금감원 관계자 “검사 절차 신속히 진행할 것”
우리은행 관계자 “해당 사실 이미 알려…제재심은 이제 연다고 밝힌 상황”
재작년 발생했던 우리은행의 휴면계좌 비밀번호 도용 건에 대해 금융당국이 최근에서야 제재를 위한 검사 절차에 돌입한 상태다. 해당 사건은 우리은행 내부적으론 2018년 7월 발견됐으며 금융감독원 조사도 같은 해 10월부터 한달간 진행된 바 있다.
19일 금감원 관계자는 제재 절차가 늦어진 상황에 대해 “내부적으로 검토한 내용이지만 그 과정에서 늦어졌다”며 “상세한 내용은 검사 진행 사항이라 밝히기 어렵다”고 밝혔다. 이어 행정안전부와 검찰에 통보할 것으로 언급된 앞선 보도 내용에 대해선 “다 끝나고 검토할 내용이라 현재는 말씀드릴 게 없다”고 덧붙였다.
개인정보보호 및 전자금융거래법과 얽혀있는 만큼 해당 문제는 작은 사안은 아니다. 개인정보 보호법 제19조에 따르면, 개인정보를 제공받는 자는 정보 주체로부터 별도 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고 제공받은 목적 이외 용도로 이용해선 안 된다. 또한 전자금융거래법 제26조에선 이용자의 동의를 얻지 않고 인적사항, 계좌, 전자금융거래 내용 등 정보를 업무상 목적 외에 사용하지 못한다고 기술돼 있다.
제재 없이 결코 지나갈 사안은 아닌데도 도용 사실은 최근에서야 크게 이슈화돼 금감원을 움직이게 했다. 금감원은 사건 이후 관련자들을 제재하기로 했으나 검사 시점이 1년 2개월 넘게 지난 상황에서야 제재심의위원회(이하 제재심) 절차를 논의해 ‘뒷북’이란 비판도 제기됐다.
금융당국은 지난 9일에서야 “사안의 중대성을 인식하고 있으며 검사 절차를 신속하게 진행해 고객 안내 등 필요한 조치를 취할 예정”이라고 말했다.
최근 언론 보도에 대해 금감원은 우리은행 직원들의 고객 비밀번호 도용 사실을 알고도 1년 넘게 고객에게 관련 사실을 통보하지 않은 채 은폐하고 그간 어떤 조치도 취하지 않은 건 우리은행의 해명에 설득돼 업무 후순위로 미뤄났기 때문이라는 내용에 대해 반박했다.
금감원은 2018년 10월부터 11월까지 우리은행에 대한 경영실태평가(IT부문검사)에서 전자금융거래와 관련해 은행 직원이 고객 임시 비밀번호를 부정사용한 사실을 확인했다.
이에 따라 금감원은 우리은행에 대해 재발방지책을 마련해 조치하고 점검을 통해 전체 은행권에 유사사례가 없음을 확인했으며, 법규 위반 여부 검토 및 추가 사실관계조사 등을 진행했다고 설명한 바 있다.
아울러 우리은행에서만 과거 휴면계좌 부활 절차 중 ‘추가 본인인증’이 없었단 사실도 뒤늦게 부각됐다.
휴면계좌는 고객이 계좌를 개설한 이후 1년 동안 거래가 없으면 잠시 닫혀 사용되지 않는다. 이 상태에서 보통 은행 거래를 다시 하려면 고객이 직접 요청해 정해진 추가 인증 절차를 거쳐야 한다.
지난 금감원 점검 결과 국내 모든 은행과 저축은행은 휴면계좌를 되살리는 과정에서 추가 본인인증 절차가 있었으나 우리은행은 기존엔 휴면계좌를 되살릴 때 고객이 요청했는지, 본인이 맞는 지 등의 확인의무나 절차가 없었다.
해당 절차가 없었기에 임시 비밀번호를 통한 우리은행의 휴면계좌 활성화는 손쉽게 이뤄졌다. 우리BI포털에서 지점별 ‘휴면계좌 고객 아이디(ID)’를 확인하고 지점 내 공통적으로 발급된 임시 비밀번호 6자리를 통해 로그인을 한 뒤 정식 비밀번호를 등록하면, 휴면계좌가 활성화돼 신규 계좌 성과에 쉽게 반영될 수 있었던 것이다.
특히 일부 지점엔 ‘1004’와 같은 기억하기 쉬운 숫자 뒤에 00을 붙이는 식으로 사용된 지점 공통 임시 비밀번호도 있어 직원들의 불법 행위에 한몫을 한 것으로 전해진다.
이 같은 행위는 우리은행 전체 870여개 지점 중 약 22%를 차지하는 200개 지점에서 발생했으며 서울, 경기, 부산, 대구, 울산 등 2018년 1~8월 사이 전국 곳곳 동시다발적으로 나타났다.
우리은행은 당시 모니터링 이후 재발방지를 위해 해당건에 대한 영업점 KPI 실적차감, 시스테 전면 개선, 영업점 직원교육 강화 및 영업점 KPI평가에서도 해당 항목을 폐지했다고 전한 바 있다. 특히 시스템 전면 개편으로는 인터넷이나 스마트뱅킹에서 임시 비밀번호를 이용한 로그인을 할 때는 ARS 추가인증 또는 스마트 간편인증까지 거쳐야 로그인이 되도록 개선한다고 알렸다. 금융권 최고 수준의 내부통제 시스템을 구축하겠다는 방침에서다.
우리은행 관계자는 “2018년 7월에 자체모니터링으로 발견한 후 즉시 조치를 이미 취한 것”이라며 “추가 절차가 없어서 발생했지만 이후 즉시 시스템을 개편했다”고 말했다. 이어 “당시 2018년 10월 경영실태평가 때 금감원에도 해당 사실을 알렸다가 지금에서야 금감원에서 제재심을 연다고 밝힌 상황”이라고 말했다.
한편 금감원은 앞서 이뤄진 점검 결과를 토대로 가담 직원 313명과 관리자를 포함한 500여명에 대한 제재와 함께 기관 제재도 추진할 계획인 것으로 전해진다.
파이낸셜투데이 김은지 기자