![[오늘의 운세] 5월 20일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/20/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
![[속보] 김호중, 결국 음주운전 시인 "크게 후회하고 반성 중"](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/19/c85c225a-18cc-4329-b019-9dbff0893d1c.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
![서울 영등포구 여의도 금융감독원 앞에 한 시민이 지나가고 있다 [뉴시스]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202002/10/fa88adaf-12ce-41f6-b4a9-ab2172a5e2d9.jpg)
서울 영등포구 여의도 금융감독원 앞에 한 시민이 지나가고 있다 [뉴시스]
우리은행이 약 4만건에 달하는 고객 인터넷·모바일뱅킹 비밀번호 무단 변경 사실을 자체 조사하고도 금융감독원에 먼저 보고하지 않은 것으로 확인됐다. 우리은행은 앞서 '금감원에 사전보고 했다'고 밝혔지만, 실제로는 사건 발생 약 3개월 뒤 경영실태평가에 나선 금감원이 검사 중 이 사실을 발견해 찾아냈다. 금융회사가 금융사고를 발견한 뒤 이를 감독당국에 기한 내 보고하지 않았다면 이는 감독규정 위반이다.
9일 금감원에 따르면 우리은행은 일부 영업점 직원들이 지난 2018년 5월~8월 사이 고객 약 4만명의 인터넷·모바일뱅킹 비밀번호를 무단으로 변경한 사실을 같은해 7월 자체 검사를 통해 적발하고도 이를 금융감독원에 먼저 알리지 않았다. 금융회사지배구조법은 물론, 개인정보보호법과 전자금융거래법 등 위반 소지가 있는 대규모 금융사고 발생을 감독당국에 사전 보고하지 않은 것이다.
금감원 직원이 발견…10개월 뒤 추가 검사
금감원이 이 사실을 처음 인지한 것은 우리은행 보고가 아닌 금감원 검사를 통해서였다. 금감원 관계자는 "2018년 10월 경영실태평가 차원에서 우리은행 IT 부문에 대한 검사를 벌이던 금감원 직원이 비밀번호 무단 변경 사실을 최초 발견했다"며 "해당 사실을 인지한 뒤 우리은행에 설명을 요구했고, 우리은행은 그제야 '7월 자체 검사를 통해 적발해 조치한 사안'이라면서 관련 사실을 알려왔다"고 말했다.
금감원은 첫 검사 후 약 10개월이 지난 2019년 8월쯤 추가 검사에 돌입했다. 금감원이 한 번의 검사로 사실관계를 파악하지 못하고 수개월 뒤 추가 검사까지 한 건 우리은행의 비협조 탓이라고 한다. 추가 검사를 마친 금감원은 2019년 말쯤에야 당시 우리은행 직원들이 무단 변경한 고객 인터넷·모바일뱅킹 비밀번호 숫자가 4만건에 달한다고 결론지었다.
![손태승 우리금융그룹 회장 [연합뉴스]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202002/10/0c84b859-e27d-4a5a-8fcf-ad61841bb5fa.jpg)
손태승 우리금융그룹 회장 [연합뉴스]
우리은행 "사전 보고" 해명은 거짓?
문제가 된 비밀번호 무단 변경 건은 우리은행 일부 영업점 직원들이 2018년 5월~8월 1년 이상 거래가 없는 비활성화(휴면) 계좌 고객의 인터넷·모바일뱅킹 비밀번호를 임의로 바꾼 일을 말한다. 이들은 고객 동의 없이 비밀번호를 바꿔서 고객이 온라인 계좌에 새로 접속한 것처럼 꾸몄다. 이는 직원들의 핵심성과지표(KPI) 점수 압박에서 비롯된 것으로 알려졌다. 당시 우리은행 영업점 직원 KPI에 휴면 계좌의 '활성화 실적'이 반영됐기 때문이다.
관련 사실이 알려진 지난 5일 우리은행은 "2018년 7월 은행 자체 감사시스템을 통해 (해당 사실을) 발견해 시정 조치했다"며 "2018년 10월 금감원 경영실태평가 시 사전에 금감원에 보고했으며 정보 유출 및 금전적 피해사실이 없음을 확인했다"는 공식 입장을 밝혔다. 그러나 금감원에 따르면 '사전에 금감원에 보고했다'는 우리은행 설명은 거짓이다.
'미보고'는 감독규정 위반…제재 가능성
금감원은 향후 열리는 제재심의위원회에 우리은행 비밀번호 무단 변경 건을 상정할 방침이다. 은행이 고객 개인정보를 동의 없이 무단으로 이용하는 건 여러 법에 저촉될 가능성이 크다. 개인정보보호법에 따르면 개인정보를 제공 받은 자는 이를 목적 외 용도로 이용할 수 없다. 전자금융거래법은 이용자의 동의를 얻지 않고 이용자의 인적사항을 타인에 제공·누설하거나 업무상 목적 외에 사용할 수 없게 제한한다. 금융회사지배구조법상 내부통제 기준 마련 의무 위반 가능성도 제기된다.
![윤석헌 금융감독원장 [연합뉴스]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202002/10/a369e509-3105-487a-ba62-57c1c8391b70.jpg)
윤석헌 금융감독원장 [연합뉴스]
관건은 금감원이 이와 더불어 해당 사실을 사전에 보고하지 않은 데 따른 '미보고' 건도 별도 제재 대상으로 상정하느냐다. 은행업 감독규정 및 시행세칙에 따르면 금융사고 발생 시 은행은 이를 금감원장에게 즉시 보고해야 하며, 즉시보고 후 2개월 이내 중간보고도 해야 한다. 이를 위반했다면 그 역시 제재 대상이다.
금감원 관계자는 "미보고에 따른 제재는 비밀번호 무단 변경과는 별도로 처리해야 하는 건"이라며 "미보고 건을 제재 대상으로 삼을지는 아직 결정하지 않았으나, 분명한 건 금감원이 검사를 통해 해당 사실을 발견하기 전까지는 우리은행이 이를 사전 보고한 사실이 없다는 점"이라고 말했다.
정용환 기자 jeong.yonghwan1@joongang.co.kr
