NFT 플랫폼 구축 재수탁사 직원 과실로 발생…우리은행 “접근 차단·피해 확인 시 보상”
[더파워 이경호 기자] 우리은행 고객 개인정보 1만7000여건이 외부 개발업체 직원 과실로 유출되는 사고가 발생했다. 유출 정보는 고객의 이용자 닉네임과 연계정보로, 비밀번호나 금융거래 정보는 포함되지 않은 것으로 파악됐다.
4일 금융권에 따르면 우리은행은 최근 NFT 플랫폼 구축 프로젝트를 수행한 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 해당 업체 직원 과실로 유출됐다고 밝혔다.
해당 프로젝트는 우리은행의 대체불가토큰 플랫폼 구축 사업이다. 재수탁사인 블로코는 2024년 9월 23일부터 2025년 2월 22일까지 해당 사업을 수행한 것으로 전해졌다.
문제가 된 정보는 사업 수행 과정에서 공유된 고객 정보다. 유출된 항목은 이용자 닉네임과 연계정보다. 연계정보는 온라인에서 개인을 식별하기 위해 쓰이는 암호화 정보다.
우리은행과 업체 측은 회원 ID, 로그인 계정 정보, 비밀번호, 계좌번호, 금융거래 정보 등은 유출 대상에 포함되지 않았다고 설명했다.
이번 사고의 쟁점은 외부 개발업체의 정보 보관 경위다. 우리은행은 프로젝트 종료 이후 외부 개발업체로부터 고객 정보를 파기했다는 확인서를 받은 것으로 알려졌다. 그러나 해당 업체 직원이 관련 정보를 임의로 보관하고 있다가 개발자 플랫폼에 공유하면서 외부 노출이 발생했다.
블로코는 홈페이지 공지를 통해 개인정보 유출 사실을 알리고 사과했다. 업체 측은 개인정보가 포함된 파일 링크가 직원 과실로 유출됐으며, 유출 정황을 인지한 뒤 개인정보보호위원회에 신고하고 파일 접근을 차단하는 등 기술적 조치를 취했다고 밝혔다.
우리은행은 지난달 30일 유출 사실을 인지한 즉시 개발업체를 통해 관련 정보 접근을 차단했다고 설명했다. 이후 개인정보보호위원회에 신고하고 홈페이지 공지와 고객 안내 절차를 진행했다.
개인정보보호위원회도 외주 개발업체 측으로부터 관련 유출 신고를 접수한 것으로 전해졌다. 구체적인 유출 경위와 관리 책임 범위는 개인정보위 조사 과정에서 확인될 전망이다.
현재까지 유출 정보가 온·오프라인에서 확산됐거나 범죄에 악용된 사례는 확인되지 않은 것으로 파악됐다. 우리은행은 이상금융거래탐지시스템을 통해 추가 피해 여부를 모니터링하고 있다.
다만 은행과 업체는 2차 피해 가능성에 대비해 출처가 불분명한 전화나 문자메시지, 문자 내 인터넷 주소 클릭에 주의해 달라고 당부했다.
우리은행은 이번 사고로 고객 피해가 발생할 경우 신속하게 확인하고 보상하겠다는 방침이다. 또 외부 개발업체의 개인정보 관리 실태를 점검하고 내부 개인정보 보호 체계도 강화하기로 했다.
이경호 더파워 기자 lkh@thepowernews.co.kr