유용 및 악용 사례 아직 없으나… 타 정보와 결합 시 보이스피싱 우려
변하지 않는 CI 유출로 타깃형 명의도용 등 2차 피해 발생 가능성 지적
![]() |
| ▲ 우리은행 본점 전경. (사진 = 우리은행 제공) |
우리은행에서 외부 개발업체 직원의 과실로 인해 고객 1만 7551건의 이용자 닉네임과 연계정보(CI)가 외부로 유출되는 사고가 발생함에 따라, 은행 측은 정진완 은행장 명의의 사과문을 발송하고 외주업체에 대한 전수조사와 함께 자체 보안 체계 강화에 착수했다.
지난 3일 금융권과 우리은행에 따르면, 이번 사고는 지난 2024년 9월 수행한 대체불가토큰(NFT) 플랫폼 구축 프로젝트의 외부 개발업체 직원이 프로젝트가 종료된 이후에도 임의로 보관하고 있던 고객 정보를 최근 개발자 플랫폼에 공유하면서 발생했다. 유출된 정보는 회원 ID나 로그인 계정이 아닌 임의의 별칭인 닉네임과, 보안상 위험 때문에 수집이 금지된 주민등록번호를 대체하기 위해 만들어진 개인식별용 전자정보인 연계정보(CI)다.
◇ 유출 사실 수개월간 까맣게 몰랐다… 우리은행, 외부 업체 보안 감독 허점 노출
우리은행 측은 유출된 정보 자체만으로는 특정 개인을 식별하거나 금융 자산을 직접 탈취당할 확률이 낮고 현재까지 온·오프라인에서 확산되거나 악용된 사례도 파악되지 않았다고 해명했다. 하지만 CI는 주민등록번호를 기반으로 생성돼 평생 변하지 않는 고유한 값이기 때문에, 개인정보보호위원회 역시 이를 다른 정보와 결합해 특정 개인을 알아볼 수 있는 명백한 개인정보로 분류하고 있으며 다른 경로로 유출된 데이터와 결합될 경우 타깃형 보이스피싱이나 명의도용 등 2차 피해에 악용될 우려가 크다는 지적이 나온다.
특히 은행권에서의 대규모 외부 유출 사고는 지난 2013년 당시 한국SC은행과 한국씨티은행에서 발생한 13만여 건의 유출 사건 이후 처음이다. 당시 사고는 이번 우리은행 건과는 유출 항목과 피해 가능성 측면에서 차이가 있으나, 외주업체 직원이 고객 정보가 포함된 파일을 외부로 유출한 사실을 은행 측이 수개월이 지난 후에야 인지했다는 점에서 허점을 드러냈다.
우리은행은 지난달 30일 유출 사실을 파악한 즉시 해당 정보에 대한 접근을 차단하고 개인정보보호위원회에 고지 및 신고 절차를 마쳤다. 아울러 피해 방지를 위해 해당 고객들에게 출처가 불분명한 번호의 수신이나 문자메시지 내 URL 링크 클릭에 각별히 주의해 줄 것을 당부하고, 자체 이상금융거래탐지시스템(FDS)을 가동해 미연의 사고에 대비하고 있다.
우리은행은 이번 일을 계기로 개발업체의 개인정보 관리 현황을 전수 조사해 미흡한 점을 즉시 시정하고, 향후 이번 유출로 인해 고객 피해가 발생할 경우 신속하게 확인하여 보상할 방침이다.
우리은행은 지난달 16일에도 금융사고 발생 사실을 공시 한 바 있다.
우리은행에 따르면 외부인의 허위 서류 제출 등 사기 혐의로 인해 40억 800만 원 규모의 금융사고가 발생했다.
이 사고는 지난 2024년 8월 19일부터 30일 사이에 발생한 건으로, 실제 피해가 발생한 지 약 1년 10개월이 지난 시점에서 수사기관의 자료 제출 요구를 통해 뒤늦게 발견됐다.
공시 자료에 따르면, 이번 금융사고의 주요 내용은 외부인에 의한 사기 혐의로, 외부인이 허위 서류를 제출하는 등의 방식을 통해 대출금을 편취한 것으로 파악됐다.
일요주간 / 김완재 기자 ilyoweekly@daum.net
'시민과 공감하는 언론 일요주간에 제보하시면 뉴스가 됩니다'
▷ [전화] 02–862-1888
▷ [메일] ilyoweekly@daum.net
[ⓒ 일요주간. 무단전재-재배포 금지]












