전한 인증 절차를 생략하는 등 내부 보안 프로토콜이 취약한 것으로 드러났다. 이러한 허점을 통해 해커는 시스템에 무단 접근해 한국 회원들의 민감한 개인정보를 유출하는 데 성공했다.

이번 제재는 단순한 금전적 벌칙을 넘어, 국내에 서비스를 제공하는 모든 해외 기업이 한국의 개인정보보호법을 준수해야 할 의무를 재확인시키는 사례가 됐다. 개인정보위의 '처분 사실 공표' 명령은 기업의 평판 리스크를 높여 향후 유사 사고 방지에 대한 실질적 압박으로 작용할 전망이다. 특히 금융 및 고가 거래 정보를 다루는 경매 업계는 고객 신뢰가 핵심 자산인 만큼, 이번 사건이 보안 관리에 대한 업계 전반의 재점검 계기가 될 수 있다.