[땅집고] 지난달 40억원이 넘는 금융사고가 발생한 우리은행에서 1만7000여건의 고객 개인정보가 유출됐다. 외부인의 과실에 의한 사고로 아직 실질적인 피해가 발생하진 않았지만, 고객 정보 위탁 사례가 늘어나는 상황에서 우리은행의 관리감독 체계에 허점이 드러났다.
우리은행은 지난 3일 고객 공지를 통해 2024년 대체불가토큰(NFT) 플랫폼 구축 사업을 수행한 외부 개발업체가 임의 보관하던 개인정보 1만7551건이 작년 9월 해당 업체 직원의 과실로 유출됐다고 밝혔다.
우리은행은 유출된 정보가 고객의 특정하거나 식별할 수 없는 형태이고, 아직 실제로 악용된 사례가 없다는 점을 강조하고 있다. 다만 위탁 개발업체 관리 최종 책임이 은행에 있다는 점은 고객 개인정보 관리에 허점이 생겼다는 지적을 피할 수 없게 됐다.
◇ 외주에 고객 정보 맡겨놓고 파기 확인도 안 했다?
우리은행의 개인정보 유출 사태는 2024년 NFT 플랫폼 구축 과정에서 발생했다. 수탁사인 위탁개발업체에 고객 정보를 제공했고, 프로젝트 종료 후 수탁사 직원이 임의 보관한 개인정보를 개발자 플랫폼에 올리면서 외부에 노출된 것이다.
이번에 유출된 정보에는 금융소비자의 닉네임과 온라인 주민번호 연계정보(CI)가 포함됐다. CI는 일종의 암호화된 주민번호로 금융 자산을 직접적으로 탈취하는 데 악용될 가능성은 낮다. 다만 출생부터 사망까지 변하지 않기 때문에 명의도용, 보이스피싱 등에 악용될 여지가 있는 것으로 알려졌다. 지난 6월 1만9000여건이 개인정보가 유출되는 사고가 발생한 티빙 역시 CI와 관련된 사고였다.
이번 사태로 우리은행의 개인정보 외주 관리 체계의 허점이 드러났다는 비판이 제기되고 있다. 현재 우리은행이 개인정보를 위탁하는 업체수는 총 113개이고, 재위탁하는 경우도 총 30건으로 나타났다. 4대 은행 중에서는 가장 낮은 수치지만, 최근 3년간 시중은행에서는 처음으로 대규모 개인정보 유출 사고가 발생해 관리 미흡이 드러났다. 프로젝트 종료 후 수탁사가 고객 정보를 파기했는지 여부를 관리감독하는 데 소홀했다는 점이 드러난 대목이다.
☞경매 추천물건, 최신 성공사례 다 모았다…땅집고옥션 오픈카톡방으로~
우리은행은 정보 보호 투자액이나 예산 집행도 줄어든 것으로 나타났다. 한국인터넷진흥원(KISA)에 따르면 2025년 우리은행의 정보보호 투자액은 363억8142만원으로 4대 은행 가운데 가장 적었다. KB국민은행, 433억원, 하나은행 371억원, 신한은행 368억원 순이었다. 2021년 405억6501만원에서 2022년 412억1657만원, 2023년 427억6213만원, 2024년 444억257만원으로 매년 투자액을 늘렸다가 작년에만 무려 80억원을 대폭 줄였다.
이양수 국민의힘 의원실에 따르면, 우리은행은 전체 정보보호 예산은 787억원으로 편성했지만 실제 집행액은 423억원, 집행률은 53.8%에 그쳤다. 5대 시중은행, 인터넷전문은행 3곳 평균 집행률 69%에 비해 15%포인트(p) 낮았다.
◇ 개보위 조사-금감원도 예의주시…제3자 리스크 제재 첫 사례?
금융권에서는 이번 사고가 경영진 제재까지 이어질 가능성까지 제기된다. 금융사들은 최근 디지털 전환 과정에서 IT 개발과 운영을 외부에 맡기는 사례가 늘었다. 재위탁도 확대되면서 관리 범위 역시 넓어지고 있지만, 관리 공백이 정보보안 사고로 이어질 수 있다는 지적이 있다.
금감원은 지난해 전 금융권에 제3자 업무 위탁 리스크 관리 강화를 주문했다. 관련 가이드라인을 마련했고, 은행권은 이를 토대로 모범규준을 마련해 올해 4월부터 시행 중이다. 제3자 리스크 관리 체계를 책무구조도에도 반영토록해 관리 부실이 드러날 경우 금융권 최초로 제3자 리스크에 의한 첫번째 경영진 제재 사례가 될 수 있다.
개인정보보호위원회는 지난 6일부터 개인정보 유출사고 경위에 대한 조사에 착수했다. 또 금융감독원은 우리은행에 고객 정보 유출 경위, 재발 방지 대책 자체 점검을 요구한 상태다. 신용 정보 유출이 포착될 경우 금감원은 현장 점검에 나설 계획이다.
최근 우리은행은 수십억원대 금융사고까지 발생하며 소비자들의 불안감은 커지고 있다. 지난달 16일 외부인에 의한 사기로 40억8000만원 규모 금융사고가 발생했다고 공시했다. 할인 분양 사기와 관련해 수사당국의 수사 과정에서 실제 한도보다 더 큰 액수의 대출이 실행된 것이 뒤늦게 밝혀졌다. 내부 직원의 횡령이나 배임에 의한 내부통제 사고는 아니지만, 허위 서류를 걸러내지 못했다는 점은 변명의 여지가 없는 상황이다. /raul1649@chosun.com