해외금리연계 파생결합상품(DLF) 사태 주범인 우리은행이 고객의 휴먼 계좌 비밀번호를 무단 변경하는 사건이 뒤늦게 드러났다. 영업직 직원들이 자신의 실적을 위해 고객 동의 없이 임시 비밀번호를 발급받은 것이다.
6일 금융당국에 따르면 우리은행 일부 영업점 직원들은 지난 2018년 1년 이상 접속하지 않아 비활성화(휴면) 계좌가 된 고객의 인터넷·모바일뱅킹 비밀번호를 무단으로 변경했다. 휴면계좌를 활성화하기 위해 기존 비밀번호와 새 비밀번호를 입력하는 과정에서 임시 비밀번호를 부여하는 절차를 악용한 것이다.
이들은 핵심성과지표(KPI)에 휴면 계좌 활성화 실적이 반영돼 있어 실적을 늘리기 위해 이 같은 행동을 한 것으로 드러났다. 무단으로 임시 비밀번호를 발급받음으로써 고객이 계좌에 재접속한 것처럼 꾸민 것이다.
우리은행 관계자는 “지난 2018년 감사시스템으로 이 같은 사건을 파악해 같은 해 10월 금감원 경영실태평가 때 보고 했다. 다행히 정보 유출 및 금전적 피해 사실은 없었다"고 말했다.
우리은행은 자체감사로 23000여건이 발견됐다고 전했다. 그러나 확인 결과 실제 금감원 검사 결과는 은행 측 해명과는 차이가 있었다. 금감원이 검사로 밝혀낸 비밀번호 무단 변경 건수는 약 40000건에 달했다.
2018년 10월 경영 실태 평가 당시 우리은행은 일부 영업점에서 일어난 23000여 건을 적발했다고 금감원에 사전 보고했지만, 이후 금감원이 검사를 통해 보고되지 않은 다른 영업점에서 일어난 같은 방식의 비밀번호 도용 17000건 가량을 추가로 적발해낸 것이다.
고객 개인정보를 동의 없이 무단으로 이용하는 건 개인정보보호법이나 전자금융거래법 위반 사안일 가능성이 크다.
개인정보보호법에 따르면 개인정보를 제공 받은 자는 이를 목적 외 용도로 이용할 수 없다(제 19조). 전자금융거래법에서는 이용자의 동의를 얻지 않고 이용자의 인적사항을 타인에 제공·누설하거나 업무상 목적 외에 사용할 수 없게 제한한다(제 26조). 개인정보보호법 위반 시 5년 이하 징역 또는 5000만원 이하의 벌금, 전자금융거래법 위반은 10년 이하의 징역 또는 1억원 이하의 벌금에 처할 수 있다.
금융회사지배구조법상 내부통제 기준 마련 의무를 위반한 것으로 볼 소지도 있다. 이미 지난 3일 금감원은 내부통제 기준 마련 의무 위반을 이유로 파생결합펀드(DLF) 사태와 관련해 손태승 우리금융지주 회장과 함영주 하나금융지주 부회장에 중징계(문책경고)를 결정한 바 있다.
금융위원회에서 조만간 은행 중징계 및 과태료 제재안을 심의하기로 예정된 상황에서 2018년부터 내부통제 체계가 무너져 있었다는 근거를 하나 더 얹은 셈이다.
