[보안이슈] 우리은행 휴면 고객 비밀번호 약 4만건 무단 변경
- 알쓸잇슈
- 2020. 2. 6. 16:49
연초부터 크고 작은 사건들이 있었는데 요번에 역대급 어처구니 없는 사건이 발생했다. 바로 우리은행의 휴면고객 비밀번호 무단변경이다. 왜 이런 일을 벌였고, 어떻게 이러한 일이 가능했고, 우리은행과 금융감독원의 입장은 어떤지 등등을 살펴본다.
우리은행의 휴면고객 비밀번호 무단변경 개요
우리은행, 비밀번호가 같은 문장에 있는 것을 보고 '아 또 외부해킹으로 인한 개인정보 유출이구나ㅠㅠ' 했는데, 내부 직원의 소행이다. 어제인 2월 5일 우리은행은 2018년 일부 영업점 직원들이 휴면고객 비밀번호를 동의 없이 무단 변경한 사건에 대해 금융감독원의 조사를 받은 바 있다고 밝혔다.
우리은행의 금융감독원 보고
사실 우리은행이 이와 같은 사실을 은폐하려고만 했던 것은 아니다. 2018년 7월에 자체감사를 통해 비밀번호 무단 변경 사실을 적발했고 시정조치를 취한 후에 2018년 10월 금융감독원의 은행 경영 실태 평가 때 자체적으로 보고한 사실이 있다.
이때, 비밀번호 무단변경의 원인이 성과측정지표(KPI) 방식의 악용이기 때문에 KPI도 변경해서 2018년 10월에 적용했다고 했다. 본인들 성과측정지표는 개편하고 정작 피해자인 휴면에게는 따로 알리지도 사과하지도 보상을 하지도 심지어는 공식적 사과문도 내놓치 않은 것 같다.
우리은행 비밀번호 무단변경 이유는?
우리은행 영업점의 일부 직원들이 휴면 고객의 비밀번호를 무단으로 변경한 이유는 영업점 직원들이 우리은행 성과측정지표(KPI)의 사각지대를 악용하여 성과를 높이려고 했기 때문이다. 보통 휴면 고객은 계좌 개설 후 약 1년간 거래 내역이 없을 때 휴면 고객이 되는데 이를 활성화 시키기 위한 첫 번째 단계가 비밀번호 변경(재등록)이다.
따라서 휴면고객의 비밀번호 변경은 곧 활성고객의 증가를 의미하고 이것은 영업점 직원의 성과 상승으로 직결되는 것이다.
실제 금융감독원 검사 결과
우리은행은 금융감독원에 약 2만 3천여건이라고 보고했으나 실제 금융감독원 조사에 의하면 무단변경된 비밀번호는 약 4만건이라고 밝혀졌다.
사실 2만 3천여건이 정확히 나온 숫자는 아니었지만 우리은행 측에서 이 숫자에 부정을 안해서 대부분의 기사가 2만3천여건으로 보도했다고 한다. 그런데 금융감독원에서 약 1만 7천여건을 추가 적발한 것이다.
어떻게 로그인을 했을까?
그렇다면 영업점 직원이 어떻게 비밀번호를 알고 로그인을 한 후에 비밀번호 변경을 했을까. 그 방법은 '임시 비밀번호'이다. 비밀번호를 잊어버릴 경우 생성되는 임시 비밀번호 발급 시스템을 이용하는 방법으로 로그인을 했다고 한다.
어떻게 아무도 몰랐나?
우리은행 측에 의하면 요즘은 인터넷 뱅킹의 아이디와 비밀번호로 로그인하지 않고 모바일 뱅킹의 편한 로그인 방식을 사용하기 때문이라고 한다.
내 생각엔 몰랐다기 보다는 그 어떤 누구도 무의식적으로라도 은행 직원이 내 비밀번호를 무단 변경했을꺼야 라는 일말의 생각을 갖지 못했기 때문이다. 그래서 그냥 로그인이 안돼도 내가 잊어버렸다고 생각하고 비밀번호를 재발급 받거나 했을 것 같다.
명백한 위법행위
휴면 고객의 비밀번호를 무단으로 변경한 것은 명백한 개인정보보호법, 전자금융거래법 위법행위이다. 아래 관련 법령인데, 짧게 축약해 놓은 것이다. 우리은행에 의하면 2018년 검사실에서 적발한 후 알맞은 조취를 취했다고 전했는데 과연 합당한 벌을 내렸는지 의문이다.
개인정보보호법 19조
(개인정보를 제공받은 자의 이용, 제공 제한)
개인정보를 제공받은 목적 외의 용도로 이용하면 아니 된다.
개인정보보호법 71조
다른 사람의 개인정보를 변경, 위조한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
전자금융거래법 26조
이용자의 동의 없이 인적사항을 업무상 목적 외에 사용할 수 없다.
