크리스티스 (Christie's, 글로벌 경매회사)

유출된 개인정보 항목

사고 경위

크리스티스(Christie's)는 영국 소재 글로벌 경매회사로, 헬프데스크 직원이 해커의 보이스피싱에 속아 개인정보처리시스템 접근 권한을 해커에게 부여했다. 이로 인해 한국 회원 620명의 성명·국적·주소·주민등록번호·여권번호·운전면허번호·외국인등록번호 등이 유출됐다.

크리스티스는 비밀번호 재발급 요청 시 별도의 안전한 인증수단(문자·이메일 인증 등) 없이 입사일·소속 부서 등 간단한 정보만으로 재발급하고 있었다. 해킹 당시에는 이 절차마저 지키지 않고 해커의 전화번호로 계정을 변경해줬다.

또한 고객의 주민등록번호·운전면허번호·여권번호 등을 암호화 없이 저장했으며, 법령상 근거 없이 한국인 회원의 주민등록번호를 신분 확인 목적으로 수집·보관했다. 유출 인지(2024년 5월 18일) 후 정당한 사유 없이 72시간을 초과해 신고(5월 31일)·통지(5월 30일)한 사실도 확인됐다.

개인정보보호위원회는 2026년 4월 8일 전체회의에서 과징금·과태료를 부과하고 공표를 명령했다.

처분 결과

과징금 2억 8,000만 원, 과태료 720만 원, 공표명령