금감원, 망 분리 등 조치 위반 우리은행에 과태료 5천만원

우리은행 CI / 사진 우리은행

우리은행이 전자금융거래 안전성 확보 의무를 위반한 사실이 적발되며 금융당국으로부터 과태료 5000만원을 부과받았다.

임원 1명에게는 ‘퇴직자 위법·부당사항 통보(주의 상당)’ 조치가 이뤄졌고, 관련 직원들에 대해서는 자율처리 필요사항이 통보됐다.

8일 금융감독원애 따르면, 우리은행은 2021년 기간 중 전산실 내 정보처리시스템에 직접 연결된 단말기 444대를 통해 외부 인터넷망 접속을 총 162만회 허용한 사실이 확인됐다. 이는 전자금융거래법이 규정한 망분리 의무를 명백히 위반한 사례로, 외부 통신망과의 물리적 분리를 기본원칙으로 하는 현행 보안 기준을 크게 훼손한 조치로 평가된다.

특히 개발업체 ‘A’사가 오류 확인 및 시스템 작업 등을 이유로 내부망에 원격 접속한 사례도 242회나 발생한 것으로 드러났다.

또 다른 위반 사항도 있었다. 우리은행은 외부 개발업체가 수행한 프로그램에 대해 제3자 검증 등 필수 통제 절차를 제대로 운영하지 못했다. 그 결과, 개발 의뢰 범위를 벗어난 ‘전산원장 변경 기능’이 116개 단말 화면에 적용됐음에도 이를 인지하지 못한 채 운영해왔다. 이 기능은 특정 영역 클릭 시 데이터 조회 및 수정 화면이 활성화되는 구조로, 위험성이 매우 높다는 평가다.

실제로 외부업체 소속 직원 14명은 2021년 11월부터 2022년 1월까지 여신 신청·심사정보 등 중요 데이터를 총 1235회 변경한 것으로 확인됐다. 금융당국은 이같은 통제 부실이 금융정보 무결성을 훼손할 중대한 리스크라고 지적했다.

금감원 측은 “전자금융거래법이 요구하는 보안통제 기준이 반복적으로 무시된 사례다”라며 “향후 동일 사례 방지를 위한 내부 보안 체계 전면 재점검이 필요하다”고 밝혔다.