우리은행 고객 식별 값 1만7551건 유출···외주 종료 후에도 남은 데이터
악용 확인 없다지만 검증 체계 도마 위

우리은행의 대체불가토큰(NFT) 플랫폼 구축 과정에서 외부 개발업체에 공유된 고객 연계 정보(CI)와 닉네임 1만7551건이 유출됐다. 유출된 정보만으로 특정 개인을 식별할 수 없고 현재까지 악용 사례도 확인되지 않았다는 게 은행 측 설명이지만 외주 종료 뒤 식별성 있는 자료가 실제로 삭제됐는지 확인하는 절차가 미흡했던 것 아니냐는 지적이 제기된다.
3일 금융권에 따르면 우리은행은 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 해당 업체 직원 과실로 유출됐다고 밝혔다. 유출 항목은 온라인에서 개인을 식별하기 위한 암호화 정보인 연계 정보(CI)와 고객 닉네임이다. △회원 ID △로그인 계정 정보 △비밀번호 △금융거래 정보 등은 유출되지 않은 것으로 확인됐다.
해당 정보는 우리은행이 2024년 9월 NFT 플랫폼 구축 프로젝트를 수행하는 과정에서 외부 개발업체에 공유한 자료다. 이후 프로젝트가 종료됐지만 해당 업체 직원이 정보를 임의로 보관했고 이를 개발자 플랫폼에 공유하면서 외부 유출로 이어졌다.
이에 우리은행은 외부 개발업체로부터 고객 정보를 파기했다는 확인서까지 받았으나 실제로는 정보가 남아 있었다고 설명했다.
외주 이후에도 남은 식별 자료
이번 사고의 핵심은 유출 정보만으로 금융거래 피해가 발생했는지가 아니라 프로젝트 종료 뒤 외부 개발업체에 남은 고객 식별 값을 은행이 어떻게 확인하고 회수했는지에 있다.
CI는 정보통신 서비스 제공자의 온오프라인 서비스 연계를 위해 본인 확인 기관이 이용자의 주민번호와 공유 비밀 정보를 이용해 생성한 정보를 말한다. 정보통신 서비스 제공자와의 계약 내 승인 없이 CI를 임의 제공하거나 명확한 법적 근거 없이 이용자의 CI를 24시간 이상 저장하는 행위는 심사 대상에 해당한다.
KISA는 본인확인 서비스 연계 시 보호조치 심사 항목으로 △정보시스템 접근통제 △소프트웨어 형상 관리·변경 통제 △CI·DI 암호화 전송 △무결성 검증 등을 제시하고 있다. 이 기준에 비춰보면 이번 사안은 유출 정보의 단독 식별 가능성보다 외주 개발 과정에서 제공된 식별 값의 보관·삭제 이력과 사후 검증이 제대로 작동했는지를 따져봐야 한다.
우리은행은 지난달 30일 유출 사실을 인지한 즉시 관련 정보 접근을 차단한 뒤 개인정보보호위원회에 신고하고 홈페이지에 관련 사실을 공지했다고 설명했다. 피해를 본 1만7551명에게 정보 유출 사실도 알렸다.
악용 없어도 관리 책임 남아
우리은행은 현재까지 유출된 정보가 온오프라인에서 확산하거나 악용된 사례는 발생하지 않은 것으로 파악된다고 밝혔다. 또한 유출된 정보만으로 특정 개인을 식별할 수 없다고 설명했다. 다만 CI의 특성을 고려하면 이를 단순하게 넘기기는 어렵다.
우리은행은 이상 금융거래 탐지 시스템(FDS)을 적용해 미연의 사고에 대비하고 있다고 밝히며 외부 개발업체의 개인정보 관리 실태를 전수 조사하고 미흡한 부분은 시정하겠다고 했다. 회사는 이번 유출 사고로 고객 피해가 발생한다면 도의적 책임을 지고 신속하게 보상하겠다는 방침이다.
일각에서는 이번 사고가 외부 개발업체가 고객정보 파기 확인서를 제출한 뒤에도 고객 식별 값을 보관하고 있었다는 점에서 고객 안내와 보상 방침을 넘어 협력사 자료 반출·보관·삭제 체계 전반으로 이어질 가능성이 크다는 의견도 제기된다.
☞대체불가토큰(Non-Fungible Token, NFT)= 블록체인에 저장된 데이터 단위로 고유하면서 상호 교환할 수 없는 토큰을 말한다.
☞연계정보(Connecting Information, CI)= 정보통신서비스 제공자의 온·오프라인 서비스 연계를 위해 본인확인기관이 생성한 정보. 이용자의 주민번호와 본인확인기관 간 공유 비밀정보를 이용해 만들어진다.
☞중복가입 방지정보(Duplicated Joining Verification Information, DI)= 웹사이트에 가입하고자 하는 이용자의 중복가입 여부를 확인하는 데 사용되는 정보. △이용자의 주민번호 △웹사이트 식별번호 △본인확인기관간 공유비밀정보를 이용해 생성한다.
여성경제신문 김민 기자
kbgi001@seoulmedia.co.kr
*여성경제신문 기사는 기자 혹은 외부 필자가 작성 후 AI를 이용해 교정교열하고 문장을 다듬었음을 밝힙니다. 기사에 포함된 이미지 중 AI로 생성한 이미지는 사진 캡션에 밝혀두었습니다.
- 키움증권, 증거금 넣었는데 반대매매···전산 오류에 보상 범위 쟁점 - 여성경제신문
- 알고리즘-암호가 자산이란 착각···AI가 해체한 두 개의 종교 - 여성경제신문
- 삼전닉스로 도망친 코인의 변신···블록체인 끝, 도박판만 남았다 - 여성경제신문
- 23억 적자 마스턴캐피탈 품은 카카오뱅크의 계산법···할부금융 승부수 - 여성경제신문
- 저축은행 품고 본업도 확장···교보생명, 신창재 회장 숙원 종합금융 도약 - 여성경제신문
- 빚투 36조에 증권사 소집···금감원, 미수·유동성까지 경고 - 여성경제신문
- 시스템은 안정적이라지만···증시 자금 다음 행선지가 변수 - 여성경제신문
- 중앙 그룹 840억에 드러난 위험···한양증권 장부 확대의 그늘 - 여성경제신문
- 스페이스X 수혜라더니 정작 수익률은 마이너스···테마형 ETF의 '역설' - 여성경제신문
- 탈옥형 정보유출 공포에 흔들리는 월가···'AI 보안' 서사의 이면 - 여성경제신문