"우리은행 비번 무단 도용, 본인인증 절차 없어 가능했다"

사후 제3자 비번 등록 시도 방지 추가 인증제 도입

우리은행 일부 직원들의 휴면계좌 비밀번호 도용은 사용자 비밀번호로 등록할 때 고객 인증 절차가 필요하지 않았던 허점 때문에 가능했다. 16일 국회 정무위원회 소속 자유한국당 김종석 의원실이 금융감독원으로부터 받은 '우리은행의 비밀번호 등록 관련 경위' 자료에 따르면 우리은행은 2018년 7월 25∼26일 비밀번호 부정 등록 시도를 처음으로 확인했다.

우리은행 정보보호부는 당시 일부 영업점 직원들이 스마트뱅킹 장기 미이용 고객의 이용자 아이디(ID)와 임시 비밀번호를 이용해 비밀번호를 등록하려는 시도를 적발했다.

고객이 신규 계좌 가입 때 받은 임시 비밀번호를 사용자 비밀번호로 등록하지 않고 1년 이상 지나면 비활성화 고객으로 분류된다. 우리은행 직원들은 우리은행 내부 포털(우리BI포탈)의 '스마트뱅킹 장기 미이용 고객 명세' 자료에서 이용자 ID 등을 확인했다.

6자리 임시 비밀번호는 설정 당시 고객 요청이나 위임에 따라 영업점 직원이 '100400' 등 특정 번호로 입력하는 경우가 많아 비교적 쉽게 알아낼 수 있었던 것으로 추정됐다.
직원들은 영업점의 태블릿 PC를 이용해 비밀번호를 무단으로 변경했다. 무단 변경 건수는 약 4만건에 이른다.

고객이 임시 비밀번호를 입력해 비밀번호를 등록할 때 ARS 인증이나 스마트 간편인증 등 추가인증 절차를 거치지 않아도 됐기 때문에 가능한 일이었다.

우리은행은 2018년 8월 9일 재발 방지 차원에서 제3자의 비밀번호 등록 시도 방지를 위한 추가 인증 절차를 도입했다. 우리은행 일부 직원들의 일탈 행위는 실적 높이기와 무관치 않아 보인다.

우리은행은 2018년 1월부터 스마트뱅킹 장기 미이용 고객의 재이용 실적을 영업팀 핵심성과지표(KPI)의 세부 항목으로 포함했다.

은행 측은 비밀번호 무단 도용으로 취득한 KPI 실적을 전부 삭감했다. 우리은행 측은 자료에서 "일부 영업점 직원들이 실적 취득을 위하여 고객의 이용자 아이디(ID)와 임시 비밀번호를 일회성으로 이용한 것"이라며 "고객 피해와 재발 방지를 위해 추가인증 절차 도입, 비밀번호 초기화 등 사후 조치에 만전을 기하였다"고 밝혔다.
/연합뉴스