우리은행 직원들이 고객 비밀번호 무단 변경한 이유

박성민 기자 | 입력 2020.04.23 14:29 / 수정시간

우리은행 직원들이 고객 비밀번호를 무단 변경했던건 좋은 고과를 받기 위해서였다. 실제 우리은행 직원 핵심성과지표(KPI)에는 비활성화 계좌를 활성화한 실적이 포함됐다. 지난 2018년 5-7월, 우리은행 일부 지점에서는 비밀번호 무단 변경이 이뤄졌다. 스마트뱅킹 비활성화 고객에 대해서 였는데, 이는 전자금융 이용 신청서를 작성하고 임시 비밀번호를 발급 받은 후 1년 동안 사용자 비밀번호를 등록하지 않은 고객을 의미한다. 인터넷과 모바일 뱅킹 휴면 계좌에 대해서 였다. 이것이 실적에 포함됐다는 것이다.

영업점 직원들이 고객의 이용자 아이디(ID)와 임시 비밀번호를 일회성으로 이용했다. 비밀번호 변경으로 휴면계좌를 활성화시키면, 새 고객 유치 실적으로 잡히게 됐는데 이 때문에 영업점들에게 이 같은 행위가 벌어진 것이었다. 휴면 계좌 고객의 온라인 비밀번호를 우리은행 직원이 임의로 바꿔 고객이 새로 접촉한 것처럼 꾸몄다.

비밀번호를 등록할 때 고객 인증 절차가 필요치 않았는데, 이 허점이 이용됐다. 고객이 임시 비밀번호를 입력해 비밀번호를 등록할 때 ARS 인증이나 스마트 간편인증 등 추가 인증 절차를 거치지 않아도 됐다. 직원들은 우리은행 내부 포털(우리BI 포탈)의 '스마트뱅킹 장기 미이용 고객 명세 자료'에서 이용자 ID 등을 확인했다. 6자리 임시 비밀번호는 설정 당시 고객 요청이나 위임에 따라 영업점 직원이 '100400' 등 특정 번호로 입력하는 경우가 많아 비교적 쉽게 알아낼 수 있었던 것으로 추정되고 있다. 무단도용에는 영업점 내 공용 태블릿 PC가 사용됐다.

우리은행 지난 2018년 7월, 자체적으로 이 일을 적발했다고 했다. 이후, 같은해 10월에 금융감독원 은행 경영 실태 평가 때 사전 보고를 했다고 밝히고 있다. 우리은행이 해당 비밀번호 부정 등록 시도에 대해 처음 확인하게 된건 지난 2018년 7월 25-26일이었다. 비밀번호 무단 도용은 지난 2018년 1-8월 전국 200개 지점에서 일어났다. 수치상으로는 약 4만건에 이른다. 지점 4곳 중 1곳에서 비밀번호 무단 변경이 이뤄진 것이다. 가담 직원들은 해당 고객들에게 통보하지 않았다. 이처럼 알리지 않았다는 점으로 인해 우리은행은 거센 비판을 받았다.

금감원은 지난 2018년 10-11월 우리은행에 대해 경영실태평가를 진행했다(IT 부문 검사). 우리은행은 자체 검사 결과로 피해 규모에가 2만3000여건 정도라고 했으나, 금감원 검사 결과를 통해 1만7000건 가량이 추가 적발됐다.

해당 일은 금감원 제재심의위원회에서 살핀다. 금감원은 가담 직원 뿐만 아니라 관리자에게도 책임을 물을 것으로 알려졌다. 지점장 등 관리자 직급의 징계까지 고려하면 제재 대상은 500명 이상이 될 것으로 전망되고 있다. 여기에 은행에 대한 기관 제재도 포함된다. 은행의 실적 압박이 직원의 일탈 행위를 부추겼다는 판단에 따른 것이다. 이달 제재심이 열릴 것으로 알려진 상황인데, 향후 일정과 관련해 금감원 관련 부서에 연락을 취해 봤으나 자세한 일정에 대해 듣기는 어려웠다.

해당 행위는 개인정보보호법과 전자금융거래법을 위반한 것으로 볼 수 있다. 정보 주체부터 동의를 받지 않았고 다른 법률에 특별한 규정이 있는 경우를 제외하고 제공받는 목적 외의 용도로 이용해서는 안 되는데, 이것을 지키지 않았다(이상 '개인정보보호법 제 19조') . 또한, '전자금융거래법 제26조'에서는 이용자의 동의를 얻지 않고 정보를 업무상 목적 외에 사용하지 못하게 하고 있는데, 이것도 무시했다.

우리은행은 올 해 '해외금리연계 파생결합펀드(DLF) 사태'로 금감원의 중징계를 받은 바 있다. 우리은행에서는 DLF 사태에 이어, 내부 통제 기준의 허술함이 해당 사건으로 다시 드러났다. 신뢰를 기본으로 여기는 은행업에서 있을 수 없는 일이 일어났다는 것이 이번 일에 대한 기본적 시각이다. 직원이 고객 개인 정보를 유출시키지 않았을 것이라고 믿을 수도 없기 때문에 심각한 사안으로 여겨지고 있다.

우리은행 관계자는 23일 재경일보와의 통화에서 "지난 2018년 7월, 자체 모니터링시스템을 통해 해당 일에 대해 발견, 시정조치했다. 같은해 10월, 금감원 경영실태평가 때 관련 서류를 제출했다"며 "재발방지를 위해 해당건에 대한 영업점 KPI 실적 차감, 시스템 전면 개선, 영업점 직원 교육 강화 및 영업점 KPI 평가에서도 해당 항목을 폐지했다"고 했다.

이어 "지난 2018년 10월, 금감원에 관련 서류 제출 및 재발방지 대책이 완료된 건"이라며 "인터넷이나 스마트뱅킹에서 임시 비밀번호를 이용한 로그인을 할 때는 ARS 추가인증 또는 스마트 간편인증까지 거쳐야 로그인이 되도록 개선했다"고 설명했다.