금감원, '고객정보 유출' 우리은행 점검…외주 실태 들여다볼 듯
우리은행, 외부 개발사 직원 과실로 암호화 주민번호 고유 식별값 유출
금감원, 신고 내용 전달받고 관련 내용 점검 중
'제3자 리스크 관리' 실태 예의주시…외주업체 감독 소홀 따질 가능성
![[서울=뉴시스] 고범준 기자 =사진은 12일 오후 서울 중구 우리은행 본점빌딩 모습. 2024.06.12. bjko@newsis.com](https://img1.newsis.com/2024/06/12/NISI20240612_0020375723_web.jpg?rnd=20240612142423)
[서울=뉴시스] 고범준 기자 =사진은 12일 오후 서울 중구 우리은행 본점빌딩 모습. 2024.06.12. [email protected]
[서울=뉴시스] 최홍 기자 = 우리은행에서 고객 개인정보 1만7000여건이 유출되는 사고가 발생한 가운데 금융감독원이 은행으로부터 신고를 전달받고 경위 파악 등 점검에 돌입했다.
3일 금감원 관계자는 뉴시스와 통화에서 "우리은행으로부터 개인정보 유출 신고 내용을 접수하고 현재 관련 점검을 진행 중"이라고 밝혔다.
우리은행에 따르면 최근 대체불가토큰(NFT) 플랫폼 구축 프로젝트를 수행한 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 해당 업체 직원의 과실로 유출됐다.
유출된 개인정보는 고객의 이용자 닉네임과 온라인에서 개인을 식별하기 위한 암호화 정보인 연계정보(CI)다.
CI는 주민등록번호를 암호화한 것으로 주민등록번호 원본 자체가 유출된 것은 아니기 때문에 금융 자산이 직접적으로 탈취당할 확률은 낮다.
그러나 주민등록번호를 바탕으로 생성돼 평생 변하지 않는 고유한 식별값인 만큼 다른 경로로 유출된 개인정보와 결합될 경우 타깃형 보이스피싱이나 명의도용 등에 악용될 우려가 있어 민감한 대응이 요구된다.
우리은행은 지난달 30일 유출 사실을 인지한 즉시 해당 개발업체를 통해 관련 정보에 대한 접근을 차단했다. 개발업체는 개인정보보호위원회(개보위)에 유출 사실을 신고하고 홈페이지를 통해 관련 내용을 공지한 상태다.
이번에 유출된 CI는 신용정보가 아닌 개인정보에 해당하기 때문에, 향후 조사는 금융당국이 아닌 개보위가 직접 진행한 뒤 행정처분을 내리게 된다. CI가 신용정보로 정의되려면 다른 정보와 결합해 고객의 거래 내역이나 신용도 판정 근거 등으로 활용될 수 있어야 한다.
다만 금융당국이 디지털 금융 전반의 내부통제를 강조해 온 만큼 금감원은 우리은행에 외주업체 관리·감독 소홀에 대한 책임을 무겁게 물을 것으로 보인다. 디지털 전환이 가속화될수록 외부 개발사에 업무를 위탁하는 과정에서 발생하는 '제3자 리스크' 역시 은행 측이 최종적으로 져야 하기 때문이다.
다른 금감원 관계자는 "은행 측이 외부 업체를 왜 제대로 관리·감독하지 못했는지 등 위탁 관리 책임을 따져볼 수 있다"고 전했다.
실제로 금감원은 금융회사의 '제3자 리스크' 관리를 강조하고 있다. 제3자 리스크 가이드라인의 주요 내용을 금융사 IT 실태 평가에 반영하는 등 IT·보안 부문의 내부통제를 당부해 왔다.
실제로 이찬진 금감원장은 금융회사의 소비자 보호 기조와 함께 '제3자 리스크' 관리를 연일 강조해 왔다. 특히 제3자 리스크 가이드라인의 주요 내용을 금융사 IT 실태 평가에 반영하는 등 IT·보안 부문의 내부통제 중요성을 지속적으로 피력해 왔다.
이에 대해 우리은행 관계자는 "프로젝트 시작 시 정보 등을 함부로 사용하거나 유출하지 않는다는 보안서약서를 징구했다"며 "사업 수행중에도 외부 수탁업체 직원들 대상으로 매월 1회씩 보안교육을 실시했다"고 해명했다.
그러면서 "프로젝트 종료 후에도 철수확인서와 전산장비 포맷 여부 등을 확인하는 등 보완관리를 철저히 이행하고 있다"고 덧붙였다.
현재 우리은행은 보이스피싱, 스미싱 등 피해를 막기 위해 고객에게 출처가 불분명한 전화번호 수신과 문자메시지 내 URL 링크 클릭에 주의해 달라고 안내하고 있다. 또 별도의 이상금융거래탐지시스템(FDS)을 적용해 추가 사고에 대비하고 있다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지





























