공유하기
우리銀 '비밀번호 무단 도용' 2018년 7월 첫 시도 확인
입력 2020.02.16 14:00 수정 2020.02.16 13:37
"비밀번호 등록 때 인증 절차 필요하지 않은 허점에 가능"
"실적 쌓기 위해 고객 아이디와 임시 비밀번호 이용한 것"
우리은행의 '휴면계좌 비밀번호 도용' 사건은 사용자 비밀번호로 등록할 때 고객 인증 절차가 필요하지 않았던 허점 때문에 가능했다.(자료사진)ⓒ우리금융그룹
우리은행은 '비밀번호 무단 도용' 사건과 관련해 일부 영업점 직원들이 2018년 7월에 비밀번호 부정 등록을 처음 시도한 것으로 확인했다. 이 같은 시도는 고객이 비밀번호를 등록할 때 인증 절차가 필요하지 않았던 허점 때문에 가능했다.
16일 국회 정무위원회 소속 김종석 자유한국당 의원실이 금융감독원으로부터 제출받은 '우리은행의 비밀번호 등록 관련 경위' 자료에 따르면, 우리은행은 2018년 7월 25∼26일 비밀번호 부정 등록 시도를 처음으로 확인했다.
우리은행 정보보호부는 당시 일부 영업점 직원들이 스마트뱅킹 장기 미이용 고객의 아이디와 임시 비밀번호를 이용해 비밀번호를 등록하려는 시도를 적발했다.
특히 일부 직원들이 영업점의 태블릿 PC를 이용해 비밀번호를 무단으로 변경했고, 무단 변경 건수는 약 4만건에 이른다. 영업점에서 실사용 계좌를 늘려 영업 목표치를 채우기 위해 시스템을 악용한 것이다.
어떻게 4만건 도용했나…고객인증 절차 필요하지 않은 허점 악용
무엇보다 영업점 직원들의 무단 도용이 가능했던 것은 고객이 임시 비밀번호를 입력해 비밀번호를 등록할 때 ARS 인증이나 스마트 간편인증 등 추가인증 절차를 거치지 않아도 됐기 때문이었다.
고객이 신규 계좌를 만들 때 받은 임시 비밀번호를 사용자 비밀번호로 재설정하지 않고 1년 이상 지나면 비활성화 고객으로 분류된다.
이에 일부 직원들은 은행 내부 포털(우리BI포탈)의 '스마트뱅킹 장기 미이용 고객 명세' 자료에서 이용자 아이디 등을 확인했다.
6자리 임시 비밀번호는 설정 당시 고객 요청이나 위임에 따라 영업점 직원이 임의로 설정하는 경우가 많아 도용이 가능했던 것으로 파악됐다.
우리은행은 "일부 영업점 직원들이 실적 취득을 위해 고객의 이용자 아이디와 임시 비밀번호를 일회성으로 이용한 것"이라며 "고객 피해와 재발 방지를 위해 추가인증 절차 도입과 비밀번호 초기화 등 사후 조치에 만전을 기했다"고 밝혔다.
한편 금융감독원은 우리은행의 비밀번호 도용 사건에 가담한 직원뿐만 아니라 은행도 제재하기로 했다. 최근 해외금리연계 파생결합펀드(DLF) 사태로 금감원 제재심의위원회의 중징계를 받은 우리은행이 다시 기관 징계를 받게 된 것이다.
![[데일리안 오늘뉴스 종합] 윤 대통령 "다음 주 용산서 만나자"…이재명 "마음 내줘서 감사", 윤석열 사법고시 9수(修)의 진짜 이유?, 이스라엘, 이란 본토 공습 감행…군사 거점 이스파한 때렸다 등](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713513441_1352947_c.jpeg){kind=icon}
![[내일날씨] 전국에 비소식…주말은 흐려](https://cdnimage.dailian.co.kr/news/icon/202404/news_1712049207_1346713_c.jpeg){kind=icon}
