금감원, ‘고객정보 유출’ 우리은행 점검 돌입…외주 관리 책임묻나

[서울=뉴시스] 최홍 기자 = 우리은행에서 고객 개인정보 1만7000여건이 유출되는 사고가 발생한 가운데 금융감독원이 은행으로부터 신고를 접수하고 경위 파악 등 점검에 돌입했다.

3일 금감원 관계자는 뉴시스와 통화에서 “우리은행으로부터 개인정보 유출 신고 내용을 접수하고 현재 관련 점검을 진행 중”이라고 밝혔다.

우리은행에 따르면 최근 대체불가토큰(NFT) 플랫폼 구축 프로젝트를 수행한 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 해당 업체 직원의 과실로 유출됐다.

유출된 개인정보는 고객의 이용자 닉네임과 온라인에서 개인을 식별하기 위한 암호화 정보인 연계정보(CI)다.

CI는 주민등록번호를 암호화한 것으로 주민등록번호 원본 자체가 유출된 것은 아니기 때문에 금융 자산이 직접적으로 탈취당할 확률은 낮다.

그러나 주민등록번호를 바탕으로 생성돼 평생 변하지 않는 고유한 식별값인 만큼 다른 경로로 유출된 개인정보와 결합될 경우 타깃형 보이스피싱이나 명의도용 등에 악용될 우려가 있어 민감한 대응이 요구된다.

우리은행은 지난달 30일 유출 사실을 인지한 즉시 해당 개발업체를 통해 관련 정보에 대한 접근을 차단했다. 개발업체는 개인정보보호위원회(개보위)에 유출 사실을 신고하고 홈페이지를 통해 관련 내용을 공지한 상태다.

이번에 유출된 CI는 신용정보가 아닌 개인정보에 해당하기 때문에, 향후 조사는 금융당국이 아닌 개보위가 직접 진행한 뒤 행정처분을 내리게 된다. CI가 신용정보로 정의되려면 다른 정보와 결합해 고객의 거래 내역이나 신용도 판정 근거 등으로 활용될 수 있어야 한다.

다만 금융당국이 디지털 금융 전반의 내부통제를 강조해 온 만큼 금감원은 우리은행에 외주업체 관리·감독 소홀에 대한 책임을 무겁게 물을 것으로 보인다. 디지털 전환이 가속화될수록 외부 개발사에 업무를 위탁하는 과정에서 발생하는 ‘제3자 리스크’ 역시 은행 측이 최종적으로 져야 하기 때문이다.

다른 금감원 관계자는 “은행 측이 외부 업체를 왜 제대로 관리·감독하지 못했는지 등 위탁 관리 책임을 따져볼 수 있다”고 전했다.

실제로 이찬진 금감원장은 금융회사의 소비자 보호 기조와 함께 ‘제3자 리스크’ 관리를 연일 강조해 왔다. 특히 제3자 리스크 가이드라인의 주요 내용을 금융사 IT 실태 평가에 반영하는 등 IT·보안 부문의 내부통제 중요성을 지속적으로 피력해 왔다.

더욱이 이번에 유출된 고객 CI가 향후 보이스피싱 등 2차 피해로 이어진다면, 우리은행은 민생침해 금융범죄 척결을 최우선 과제로 삼고 있는 금감원으로부터 고강도의 제재를 피하기 어려울 것으로 관측된다.

◎공감언론 뉴시스 hog8888@newsis.com

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다