2014년 카드사 유출 사건 데자뷰... 지난해 종합감사 지적 사항 잊었나
[보안뉴스 조재호 기자] 우리은행이 1만7551건의 연계정보(CI) 유출 사고를 공지했다. 최근 ‘AI 망분리 예외’를 두고 금융권의 AI 경쟁이 심화되는 가운데 기본적 내부망 통제에 실패하면서 체면을 구겼다.

[출처: 연합뉴스]
우리은행은 3일 외부 개발업체가 임의로 보관하고 있던 개인정보 1만7551건이 유출되는 사고가 발생했다고 공지했다. 이 정보는 우리은행이 2024년 대체불가토큰(NFT) 플랫폼 구축 프로젝트를 수행하는 과정에서 공유한 정보다.
유출된 개인정보는 연계정보(CI)와 고객 닉네임이다. 공지 이후 우리은행은 이상금융거래탐지시스템(FDS) 적용을 확대하고 외주업체 전수 조사 계획을 발표했다. 은행측은 “닉네임은 ID나 로그인 계정 정보는 아니다”라며 “현재까지 유출된 정보가 온·오프라인에서 확산되거나 악용된 사례는 발생하지 않은 것으로 파악된다”고 밝혔다.
하지만 연계정보인 CI는 주민등록번호를 일방향 암호화한 개인 식별 키값이다. 일명 ‘온라인 주민번호’로 불린다. 한번 발급된 CI 값은 수정이 불가능하며, 다양한 플랫폼 간 데이터 결합의 핵심 매개체로 활용된다. 다른 온라인 서비스를 이용할 때 개인 식별 핵심 키가 되는 CI가 외부로 고스란히 노출됐다는 점에서 가볍게 보기 힘들다.
한 금융업계 담당자는 “AI 활용을 위한 망분리 예외를 앞둔 상황에 찬물을 끼얹은 사고”라며 “금융계에 AI를 활용한 혁신을 기대하고 있는데, 이번 사고가 영향을 주는 것이 아닐지 걱정된다”고 말했다.
앞서 OTT 플랫폼 티빙에서도 1953만명의 CI가 해킹으로 탈취된 바 있다. 플랫폼과 금융 기관에서 유출된 이기종 데이터가 다크웹에서 결합될 경우, 특정 개인의 동선과 자산을 정밀하게 겨냥한 2차 금융 범죄로 이어질 수 있는 뇌관이 될 수 있다.
사태 근본 원인은 외부 협력사 관리 소홀이다. 이는 2014년 카드사 개인정보 유출 사건을 떠올리게 한다. 그로부터 12년이 지났지만, 금융권의 수탁사 감독 의무와 물리적 통제 수준은 제자리걸음이란 비판이 나온다. 우리은행은 이상금융거래탐지시스템(FDS) 적용을 전면 확대하고 전담 외주업체 전수 조사에 나서겠다고 밝혔으나, 사후약방문이라는 비판을 피하기 어려운 실정이다.
이번 유출 사태가 단순한 인적 일탈이 아닌 내부망 통제 시스템의 구조적 결함에서 비롯됐다는 우려도 나온다. 최근 금융감독원 종합감사 결과에 따르면 우리은행 전산실 내 단말기 444대에서 외부 인터넷 접속이 162만9242회나 허용되는 등 망분리 규정이 위반된 사실이 적발됐다. 외부 IT 협력업체 직원이 전산 원장을 1235회나 무단 변경한 정황까지 확인되는 등 기업의 접근통제 아키텍처의 부실이 드러났다.
우리은행은 최근 보안 강화를 명분으로 금융당국이 추진 중인 인공지능(AI) ‘망분리 예외’ 적용 대상 10개사 중 한 곳으로 최종 선정됐다. 신기술 도입을 위한 망분리 규제 완화 대상이 됐지만, 보안 거버넌스 실패와 특례가 동시에 적용되는 작금의 상황은 금융 보안 정책의 치명적인 모순을 극명하게 보여준다.
익명을 요구한 보안 전문가는 “2014년 카드3사 개인정보 유출로 대한민국 개인정보 관련 법률 및 기술력이 발전했으나, 12년이 지난 현 시점에서도 비슷하게 외주 개발사 개인정보 위탁관리 미흡으로 사고가 발생했다” 며 “최근 티빙 유출 사고를 계기로 정부가 CI 관리 강화 조치를 취했지만, 이전 유출된 정보와 연계를 통한 2차 피해 위험은 여전하다는 점에서 우려가 크다”고 말했다.
한편, 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, 우리은행의 정보보호 투자액은 363억8100만원으로 전년(440억2600만원)보다 76억4500만원(17.4%) 감소했다. 정보기술 투자 대비 정보보호 투자 비중도 12.3%에서 9.1%로 3.2%포인트 하락했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