전자금융거래법 49조
접근권한을 가진자가 그 권한을 넘어 저장된 데이터를 조작하는 경우 형사 처벌에 처한다.
우리은행 관계자의 입장
우리은행 관계자는 본점의 실적 압박이 심해져서 직원들이 인사고과를 의식해 무리수를 뒀다고 하는데....ㅋㅋㅋㅋㅋ 아진짜 포스팅 쓸때 ㅋㅋㅋㅋ 는 절대 안쓰는데 이게 무슨 말도 안되는 코미디인가. 와 진짜 배짱이 두둑해도 정도가 있지, 인사고과는 무섭고 징역이나 벌금형 받을건 무섭지 않았나보다. 그 무모함과 무지함에 기가찬다. 하기사 안걸릴 것이라고 생각했으니 이런짓을 벌였지 싶다.
이건진짜 사실은 우리은행의 경쟁사가 우리은행의 평판을 떨어뜨리기 위해 심어놓을 일종의 산업스파이가 아닐까 하는 생각까지 든다.
마치며
나도 우리은행 휴먼 고객으로서 참 기분이 좋지 않다. 약 4만건이면 대체 몇명의 영업점 직원이 비밀번호를 무단변경을 한 것인가? 살다살다 고객에게 서비스를 제공하는 은행 영업점에서 영업점 직원이 고객의 비밀번호를 무단 변경하다니... 이런 경우는 처음인 것 같다.
우리은행은 일부 영업점 직원들의 개인적 일탈이라고 밝힌 바 있고, 금융감독원에서는 아직 조사중인 사안이라고 밝힌 만큼, 몇명의 소행인지 직원 본인들이 꾸민 일이 맞는지, 어떤 처벌을 받았고 조사가 정확히 이루어진 것이 맞는지 등등 명백히 밝혔으면 좋겠다.
또한 우리은행도 이와 같은 사실은 고객 각각에게 알리지 않은 점과 아무런 공식적 사과가 없던 것에 대한 알맞은 입장을 표명했으면 하는 바람이다.
함께보면 좋은 포스팅
[보안이슈] 방탄소년단 (BTS) 위버스 앱 회원 개인정보 유출
[보안이슈] 방탄소년단 (BTS) 위버스 앱 회원 개인정보 유출
얼마전엔 네이처리퍼블릭 개인정보 유출이 있었는데, 이번엔 방탄소년단 팬 커뮤니티 앱인 위버스의 개인정보가 유출됐다. 연초부터 참 사건사고가 많다. 우리의 소중한 개인정보는 대체 얼마나 많은 사람들의 손..
liveyourit.tistory.com
[보안이슈] 다크웹에 한국인 개인정보가 거래되고 있다고...?
[보안이슈] 다크웹에 한국인 개인정보가 거래되고 있다고...?
2020년 7대 사이버보안 키워드로 선정된 다크웹. 최근, 다크웹 기반의 국내 마약 사이트 도메인 개설수가 급증했다거나 악성 동영상을 올리던 다크웹 사이트 운영자가 체포됐다거나... 다크웹에 관련한 좋지 않은..
liveyourit.tistory.com
[보안이슈] 우한폐렴 스미싱 주의! 문자 URL 클릭하지 마세요
[보안이슈] 우한폐렴 스미싱 주의! 문자 URL 클릭하지 마세요
우한폐렴으로 국제 정세가 흉흉한 마당에 스미싱 메시지가 출현했다는 기사가 떴다. 사람들의 불안한 심리를 이용해 계정 탈취 시도를 하고 있다니 참 할 말이 없다. 혹시라도 이 포스팅을 읽고 스미싱 피해를 피..
liveyourit.tistory.com
[보안이슈] 네이처리퍼블릭 해킹! 유출된 회원 개인정보
[보안이슈] 네이처리퍼블릭 해킹! 유출된 회원 개인정보
네이처리퍼블릭 해킹 개요 네이처리퍼블릭 홈페이지가 해킹을 당해 회원 개인정보가 유출되었다. (약 14만건이라는 기사를 봤는데 아직 정확히 밝혀진 것은 없는 것 같아 작성하지 않았다) 명절 연휴 직전이었던..
liveyourit.tistory.com
[보안이슈] 정치, 연예계에 깃든 딥페이크 영상 주의보!
[보안이슈] 정치, 연예계에 깃든 딥페이크 영상 주의보!
"톰크루즈 아이언맨" "트럼프 대통령을 욕하는 오바마' 위 영상들부터 시작해서 딥페이크와 관련한 사건이 끊이질 않고 있다. 몇 년 전부터 문제가 제기되어왔는데 대부분 가짜임을 짐작할 수 있을 정도의 수준이..
liveyourit.tistory.com