본문 바로 가기

[ 이슈 ]

우리은행의 엉터리 해명…비밀번호 무단변경, 4만 건 달해

by중앙일보

우리은행 영업점 직원들이 고객의 인터넷·모바일뱅킹 비밀번호를 무더기로 무단 변경한 사실이 드러난 가운데, 이에 대한 은행 측 해명도 엉터리였음이 확인됐다.

비번 도용, 내부 감사로 밝혀내 시정?

중앙일보

서울 중구 우리은행 본점. [연합뉴스]

5일 우리은행은 2018년 일부 영업점 직원들이 고객 인터넷·모바일뱅킹 비밀번호를 동의 없이 바꾼 것과 관련해 금감원 조사를 받았다고 밝혔다. 이들은 1년 이상 거래가 없는 비활성화(휴면) 계좌 고객의 온라인 비밀번호를 임의로 바꿔서, 고객이 새로 접속한 것처럼 꾸몄다. 직원들이 핵심성과지표(KPI) 점수를 따낼 목적으로 고객 개인정보를 악용한 것이다.


언론이 취재에 나서자 우리은행 측은 “은행 본사 검사실이 2018년 7월 자체적으로 적발했고 이를 모두 시정조치했다”고 해명했다. 아울러 “2018년 10월 금감원 은행 경영 실태 평가 때 은행이 이를 금감원에 사전 보고했다”는 점을 강조했다. 일부 직원의 일탈이 있었지만 본사가 자체 감사로 이를 적발해내고 금감원에도 보고하는 등 적절히 대처했다는 점을 부각시켰다. 은행 측은 무단으로 비밀번호가 뒤바뀐 고객 수를 공개하진 않았다. 대신 2만3000여 건 정도로 피해규모가 알려진 점에 대해 부인하지 않았고 대부분 언론이 2만3000여 건으로 보도했다.

금감원 검사로 도용 4만 건 확인

중앙일보

서울 여의도 금융감독원. [중앙포토]

확인 결과 실제 금감원 검사 결과는 은행 측 해명과는 차이가 있었다. 금감원이 검사로 밝혀낸 비밀번호 무단 변경 건수는 약 4만 건에 달했다. 2018년 10월 경영 실태 평가 당시 우리은행은 일부 영업점에서 일어난 2만3000여 건을 적발했다고 금감원에 사전 보고했지만, 이후 금감원이 검사를 통해 보고되지 않은 다른 영업점에서 일어난 같은 방식의 비밀번호 도용 1만7000건가량을 추가로 적발해냈다. 익명을 원한 금융권 관계자는 “우리은행은 내부 감사를 통해 다 적발해낸 것처럼 해명했지만 실제로는 금감원 검사를 통해 드러난 부분이 적지 않다”고 말했다.


고객 개인정보를 동의 없이 무단으로 이용하는 건 개인정보보호법이나 전자금융거래법 위반 사안일 가능성이 크다. 개인정보보호법에 따르면 개인정보를 제공 받은 자는 이를 목적 외 용도로 이용할 수 없다(제 19조). 전자금융거래법에서는 이용자의 동의를 얻지 않고 이용자의 인적사항을 타인에 제공·누설하거나 업무상 목적 외에 사용할 수 없게 제한한다(제 26조). 개인정보보호법 위반 시 5년 이하 징역 또는 5000만원 이하의 벌금, 전자금융거래법 위반은 10년 이하의 징역 또는 1억원 이하의 벌금에 처할 수 있다.


금융회사지배구조법상 내부통제 기준 마련 의무를 위반한 것으로 볼 소지도 있다. 이미 지난 3일 금감원은 내부통제 기준 마련 의무 위반을 이유로 파생결합펀드(DLF) 사태와 관련해 손태승 우리금융지주 회장과 함영주 하나금융지주 부회장에 중징계(문책경고)를 결정한 바 있다.


한애란 기자 aeyani@joongang.co.kr