"비밀번호는 개인정보 아니다?"...우리銀, 고객 비번 손댔다가 '혼쭐'
"비밀번호는 개인정보 아니다?"...우리銀, 고객 비번 손댔다가 '혼쭐'
  • 신현아 기자
  • 승인 2020.02.13 17:07
  • 댓글 0
  • 트위터
  • 페이스북
  • 카카오스토리
이 기사를 공유합니다
금감원, 개인정보보호법 위반 소지로 수사기관에 통보키로..."우리은행 주장은 억지"

[서울이코노미뉴스 신현아 기자] 우리은행이 개인정보보호법 위반으로 유·무죄의 기로에 서게 됐다. 

금융감독원이 지난 2018년 발생한 우리은행의 휴면계좌 비밀번호 무단 도용 사건 결과를 개인정보보호법 위법 소지로 수사기관에 통보키로 했기 때문이다.

13일 국회 정무위원회 소속 김종석 자유한국당 의원실이 금감원으로부터 받은 자료에 따르면 비밀번호 무단 도용 사건에서 위법 행위가 있었던 우리은행 영업점 수는 200개로 나타났다. 

무단 도용에 가담한 우리은행 직원 수는 313명이며, 지점장 등 관리책임자까지 포함하면 500명 이상 연루된 것으로 금감원은 보고 있다. 

금감원은 해당 사건이 개인정보보호법에 저촉된다고 판단해 “검사 결과를 추후 수사기관에 통보할 예정“이라고 김 의원실에 밝혔다.

연합뉴스
연합뉴스

2017년 개정된 ‘개인정보 암호화 안내서’, 개인정보 처리자가 안전하게 관리해야 할 개인정보에 ‘비밀번호’ 포함

개인정보 보호법 제19조는 ‘개인정보를 제공받는 자는 정보 주체로부터 별도 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고 제공받은 목적 외의 용도로 이용해서는 안 된다’고 규정하고 있다. 

해당 법에 의하면 이번 우리은행 사태는 충분히 위법성이 있다. 이외에도 개인정보 보호법 제59조 제3호, 제71조 제2·6호와 전자금융거래법 제26조, 제49조 제1항 제4호 등의 조항이 우리은행의 위법행위를 뒷받침한다. 

그러나 우리은행은 비밀번호는 ‘개인정보’가 아니라는 이유로 개인정보보호법에 위배되지 않는다고 주장했다. 

하지만 지난 2017년 개정된 ‘개인정보 암호화 안내서’에 따르면 개인정보 처리자가 안전하게 관리해야 할 개인정보에는 ‘비밀번호’가 분명 포함됐다. 

또, 해당 안내서가 근거로 삼는 ‘개인정보 안전성 확보조치 기준’(행정안전부 고시) 제2조 제12항에서도 ‘비밀번호’에 대한 정의를 통해 비밀번호가 개인정보의 대상임을 명시하고 있다.  

개인정보 안전성 확보조치 기준은 개인정보 보호법에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 물리적 안전조치에 관한 최소한의 기준이다. 

이에 대해 조판제 변호사는 “개인정보 보호법 제2조 제1호에 의하면 개인정보란 살아 있는 개인에 관한 정보로서 '성명, 주민등록번호 및 영상' 등을 통하여 개인을 알아볼 수 있는 정보를 말한다”며, “우리은행이 해당 조항에 ‘비밀번호’가 직접적으로 명시되지 않았다는 이유로 이 같은 주장을 하고 있는 것으로 보인다.”고 말했다. 

연합뉴스
연합뉴스

우리은행의 KPI, 휴면계좌를 활성계좌로 전환하는 경우도 새로운 고객을 유치한 것으로 간주해 성과로 반영

이어 “특히 ‘인증정보’인 ‘비밀번호’는 그 자체로 개인의 식별이 가능하거나 매우 민감한 개인정보로 관련 법령에 따라 처리가 엄격하게 제한된 명백한 개인정보다”라고 말했다.

이번 우리은행 고객정보 무단 도용 사건과 관련해 조 변호사는 “개인정보는 개인과 관련한 모든 정보이며, 또 비밀번호는 개인이 은행을 이용하는 데 필요한 정보로 따라서 개인정보다”라며, “이에 따라 비밀번호가 개인정보가 아니라는 우리은행 측 주장은 억지다.”라고 말했다. 

금감원에 따르면 우리은행이 고객 비밀번호를 도용해온 건수는 총 4만여 건에 이른다. 기간은 2018년 1월부터 같은 해 8월 8일까지 약 8개월이다.  이 기간 우리은행 직원들은 장기간 미거래 상태인 휴면계좌의 비밀번호를 고객 동의 없이 무단으로 변경해 실적 쌓기에 이용했다. 

이들은 휴면계좌를 보유한 고객에게 임의로 바꾼 비밀번호를 부여해 고객이 직접 비활성화를 푼 것처럼 꾸몄다. 휴면계좌의 비밀번호를 변경하면 비활성 계좌를 활성화시킨 것으로 인정돼 핵심성과지표(KPI) 평가에 반영된다는 점을 노린 것이다. 

당시 우리은행의 KPI는 휴면계좌를 활성계좌로 전환하는 경우도 새로운 고객을 유치한 것으로 간주해 성과로 반영했다. 

우리은행은 2018년 7월 당시 자체 감사에서 비밀번호 무단 도용 사례들을 적발했으며, 같은 해 10월 금감원 경영실태평가에 때도 해당 문제에 대해 사전 보고 했다고 전한 바 있다.

금감원은 이르면 3월 비밀번호 무단 도용 사건을 제재심의위원회에 올릴 계획이다. 이와는 별개로 2018년 10월 경영실태평가를 계기로 추가 진행한 검사 결과를 추후 수사기관에 의뢰할 예정이라고 전했다. 

저작권자 © 서울이코노미뉴스 무단전재 및 재배포 금지
신현아 기자
신현아 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
최신순 추천순
  • (주)서울이코미디어
  • 등록번호 : 서울 아 03055
  • 등록일자 : 2014-03-21
  • 제호 : 서울이코노미뉴스
  • 부회장 : 김명서
  • 대표·편집국장 : 박선화
  • 발행인·편집인 : 박미연
  • 주소 : 서울특별시 영등포구 은행로 58, 1107호(여의도동, 삼도빌딩)
  • 발행일자 : 2014-04-16
  • 대표전화 : 02-3775-4176
  • 팩스 : 02-3775-4177
  • 청소년보호책임자 : 박미연
  • 서울이코노미뉴스 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 서울이코노미뉴스. All rights reserved. mail to seouleconews@naver.com
ND소프트