메뉴보기메뉴 보기 검색

우리은행 고객 정보 1만7000여건 외부 유출... 개발업체 직원 과실

입력 :
폰트 크게 폰트 작게
암호화된 연계정보와 닉네임 포함... 은행 측 ‘2차 피해 방지 FDS 적용, 악용 사례는 아직 없어’

 

우리은행 고객의 개인정보 1만7000여 건이 외부로 유출되는 사고가 발생했다. 외부 개발업체 직원의 과실로 인해 정보가 노출된 것으로 파악된다.

 

우리은행은 3일 고객 공지를 통해 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 해당 업체 직원의 과실로 유출됐다고 밝혔다. 은행 측은 지난달 30일 유출 사실을 인지한 즉시 관련 정보에 대한 접근을 차단했다. 이어 개인정보보호위원회에 신고를 접수하고 홈페이지에 관련 사실을 공지한 상태다.

 

◆ 암호화 정보와 닉네임 노출... 주민등록번호는 제외

 

이번에 유출된 정보는 온라인에서 개인을 식별하기 위한 암호화 정보인 연계정보(CI)와 고객의 닉네임이다. 전화번호나 주민등록번호, 주소 등 민감한 개인정보는 포함되지 않은 것으로 확인된다.

 

CI는 주민등록번호를 기반으로 생성되지만 암호화 처리가 되어 있다. 따라서 유출된 CI 데이터만으로는 특정 개인을 식별하거나 역추적하기는 어렵다는 것이 전문가들의 분석이다. 닉네임 역시 이용자가 임의로 입력한 별칭에 불과해 회원 ID나 로그인 계정 정보와는 무관한 것으로 해석된다.

 

다만 안심할 수만은 없다는 지적도 나온다. 만약 동일한 CI가 다른 웹사이트 등을 통해 이미 유출된 적이 있다면, 해당 개인 정보와 결합하여 악의적으로 활용될 여지가 있다는 관측이다.

 

◆ NFT 프로젝트 종료 후 무단 보관이 화근

 

정보기 유출된 대상은 우리은행 고객 중 NFT(대체불가토큰) 플랫폼 서비스 이용 의사를 밝히고 개인정보 제공에 동의했던 이들이다. 우리은행은 2024년 9월쯤 NFT 플랫폼 구축 프로젝트를 수행하는 과정에서 외부 개발업체에 해당 정보를 공유했던 것으로 보인다.

 

문제는 프로젝트가 종료된 이후에 발생했다. 해당 업체 직원이 관련 정보를 파기하지 않고 임의로 보관하고 있다가, 개발자 플랫폼에 이를 공유하면서 외부로 흘러나간 것으로 분석된다.

 

우리은행 측은 “현재까지 유출된 정보가 온오프라인에서 확산하거나 악용된 사례는 발생하지 않은 것으로 파악된다”고 설명했다.

 

◆ 보이스피싱 주의 당부... 피해 시 신속 보상 방침

 

우리은행은 혹시 모를 보이스피싱이나 스미싱 등의 피해를 방지하기 위해, 해당 고객들에게 출처가 불분명한 번호의 전화를 받거나 문자메시지 내 URL 링크를 클릭하지 않도록 각별한 주의를 당부했다.

 

아울러 미연의 사고에 대비하기 위해 별도의 이상 금융거래탐지시스템(FDS)을 적용해 운영 중이라고 덧붙였다.

 

우리은행 관계자는 “이번 일을 계기로 개발업체의 개인정보 관리 현황을 전수 조사해 미흡한 점을 시정하겠다”고 밝혔다. 또한 금번 유출로 인해 고객에게 실제 피해가 발생할 경우, 최대한 신속하게 확인하여 보상하겠다는 입장이다.