우리은행 1만7551건 정보 유출…외주서 뚫렸다
연계정보·닉네임 노출…계좌정보 유출은 없어
접근 즉시 차단하고 신고…피해 예방 안내 착수
디지털 혁신 늘수록 외주 보안 관리 강화 시급

우리은행이 외부 개발업체 관리 과정에서 고객 정보 1만7551건이 유출된 사실을 공개하면서 금융회사의 외주 관리 체계 전반에 대한 우려가 확산되고 있다. 고객이 신뢰를 바탕으로 맡긴 정보가 협력업체의 관리 부실과 직원 과실로 외부에 노출됐다는 점은 금융권 보안 시스템의 취약한 연결고리를 드러냈다는 평가다.
우리은행에 따르면 이번 사고는 NFT 플랫폼 구축 과정에서 외부 개발업체가 보관하던 고객 정보를 관리하는 과정에서 발생했다. 개발업체 직원의 과실로 고객 정보가 외부에 유출됐으며, 유출 규모는 모두 1만7551건으로 집계됐다.
유출된 정보는 고객 식별을 위해 활용되는 연계정보(CI)와 닉네임이다. 연계정보는 여러 서비스에서 동일인을 식별하기 위한 값으로 활용되는 정보이며, 금융 서비스와 본인확인 절차 등에서 중요한 역할을 한다. 다행히 전화번호와 주민등록번호, 계좌번호, 비밀번호 등 금융거래에 직접 연결되는 정보는 포함되지 않은 것으로 확인됐다.
우리은행은 지난달 30일 해당 사실을 인지한 직후 외부 접근을 차단하고 시스템 점검에 착수했다. 이어 개인정보보호위원회에 신고를 완료했으며, 홈페이지 공지와 개별 안내를 통해 고객들에게 사고 내용을 알리고 피해 예방 수칙을 전달했다.
은행 측은 현재까지 유출 정보가 악용된 사례는 확인되지 않았다고 설명했다. 그러나 고객들에게 출처가 확인되지 않은 문자메시지나 인터넷 주소(URL)를 클릭하지 말고, 금융기관을 사칭한 전화나 메신저 연락에도 각별히 주의해 달라고 당부했다. 최근 보이스피싱과 스미싱 조직은 유출 정보를 활용해 신뢰도를 높인 뒤 개인정보나 금융정보를 추가로 빼내는 방식을 자주 사용하고 있기 때문이다.
이번 사고는 유출 정보의 민감도보다 외주 관리 체계의 허점에 더욱 시선이 쏠린다. 금융회사들은 디지털 서비스 확대와 신사업 추진 과정에서 다양한 외부 개발업체와 협업하고 있다. 플랫폼 구축과 애플리케이션 개발, 클라우드 운영 등 상당수 업무가 협력업체를 통해 진행되는 만큼 개인정보 역시 외부 환경에서 처리되는 경우가 늘어나고 있다.
문제는 금융회사가 높은 수준의 내부 보안 체계를 갖추고 있더라도 협력업체의 관리 수준이 이를 따라가지 못하면 정보 유출 위험이 커질 수 있다는 점이다. 특히 개발 단계에서 테스트용 데이터와 운영 데이터를 구분하지 않거나 접근 권한 관리가 허술할 경우 예상치 못한 사고로 이어질 가능성이 높다.
전문가들은 개인정보 보호의 책임은 외부 업체가 아니라 서비스를 제공하는 금융회사에 있다는 점을 강조한다. 고객은 거래 상대방인 은행을 신뢰하고 정보를 제공하기 때문에 협력업체 관리 역시 금융회사의 핵심 책임이라는 의미다. 이에 따라 계약 단계부터 정보 접근 권한을 최소화하고, 저장 기간을 제한하며, 정기적인 보안 점검과 사고 대응 훈련을 의무화해야 한다는 지적이 나온다.
금융권에서는 최근 디지털 혁신 경쟁이 치열해지면서 새로운 플랫폼과 서비스를 빠르게 출시하는 사례가 늘고 있다. 생성형 인공지능과 블록체인, 디지털 자산 등 새로운 기술 도입이 활발해질수록 외부 전문기업과의 협업도 확대될 가능성이 크다. 편의성과 혁신을 추구하는 과정에서 개인정보 보호가 후순위로 밀려서는 안 된다는 목소리가 커지는 이유다.
한 보안업계 관계자는 "이번 우리은행 정보 유출 사고는 대규모 금융정보 유출로 이어지지는 않았지만 고객 신뢰를 흔들기에는 충분한 사건으로 평가된다"며 "금융산업에서 신뢰는 가장 중요한 자산이다. 외부 협력업체까지 포함한 전 과정의 보안 관리와 책임 체계를 더욱 촘촘하게 구축하지 않는다면 비슷한 사고는 언제든 반복될 수 있다는 경고를 금융권 전체가 무겁게 받아들여야 할 시점"이라고 했다.