경제산업 / Economy
2025년 게시판 보기

1.7만명 고객정보 유출된 우리은행...9개월간 그 사실 몰랐다

우리은행 NFT 프로젝트 개발사를 통해 1만7551명의 개인정보가 유출됐다. 그런데 그 사실은 사고 발생 9개월만에 인지한 후 조치가 됐다. / 사진 콕스뉴스가 제미나이(AI)로 생성
우리은행 NFT 프로젝트 개발사를 통해 1만7551명의 개인정보가 유출됐다. 그런데 그 사실은 사고 발생 9개월만에 인지한 후 조치가 됐다. / 사진 콕스뉴스가 제미나이(AI)로 생성
우리은행 NFT 프로젝트 개발사를 통해 1만7551명의 개인정보가 유출됐다. 그런데 그 사실은 사고 발생 9개월만에 인지한 후 조치가 됐다. / 사진 콕스뉴스가 제미나이(AI)로 생성 우리은행 NFT 프로젝트 개발사를 통해 1만7551명의 개인정보가 유출됐다. 그런데 그 사실은 사고 발생 9개월만에 인지한 후 조치가 됐다. / 사진 콕스뉴스가 제미나이(AI)로 생성

우리은행 고객 1만7551명의 개인정보가 유출된 사실을 은행 측이 9개월간 몰랐던 것으로 확인됐다. 재수탁사 관리·감독 부실이 드러난 사례다.

우리은행은 3일 고객 공지를 통해 연계정보(CI)와 닉네임이 유출됐다고 밝혔다. 유출은 2025년 9월경 발생했으나, 재수탁사인 블록체인 기술기업 블로코가 이를 인지한 시점은 6월 30일이다.

블로코는 2024년 9월 23일부터 2025년 2월 22일까지 우리은행 NFT 플랫폼 구축 사업을 재수탁 형태로 수행하며 이용자 CI와 닉네임을 처리했다. 우리은행은 사업 종료 시점에 블로코로부터 정보 파기 확인서를 받았다. 그러나 사업 종료 7개월 뒤인 2025년 9월경 블로코 직원이 해당 정보가 포함된 파일을 임의로 보관하다 개발자 소스 공유 플랫폼에 업로드하면서 외부로 유출됐다. 블로코는 이 사실을 인지한 즉시 개인정보보호위원회에 신고하고 해당 파일 링크를 차단했다고 밝혔다.

파기 확인서까지 받고도 정보가 남아 있었고, 유출된 뒤로도 한참 발견되지 않았다. 우리은행과 블로코 양쪽 모두 사후 검증 체계가 작동하지 않았다.

유출된 CI는 주민등록번호를 암호화해 생성한 온라인 개인식별값이다. 회원 ID, 비밀번호, 금융거래 정보는 이번 유출 대상에 포함되지 않았다.

유출된 정보는 우리은행이 디지털자산 사업의 출발점으로 삼았던 NFT 프로젝트에서 나왔다. 우리은행은 4년 전부터 자체 블록체인 인프라를 구축하며 NFT 지갑, 토큰증권(STO) 검토, 스테이블코인 컨소시엄 준비를 담당 부서 하나로 통합해 추진해왔다. 우리은행은 이상금융거래탐지시스템(FDS) 모니터링을 강화하고 블로코 등 외부 개발업체 개인정보 관리 실태를 전수 조사하겠다고 밝혔다.

공교롭게도 우리은행은 이번 유출 공지 사흘 전 금융위원회의 AI 망분리 예외 1차 대상 10개사 중 한 곳으로 선정됐다. 정부는 지난달 신한·하나·우리은행과 카카오뱅크, KB증권·NH투자증권·미래에셋증권, 삼성화재·한화생명, 현대카드 등 10개사에 보안 목적 생성형 AI 활용을 위한 비조치의견서 발급을 예고했다. 이재명 정부가 국정 최우선 과제로 내건 AI 대전환(AX) 드라이브 속에 규제 완화 속도가 붙는 상황에서, 우리은행은 정작 관리 부실로 9개월간 방치된 유출 사고를 뒤늦게 드러났다.

블로코(BLOCKO)가 자사 홈페이지에 올린 사과문 / 사진 블로코 홈페이지 갈무리 블로코(BLOCKO)가 자사 홈페이지에 올린 사과문 / 사진 블로코 홈페이지 갈무리

블로코는 공지를 통해 "닉네임은 회원 ID로 쓰이는 정보가 아니며, CI 역시 다른 정보와 결합하지 않는 한 특정 개인을 알아볼 수 없는 정보"라며 "유출된 개인정보로 피해가 발생한 사정은 현재까지 확인되지 않았다"고 밝혔다.

0 Comments

코체티 마블런 에센셜 75p (6538)
칠성상회
델가드 샤프(0.5 화이트 P-MA85-WH 1자루 ZEBRA)
칠성상회
차량용 커튼 4장 자동차 햇빛가리개 카커튼 DD-12805
칠성상회
3M 4421 검정 폼 양면테이프 12mm X 10M
바이플러스