우리銀, '비번 무단변경' 최대 쟁점 "금융사고 성립" 여부

2020-02-18 06:10
  • 글자크기 설정

전자금융감독규정 제73조, 사고 즉각 신고 의무화

'이상 시그널' 감지한 우리銀 3개월 지나서야 보고

은행 "정보유출·금전적피해 없어 사고 아니라 봐"

서울 중구 회현동 소재 우리은행 본점. [사진=우리은행 제공/자료사진]

[데일리동방] 우리은행 '비밀번호 무단 변경' 사건의 향후 최대 쟁점이 '금융사고' 성립 여부로 좁혀질 전망이다. 금융당국은 이번 사안이 금융사고에 해당해 우리은행의 부실한 대처가 현행법에 저촉될 가능성이 있다고 봤다. 반면 은행측은 금전적 손실 등 별다른 피해가 발생하지 않았으므로 금융사고가 아니라고 맞서고 있다.

18일 금융권에 따르면 금융감독원은 이번 사건에 가담한 우리은행 직원수를 전국 200개 지점, 313명이라고 파악하고 있다. 금감원은 이들 직원의 일탈 행위에 대해 지점장 등 관리자에게도 책임을 물을 예정이다. 제재 대상은 직접 가담한 직원을 포함 총 500여명이 넘을 것으로 추정된다.

우리은행 일부 직원들은 2018년 1~8월 스마트뱅킹 비활성화 고객 계좌의 임시 비번을 무단으로 변경해 활성계좌로 만든 것으로 조사됐다. 해당 계좌를 활성화하면 신규고객 유치 실적으로 잡히기 때문에 금감원은 직원들의 조직적인 가담이 가능했다고 보고 있다.

이들은 본인이 소속된 영업점 내 공용 태블릿 PC를 이용해 무단으로 비번을 바꾼 것으로 드러났다. 이렇게 무단 변경된 건수는 3만9463건에 달한다.

우리은행은 2018년 7월 '이상 시그널(신호)'을 감지해 자체 조사를 벌여 비번 무단 변경 사례를 적발했고, 고객정보 유출과 금전 피해가 발생하지 않아 금융사고가 아니라는 내부 결론을 내렸다.

금융회사는 금융위원회가 고시한 전자금융감독규정에 따라 금융사고 발생 시 금감원과 금융회사 간 직접 연결된 전자금융사고보고시스템을 통해 상세히 보고해야 한다. 하지만 이번 사건과 관련한 우리은행의 보고는 없었던 것으로 확인됐다.

해당 시스템에 등록되는 사고 유형은 △IT보안사고(해킹 등 포함) △정보기술장애 △전자금융사기(보이스피싱 등) 등 크게 세 개로 구분되지만 우리은행은 이번 사건이 어느 유형에도 포함되지 않는다는 주장을 펴고 있다.

금융사고가 아닌 이상 금감원에 '즉시 보고'해야 하는 의무를 다 할 근거가 없다는 얘기로, 은행측은 그해 10월에서야 관련 사건을 알렸다. 금감원은 2018년 10월 경영실태평가를 실시하기 위해 은행 현장에 파견나왔고, 별다른 대면보고를 생략한 우리은행은 자체 조사결과를 페이퍼 형태의 보고서로만 전달했다.

전자금융감독규정(제73조 정보기술부문 및 전자금융 사고보고)은 '금융회사는 전산자료 또는 프로그램의 조작과 관련된 금융사고 등이 발생한 경우 지체 없이 금융감독원장에게 보고해야 한다'고 명시돼 있다.

금감원은 이를 토대로 우리은행 직원들이 도용한 임시비번을 전산자료로 볼 것인지, 또 이런 자료를 조작했다고 확정할 수 있는지 등을 검토중인 것으로 전해졌다.

더욱이 은행측이 사건 인지 후 3개월이 지난 시점에서 금감원에 알린 늑장보고 논란은 쉽사리 수그러들지 않고 있다.

우리은행은 실제 임시비번을 사용한 고객수와 형태, 인터넷주소(IP) 등을 정확히 파악하는데 시간이 소요된 데다 금융사고라 단정하기 애매한 사례들이 있었다고 설명했다. 이에 대해 금감원은 개인정보보호법과 전자금융거래법 등에 저촉될 수 있다는 입장을 보이고 있다.

금감원은 이르면 다음달 해당 사건을 제재심의위원회(제재심)에 올릴 계획이다. '파생결합펀드(DLF) 사태'에 이어 우리은행은 내리 제재심 압박을 받을 처지에 놓인 거다.

현재도 금융당국은 손태승 우리금융그룹 회장 겸 우리은행장에게 DLF 사태를 초래한 내부통제 부실 책임을 물어 '중징계'를 내리고 통보를 앞둔 상태다. 그룹 회장 연임 이슈가 맞물린 손태승 회장에게 더 큰 압박이 가해진 셈이다.

금감원은 또 개인정보보호법 소관 부처인 행정안전부에 통보하는 한편, 검사 결과를 검찰에 알릴 계획이다. 금감원 자체 검사에서 놓칠 수 있는 부분을 수사기관에 의뢰해 색출하겠다는 의지로 비쳐진다.

검찰에 추후 통보될 자료는 금감원이 우리은행을 상대로 진행했던 경영실태평가의 정보기술(IT) 부문검사 결과 조치안(초안)인 것으로 알려졌다. 금감원 관계자는 "향후 정확한 일정 등은 밝힐 수 없다"면서도 "원칙에 따라 심의하고 유관부처나 수사기관의 협조를 받도록 할 것"이라고 말했다.

우리은행 관계자는 "사건이 불거졌을 때 금전적 피해와 정보유출 사례가 없어 담당부서는 금융사고라 판단하지 않은 것 같다"며 "조직적 은폐는 있을 수 없고, 추가 인증 절차를 도입하는 등 재발방지 조치를 즉각 취한 바 있다"고 해명했다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기