주메뉴바로가기본문바로가기
비즈한국비즈한국

우리은행, 외주업체서 개인정보 유출…
관리 책임 논란 시끌

발생 후 9개월 넘게 지나서야 인지…시민단체 "필수 아닌데 기업 편의 위해 수집"

[비즈한국] 우리은행이 고객 개인정보 유출 논란에 휘말렸다. 개인정보를 유출한 곳은 우리은행의 대체불가능토큰(NFT) 플랫폼 구축 프로젝트에서 개인정보를 처리한 외주 업체로, 이번 사고로 우리은행 고객 1만 7551명의 CI(Connecting Information·연계정보)가 외부에 노출됐다. 은행 내부의 유출은 아니지만 개인정보를 맡긴 협력업체에서 사고가 발생하면서, 우리은행도 개인정보 관리·감독에 관한 책임 논란을 피하기 어려워졌다.

우리은행은 6월 30일 NFT 플랫폼 구축 사업을 맡았던 외부 업체를 통해 개인정보 유출 사고가 발생한 사실을 인지했다. 사진=임준선 기자

3일 우리은행 고객 1만 7551명의 개인정보가 유출된 사실이 알려졌다. 유출 대상은 우리은행 대체불가능토큰(NFT) 플랫폼 서비스에서 개인정보 제공에 동의한 고객이다. 유출 정보는 NFT 플랫폼 서비스 내 닉네임과 연계 정보(CI)로, 이름·주민등록번호·주소 등의 정보는 포함되지 않았다. CI는 주민등록번호 등을 바탕으로 본인확인기관이 생성하는 개인 식별값으로, 여러 온라인 서비스에서 같은 이용자인지를 확인하는 데 쓰인다.

유출 사고는 2024년 우리은행의 NFT 플랫폼 구축 사업을 맡았던 재수탁사 블로코의 직원으로 인해 발생했다. 프로젝트가 종료된 후에도 임의로 개인정보를 보관하고 있던 블로코 직원이 2025년 9월 개인정보 파일 링크를 개발자 플랫폼에 게시한 것이다.

우리은행과 블로코는 6월 30일 사고 정황을 인지한 후 개인정보보호위원회 신고, 개인정보 파일 링크 차단 등의 조치에 나섰다. 블로코는 3일 자사 홈페이지에 개인정보 유출 관련 안내문과 사과문을 게재했다. 블로코는 “2024년 9월~2025년 2월 우리은행 NFT 플랫폼 구축 사업을 수행한 재수탁사로서 해당 서비스 이용자의 개인정보를 처리했다”며 “2025년 9월 당사 직원 과실로 이용자 닉네임, CI가 포함된 파일 링크가 유출됐다”라고 설명했다.

CI는 인터넷상에서 개인을 식별하기 위해 주민등록번호를 암호화한 값으로, ‘온라인 주민등록번호’로 불린다. CI 자체만으로는 개인을 특정하거나 주민등록번호로 바꿀 수 없다. 그러나 이미 유출된 개인정보 등 신원을 특정할 수 있는 다른 정보와 결합할 경우 악용될 수 있다.

우리은행은 정보 유출 고객에게 개별적으로 사고 사실을 안내했다. 우리은행은 “피해 방지를 위해 출처가 불분명한 전화를 수신하거나 문자메시지 URL 링크를 누르는 것은 주의하라”며 “이번 유출로 인한 피해가 발생할 경우 확인 후 보상할 것”이라고 밝혔다. 은행에 따르면 지금까지 유출로 인한 악용 사례는 확인되지 않았다.

우리은행의 NFT 플랫폼 서비스를 이용한 고객 1만 7551명의 닉네임과 연계 정보(CI)가 유출됐다. 사진=우리은행 제공

사고가 은행 내부에서 발생한 것은 아니나 결과적으로 고객이 피해를 볼 가능성이 생기면서, 우리은행도 책임 논란을 피하기 어려워졌다. 특히 외부 업체에 넘긴 개인정보가 관리·감독의 사각지대에 있다는 지적이 나온다. 우리은행과 블로코가 사고 발생 이후 9개월 이상이 지나 유출 정황을 인지했다는 점도 문제다. 보고를 받은 금융당국은 우리은행에 사고와 관련한 자체 점검을 요청한 것으로 알려졌다.

우리은행은 외부 업체와 프로젝트를 추진할 때 여러 단계에 걸쳐 보안 관리 방안을 이행한다고 설명했다. 프로젝트 시작 단계에서는 외부 업체로부터 프로젝트 정보를 함부로 사용하거나 유출하지 않는다는 내용의 보안 서약서를 받는다. 사업 수행 중에는 은행의 정보 보호 부서에서 프로젝트에 참여한 외부 업체 직원을 대상으로 매월 1회 보안 교육을 실시한다. 프로젝트를 종료한 후에는 외부 업체에 철수 확인서를 받고, 이들이 사용한 전산 장비는 수거 후 모두 포맷한다.

우리은행과 블로코는 “유출된 정보가 회원 ID나 로그인 계정 정보는 아니며, CI만으로는 특정 개인을 식별할 수 없다”고 강조했지만, 최근 개인정보 유출 사고가 업권을 가리지 않고 발생하면서 이용자의 불안감은 커진 상태다. 특히 지난 6월 티빙에서 1900만 명이 넘는 회원의 CI를 포함한 이름·생년월일·연락처·아이디·이메일 등 민감 정보가 대량으로 유출된 만큼 우리은행 정보와 연결해 악용될 가능성을 배제할 수 없다.

우리은행은 사고 발생 후 안내를 통해 “유출 사고를 계기로 개발 업체의 개인정보 관리 현황을 전수 조사해 미흡한 점을 시정할 것”이라고 밝혔다.

한편 국내 기업에서 고객 CI 유출 사고가 잇따라 발생하면서 불필요한 CI 수집을 중단하고 CI 삭제를 요구하는 움직임도 일고 있다. 디지털정의네트워크·민주사회를 위한 변호사모임 디지털정보위원회·정보인권연구소·참여연대 등은 지난 6월 캠페인을 통해 “기업은 CI를 필수 정보로 취급하며 수집하지만 CI는 결코 서비스 제공에 필수적인 정보가 아니다”라며 “국내 기업이 편의를 위해 수집할 뿐”이라고 주장했다.

이들은 “대규모 CI 유출 사고로 향후 어떤 피해가 돌아올지 예측하기 어렵다. 기업은 유출 피해자의 CI를 삭제하거나 정지 처리해야 한다”며 “정부는 기업이 CI 수집 후 유출한 실태를 조사하고, CI 변경을 원하는 사람은 바꿀 수 있도록 해야 한다”며 대책 마련을 요구했다.

심지영 기자
jyshim@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지
✏️ 형광펜 추가
✕ 형광펜 제거