![]() |
| ▲ 우리은행과 우리금융그룹[연합뉴스] |
우리은행의 NFT(Non-Fungible Token·대체불가토큰) 플랫폼 개인정보 유출 사고는 규모보다 성격이 더 무겁다. 1만7551건이라는 숫자만 보면 최근 대형 유출 사고보다 작다. 그러나 유출 정보에 CI(Connecting Information·연계정보)가 포함됐고, 사고 경로가 은행 내부망이 아니라 외부 개발업체였다는 점에서 쟁점은 분명하다. 금융회사가 디지털 신사업을 추진하며 외주업체에 넘긴 개인정보를 어디까지 통제했느냐가 이번 사건의 본질이다.
6일 금융권에 따르면 우리은행은 지난 3일 NFT 플랫폼 구축 프로젝트를 수행한 외부 개발업체가 임의로 보관하던 개인정보 1만7551건이 업체 직원 과실로 유출됐다고 고객에게 공지했다. 유출 항목은 이용자 닉네임과 CI다. 주민등록번호, 전화번호, 주소, 로그인 비밀번호, 계좌 비밀번호, 금융거래 정보는 포함되지 않았다는 게 은행 측 설명이다. 우리은행은 지난달 30일 사고를 인지한 뒤 접근을 차단하고 개인정보보호위원회(개인정보위)에 신고했다.
은행 설명처럼 핵심 금융정보가 빠졌다는 점은 중요하다. 그러나 그것만으로 위험이 사라지는 것은 아니다. 한국인터넷진흥원(KISA)은 CI를 본인확인기관이 이용자를 식별·연계하기 위해 제공하는 본인확인 결과정보로 설명한다. DI(Duplication Information·중복가입 방지정보)가 특정 서비스 안에서 중복가입 여부를 가르는 값이라면, CI는 여러 서비스에서 같은 사람을 연결하는 식별값으로 쓰일 수 있다. CI 단독으로 계좌가 털리는 구조는 아니지만, 다른 유출 정보와 결합되면 피싱·스미싱 표적화에 악용될 수 있다.
이번 사건은 개인정보 제재 환경이 강해지는 흐름 속에서 발생했다. 개인정보위는 지난해 8월 SK텔레콤 개인정보 유출 사고에 대해 안전조치 의무 위반과 유출 통지 위반을 이유로 과징금 1347억9100만원, 과태료 960만원을 의결했다. 당시 개인정보위는 2300여만명의 USIM(Universal Subscriber Identity Module·가입자 식별 모듈) 정보 등 주요 디지털 개인정보가 유출됐다고 판단했다. 지난달에는 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과했다. 개인정보위는 인증 서명키 관리와 접근통제 소홀 등으로 약 3755만명의 개인정보가 유출됐다고 봤다.
우리은행 사건의 제재 수위를 곧바로 대형 플랫폼 사고와 같은 선상에 놓기는 어렵다. 유출 규모가 상대적으로 작고, 계좌 비밀번호나 금융거래 정보가 빠졌으며, 은행이 인지 뒤 신고와 차단 조치를 했다는 점은 고려 요소다. 현행 개인정보 보호법상 과징금은 전체 매출액의 3%를 넘지 않는 범위에서 부과될 수 있다. 다만 실제 제재는 유출 규모만이 아니라 위반 내용, 안전조치 수준, 사고 인지·통지 과정, 피해 확산 방지 조치 등을 종합해 정해진다.
따라서 조사 포인트는 세 가지다. 첫째, 우리은행이 외부 개발업체에 제공한 개인정보의 범위와 목적이 적정했는지다. 둘째, 프로젝트 종료 뒤 업체가 보관하던 개인정보를 은행이 회수·파기 확인했는지다. 셋째, 업체 직원이 해당 정보를 외부에 노출할 수 있었던 접근권한 관리 체계다. 개인정보 보호법은 위탁자가 수탁자를 교육하고 개인정보 처리 현황을 점검하는 등 안전한 처리를 감독해야 한다고 규정한다. 수탁자가 위탁받은 범위를 넘어 개인정보를 이용하거나 제3자에게 제공하는 것도 금지된다.
더 큰 문제는 금융권의 구조적 리스크다. 은행은 NFT, 마이데이터, 간편인증, 모바일 플랫폼 등 신사업을 넓히며 외부 개발사와 협력 범위를 키워왔다. 그만큼 고객 정보가 은행 밖으로 이동할 가능성도 커졌다. 과거 보안 사고가 내부 전산망 방어의 문제였다면, 이제는 협력업체·개발자·재위탁사를 포함한 공급망 보안의 문제로 바뀌고 있다.
제재 환경도 더 엄격해진다. 개정 개인정보 보호법은 오는 9월 11일부터 반복적·중대한 위반에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례를 도입한다. CEO(Chief Executive Officer·최고경영자)의 관리·감독 책임과 CPO(Chief Privacy Officer·개인정보보호책임자)의 역할도 강화된다. 이번 사고에 새 규정이 곧바로 적용된다고 단정할 수는 없다. 그러나 금융회사 입장에서는 개인정보 사고가 보안부서의 일이 아니라 경영진 내부통제 사안으로 격상됐다는 신호다.
우리은행은 고객에게 출처가 확인되지 않은 문자메시지와 URL(Uniform Resource Locator·인터넷 주소)을 클릭하지 말라고 안내하고, FDS(Fraud Detection System·이상금융거래탐지시스템)를 통해 이상 거래를 모니터링하겠다고 밝혔다. 필요한 조치다. 그러나 사후 대응만으로는 부족하다. 이번 사건의 핵심은 유출 뒤 차단이 아니라 유출 전 통제다.
우리은행 NFT 유출은 대형 해킹 사고는 아니다. 하지만 금융권 개인정보 관리의 가장 약한 고리를 드러냈다. 고객 돈은 빠져나가지 않았지만 고객을 식별할 수 있는 값은 빠져나갔다. 당국 조사의 초점도 여기에 맞춰질 가능성이 크다. 외주업체의 과실이었는지가 아니라, 은행이 외주업체의 과실까지 막을 통제 체계를 갖췄는지가 관건이다.
토요경제 / 위아람 기자 moon@sateconomy.co.kr
[ⓒ 토요경제. 무단전재-재배포 금지]










