AI 망분리 규제 완화 앞두고... 우리은행, 연계정보 1.7만건 유출

2026-07-03 19:26
  • 카카오톡
  • 네이버 블로그
  • url
티빙 1953만명에 이어 우리은행 1만7551건 유출, 이기종 데이터 결합 리스크 급증
2014년 카드사 유출 사건 데자뷰... 지난해 종합감사 지적 사항 잊었나


[보안뉴스 조재호 기자] 우리은행이 1만7551건의 연계정보(CI) 유출 사고를 공지했다. 최근 ‘AI 망분리 예외’를 두고 금융권의 AI 경쟁이 심화되는 가운데 기본적 내부망 통제에 실패하면서 체면을 구겼다.


[출처: 연합뉴스]

우리은행은 3일 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 유출되는 사고가 발생했다고 공지했다. 이 정보는 우리은행이 2024년 대체불가토큰(NFT) 플랫폼 구축 프로젝트를 수행하는 과정에서 공유한 정보다.

유출된 개인정보는 연계정보(CI)와 고객 닉네임이다. 공지 이후 우리은행은 이상금융거래탐지시스템(FDS) 적용을 확대하고 외주업체 전수 조사 계획을 발표했다. 은행측은 “닉네임은 ID나 로그인 계정 정보는 아니다”라며 “현재까지 유출된 정보가 온·오프라인에서 확산되거나 악용된 사례는 발생하지 않은 것으로 파악된다”고 밝혔다.

하지만 연계정보인 CI는 주민등록번호를 일방향 암호화한 개인 식별 키값이다. 일명 ‘온라인 주민번호’로 불린다. 한번 발급된 CI 값은 수정이 불가능하며, 다양한 플랫폼 간 데이터 결합의 핵심 매개체로 활용된다. 다른 온라인 서비스를 이용할 때 개인 식별 핵심 키가 되는 CI가 외부로 고스란히 노출됐다는 점에서 가볍게 보기 힘들다.

한 금융업계 담당자는 “AI 활용을 위한 망분리 예외를 앞둔 상황에 찬물을 끼얹은 사고”라며 “금융계에 AI를 활용한 혁신을 기대하고 있는데, 이번 사고가 영향을 주는 것이 아닐지 걱정된다”고 말했다.

앞서 OTT 플랫폼 티빙에서도 1953만명의 CI가 해킹으로 탈취된 바 있다. 플랫폼과 금융 기관에서 유출된 이기종 데이터가 다크웹에서 결합될 경우, 특정 개인의 동선과 자산을 정밀하게 겨냥한 2차 금융 범죄로 이어질 수 있는 뇌관이 될 수 있다.

사태 근본 원인은 외부 협력사 관리 소홀이다. 이는 2014년 카드사 개인정보 유출 사건을 떠올리게 한다. 그로부터 12년이 지났지만, 금융권의 수탁사 감독 의무와 물리적 통제 수준은 제자리걸음이란 비판이 나온다. 우리은행은 이상금융거래탐지시스템(FDS) 적용을 전면 확대하고 전담 외주업체 전수 조사에 나서겠다고 밝혔으나, 사후약방문이라는 비판을 피하기 어려운 실정이다.

이번 유출 사태가 단순한 인적 일탈이 아닌 내부망 통제 시스템의 구조적 결함에서 비롯됐다는 우려도 나온다. 최근 금융감독원 종합감사 결과에 따르면 우리은행 전산실 내 단말기 444대에서 외부 인터넷 접속이 162만9242회나 허용되는 등 망분리 규정이 위반된 사실이 적발됐다. 외부 IT 협력업체 직원이 전산 원장을 1235회나 무단 변경한 정황까지 확인되는 등 기업의 접근통제 아키텍처의 부실이 드러났다.

우리은행은 최근 보안 강화를 명분으로 금융당국이 추진 중인 인공지능(AI) ‘망분리 예외’ 적용 대상 10개사 중 한 곳으로 최종 선정됐다. 신기술 도입을 위한 망분리 규제 완화 대상이 됐지만, 보안 거버넌스 실패와 특례가 동시에 적용되는 작금의 상황은 금융 보안 정책의 치명적인 모순을 극명하게 보여준다.

익명을 요구한 보안 전문가는 “2014년 카드3사 개인정보 유출로 대한민국 개인정보 관련 법률 및 기술력이 발전했으나, 12년이 지난 현 시점에서도 비슷하게 외주 개발사 개인정보 위탁관리 미흡으로 사고가 발생했다” 며 “최근 티빙 유출 사고를 계기로 정부가 CI 관리 강화 조치를 취했지만, 이전 유출된 정보와 연계를 통한 2차 피해 위험은 여전하다는 점에서 우려가 크다”고 말했다.

한편, 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, 우리은행의 정보보호 투자액은 363억8100만원으로 전년(440억2600만원)보다 76억4500만원(17.4%) 감소했다. 정보기술 투자 대비 정보보호 투자 비중도 12.3%에서 9.1%로 3.2%포인트 하락했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기