서울 여의도에 위치한 금융감독원 전경. 중앙포토
금융감독원이 2018년 우리은행 직원들의 고객 비밀번호 무단 변경 사건을 이달 열리는 제재심의위원회에 정식 안건으로 상정한다. 사건이 발생한 지 2년 만의 제재다.
7일 금융권에 따르면 금감원은 오는 16일 열리는 제재심의위원회에 우리은행 고객 비밀번호 무단 변경 사건 관련 안건을 정식 상정키로 했다. 우리은행 고객 비밀번호 무단 변경 사건은 2018년 1~8월 우리은행 영업점 약 200곳의 직원 300여 명이 고객 4만여 명의 인터넷·모바일 뱅킹 비밀번호를 임의로 변경한 사건을 말한다.
당시 우리은행 영업점 직원들은 지점 태블릿 PC 등을 활용해 1년 이상 인터넷·모바일 뱅킹에 접속하지 않은 비활성화(휴면) 고객 계정에 새 비밀번호를 설정하는 방식으로 고객 비밀번호를 무단 조작한 것으로 알려졌다. 이들 직원은 고객 휴면 계정에 새 비밀번호를 부여하면 거래가 없던 고객이 새로 접속한 것처럼 집계돼 본인 실적으로 취급된다는 점을 악용했다.
금감원은 2018년 10월 경영실태평가 차원에서 우리은행 IT 부문에 대한 검사를 벌이던 중 이 사실을 처음 발견했다. 이후 2019년 8월경 추가 검사 등에 돌입한 끝에 해당 비밀번호 무단 변경 규모가 약 4만건에 달한다는 사실을 최종 확인했다. 금감원에 따르면 우리은행은 그보다 앞선 2018년 7월 자체 검사를 통해 해당 사실을 적발하고서도 이를 금감원에 알리지 않았다.
업계의 관심을 금감원의 제재 수위에 쏠려있다. 은행이 고객 개인정보를 동의 없이 무단으로 이용하는 건 여러 법에 저촉될 가능성이 큰 것으로 알려졌다. 개인정보보호법에 따르면 개인정보를 받은 자는 이를 목적 외 용도로 이용할 수 없다. 전자금융거래법은 이용자의 동의를 얻지 않고 이용자의 인적사항을 타인에 제공·누설하거나 업무상 목적 외에 사용할 수 없게 제한한다. 금융회사지배구조법상 내부통제 기준 마련 의무 위반 가능성도 제기된다.
우리은행이 해당 사실을 인지하고도 금감원에 사전 보고하지 않은 데 따른 '미보고' 건이 제재 대상으로 상정될지 여부도 관건이다. 은행업 감독규정 및 시행세칙에 따르면 금융사고 발생 시 은행은 이를 금감원장에게 즉시 보고해야 하며, 즉시 보고 후 2개월 이내 중간보고도 해야 한다. 금감원은 오는 16일 제재심을 거쳐 우리은행에 대한 기관 제재 여부 및 과태료 수위를 정할 방침이다.
정용환 기자 jeong.yonghwan1@joongang.co.kr