![[토요경제人] 유창수 유진증권 부회장, ‘자산 10조원·자본 1조원’ 동시 달성](https://sateconomy.co.kr/news/data/20260331/p1065609257520316_491_h.jpg)

![[토요경제人] ‘연중 최저가’의 굴욕을 딛다…정용진號 이마트, 고진감래 오다](https://sateconomy.co.kr/news/data/20260213/p1065625143194333_904_h.jpg)
![[토요경제人] 김성환 한투증권 사장, ‘경계 확장’으로 아시아 무대 겨냥](https://sateconomy.co.kr/news/data/20260203/p1065597828625342_694_h.jpg)

![[토요경제人] ‘오너 3세’ 김동원 한화생명 사장, 금융부문 ‘글로벌 전략가’ 부상](https://sateconomy.co.kr/news/data/20251210/p1065603950795624_514_h.jpg)
![[토요경제人] 배성완 하나손보 대표의 ‘장기보험’ 전략…흑자 전환 가시화](https://sateconomy.co.kr/news/data/20251118/p1065604432549726_833_h.jpg)
![[토요경제人] 문화재 수장고 혁신 ‘K-스토리지’ 이끄는 대원모빌랙 ‘이종진 대표’](https://sateconomy.co.kr/news/data/20251121/p1065587223127645_833_h.gif)
![[토요경제人] '아트경영’ 윤영달 크라운해태 회장, 예술로 기업을 키우다](https://sateconomy.co.kr/news/data/20251025/p1065597154733467_413_h.jpg)
![[토요경제人] 하림 김홍국 회장, 생산에서 유통까지 ‘가치사슬 경영’의 설계자](https://sateconomy.co.kr/news/data/20251028/p1065602999871188_165_h.jpg)

