1기 임기 내내 금고 관리·익명 신고 도입, 외곽 보안에서 무너져연임 후 '소비자 보호 불변' 강조하자마자 우리금융서 기강해이"비용 절감 무분별한 IT 외주화가 내부통제 레이더 사각지대 키워"
우리은행의 고질적인 내부통제 부실이 또다시 도마 위에 올랐다. 임종룡 우리금융그룹 회장이 취임 이후 전사적 역량을 쏟아온 '내부통제 혁신'과 '소비자 보호' 행보가 무색해졌다. 특히 임 회장의 연임 성공과 동시에 핵심 계열사인 은행에서 초대형 '고객 정보 유출' 사고가 터지면서, 금융시장의 신뢰도가 다시 한번 깊게 흔들리고 있다.
6일 금융권에 따르면 최근 우리은행에서 대체불가토큰(NFT) 플랫폼 구축 프로젝트를 수행한 외부 외주 개발업체가 임의로 보관하고 있던 개인정보 1만 7,551건이 해당 업체 직원의 과실로 외부로 유출되는 사고가 발생했다.
유출된 정보는 고객의 이용자 닉네임과 온라인상 개인 식별값인 연계정보(CI)다. 우리은행은 지난달 30일 유출 사실을 인지한 즉시 개발업체를 통해 관련 정보에 대한 접근을 차단했다.
우리은행은 정진완 은행장 명의로 발송한 고객 사과문에서 "이용자 닉네임은 서비스에서 자신을 표현하기 위해 임의로 입력하는 별칭으로서 회원ID나 로그인 계정 정보는 아니다"라며 "또한 CI는 온라인에서 개인을 식별하기 위한 값으로 해당 값만으로는 특정 개인을 알아볼 수 없는 정보"라고 설명했다.
우리은행은 "현재까지 유출된 닉네임이나 CI가 온·오프라인에서 확산되거나 악용된 사례는 발생하지 않았다"며 사건 수습에 나섰지만, 단언한 대로 2차 금융범죄로 활용될 가능성을 완전히 배제할 수 없는 상황이다.
CI는 주민등록번호를 직접 쓰지 않고 온라인에서 같은 이용자를 식별하기 위해 생성하는 연계정보다. 주민등록번호가 그대로 노출되는 것은 아니지만, 온라인 서비스에서 동일 이용자를 구분하는 데 쓰일 수 있어 '온라인 주민등록번호'로 불리기도 한다. 평생 변하지 않는 고유한 값이기 때문에, 다른 경로로 유출된 개인정보와 결합될 경우 보이스피싱이나 명의도용 등에 악용될 우려가 있다.
박기웅 세종대 정보보호학과 교수는 "현재 유출된 정보만으로 공격하는 일은 드물다고 하더라도 이미 유출된 정보나 거래되는 정보를 결합하면 공격 가능성이 더 높아진다"며 "단순히 현재 유출된 정보만으로 파급 효과가 제한된다고 말하기는 어렵다"고 지적했다.
최근 몇 년간 우리금융은 지주사 차원에서 내부통제 강화에 각별히 주의를 기울여왔다. 그런데도 내부통제 부실로 인한 이슈가 끊이질 않고 있는 셈이다.
과거 대규모 횡령사고 이후 내부 쇄신을 위해 2023년 취임한 임종룡 회장은 매년 연례행사처럼 발생하고 있는 금융사고에 대응한 내부통제 강화에 전력을 다하고 있다. 올해 3월 연임에 성공한 뒤에는 "내부통제와 소비자보호는 어떤 경우에도 흔들려서는 안 된다"며 재차 강조하기도 했다.
조직개편을 통해 내부통제 관련 부서 및 직책을 신설함은 물론 은행지점장 직접 금고관리·익명 신고시스템·윤리문화 진단 등을 도입하는 등, 전(全) 임직원이 금융사고 예방에 전사적으로 움직이고 있다.
임종룡 회장의 1기 임기 내내 지주사 주도로 내부통제 시스템을 전면 재정비하고 나섰지만, 여전히 허점은 존재한다. 실제로 이번 정보유출 사고에서도 지난해 9월 사고가 발생한 이후 우리은행이 이를 인지한 건 올해 6월 말이다.
9달 동안 고객의 개인정보가 새어나가는 동안 내부적인 상시 감시 체계나 수탁 업체 모니터링 시스템은 전혀 작동하지 않았던 셈이다. 현장의 실질적인 외주업체 리스크 관리가 방치되어 있었다는 비판이 나오는 이유다.
다만 우리은행은 자체적인 정보유출이 아닌 '수탁사 과실'에 초점을 맞추고 있다. 프로젝트 종료 후 우리은행은 해당 업체로부터 정보를 파기했다는 확인을 받았지만, 실제로는 업체 직원이 정보를 임의로 보관하고 있었다는 것이다.
우리은행의 주장대로 내부통제 미비로 보긴 어렵다고 하더라도, 고객 입장에서는 '불안정한' 금융사라는 이미지로 각인될 수 있다.
금융당국의 압박 수위도 과거와는 기류가 다르다. 최근 금융감독원은 '사전예방적' 소비자보호에 방점을 찍고, 금융회사가 보안 관리 소홀로 소비자에게 피해를 초래한 경우 철저한 검사와 엄정 제재로 금융회사 책임 강화를 도모하겠다는 기조다.
지난해 말부터 금감원은 "IT 정보보안의 안전과 신뢰에 대한 국민적 불안감이 가중되고 있다"며 "정보보안이 더이상 비용이 아닌 생존을 위한 투자라는 인식을 갖고, CEO 책임 하에 정보보안 강화를 최우선 경영과제로 추진할 것"을 주문한 바 있다.
금감원은 이번 정보유출과 관련해서 우리은행의 자체 점검 결과를 살핀 뒤 필요하면 현장 점검에 나서고, 위법 사항이 확인될 경우 검사로 전환할 방침이다.
특히 일각에서는 이번 사태를 '외주화'가 낳은 예견된 참사로 보고 있어 우리금융이 'CEO 책임론'에서 완전히 벗어날 수 없는 상황이다. 금융회사들이 보안 리스크와 법적 책임을 외부로 떠넘기려다 보니, 정작 중요한 순간에 내부통제 레이더가 작동하지 않는다는 지적이다.
박 교수는 "금융회사 입장에서는 정보 유출과 관련해 과징금 등의 리스크가 있어 이를 회피하려는 사례가 있다"며 "개인정보 활용과 보안의 관점에서 직접적으로 관리하고 책임을 가져야 고객 입장에서도 신뢰를 형성하는 계기가 될 수 있어 내부통제 개선의 여지가 있다"고 말했다.
관련기사
뉴스웨이 김다정 기자
ddang@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지







댓글