메뉴

검색

Investment

우리은행 개인정보 유출, 첫 경영진 제재 받나

임기 만료 앞둔 정진완 행장, 책무구조도 책임 못 피할 듯

2026-07-09 09:41:05

우리은행 개인정보 유출, 첫 경영진 제재 받나이미지 확대보기
[글로벌에픽 이상호 CP] 우리은행 고객 1만 7551건 개인정보 유출 사건은 단순한 '보안 사고'를 넘어 '경영진 제재'라는 새로운 국면에 접어들었다. 이 경우 올해 말 임기말을 앞둔 정진완 은행장에게 적지 않은 부담으로 작용할 전망이다.

지난 2024년 9월 외부 개발업체의 과실로 발생한 이 사고가 주목받는 이유는, 올 4월 1일부터 은행권에 시행된 '제3자 업무 위탁 리스크 관리 모범규준' 때문이다. 이 규준은 경영진의 책임을 명확하게 하는 '책무구조도'를 도입해, 기존의 무책임한 체계를 완전히 뒤바꿨다. 개인정보보호위원회와 금융감독원이 동시에 조사에 나선 지금, 은행권은 이 사건이 '첫 경영진 제재 선례'가 될지 주목하고 있다.
외주 업체 과실로 1만7551건 유출
우리은행이 지난 3일 공시한 고객 정보 유출 사건의 규모는 결코 작지 않다. 2024년 NFT 플랫폼 구축 사업을 수행한 외부 개발업체(재수탁사)가 임의로 보관하던 고객 정보 1만 7551건이 지난해 9월 해당 업체 직원의 과실로 유출된 것이다.

유출된 정보는 고객의 '이용자 닉네임'과 '연계정보(CI)'였다. 우리은행은 이 정보만으로는 고객을 직접 특정하거나 식별할 수 없다고 설명했으나, 개인정보보호 관점에서는 이미 '유출'이라는 사실 자체가 중대한 침해다. 은행은 지난달 30일 유출 사실을 인지한 직후 개발업체를 통해 정보 접근을 차단했고, 현재까지 유출 정보가 실제로 악용된 사례는 확인되지 않았다고 밝혔다. 하지만 보안 사고 발생 후 약 5개월이 지난 뒤에 공개되었다는 점은, 은행의 초기 대응이 얼마나 미흡했는지를 보여주는 신호다.

개보위-금감원 동시 조사 착수
이 사건을 더욱 주목하게 만드는 것은 규제당국의 신속한 대응이다. 개인정보보호위원회는 지난 6일 정식 조사에 착수했다. 개보위 관계자는 "신고를 접수한 후 사실관계를 파악했고, 오늘 공식적인 조사에 착수하려고 한다"며 "절차에 따라 자료를 제출 받고 현장 조사도 진행할 예정"이라고 밝혔다.

금융감독원도 동시에 움직이고 있다. 금감원은 우리은행에 고객 정보 유출 경위와 재발 방지 대책에 대한 자체 점검을 요구했으며, 신용 정보 유출이 확인될 경우 즉각 현장 점검에 나설 계획이다. 이는 단순한 정보보호 차원의 조사를 넘어, 금융기관의 '내부통제' 부실을 감시하려는 의지를 보여준다. 외부 업체 위탁 관리가 은행의 책임이라는 판단이 반영된 것이다.

4월 시행된 모범규준, 경영진 책임 무거워져
이번 사건에 특히 무게가 실리는 것은 발생 시점 때문이다. 올 4월 1일부터 은행권에 '제3자 업무 위탁 리스크 관리 모범규준'이 시행되었다. 금융감독원이 지난해 마련한 '제3자 업무 위탁 리스크 관리 가이드라인'을 토대로, 은행권이 자체적으로 마련한 규준이다.

모범규준의 핵심은 간단하지만 무겁다. 은행이 전사적인 리스크 관리 프로세스와 통합된 제3자 리스크 관리 체계를 구축하고, 이사회와 경영진이 그 이행 책임을 진다는 것이다. 이전의 '외부 업체가 했으니 우리는 책임이 없다'는 논리는 더 이상 통하지 않는다. 경영진이 제3자 관리를 제대로 감시하지 않으면, 경영진이 책임을 지는 체계가 확립된 것이다.

책무구조도의 도입, '경영진 제재' 법적 근거 마련
더 결정적인 변화는 '책무구조도'의 도입이다. 금감원은 제3자 리스크 관리 체계를 반드시 책무구조도에 반영하도록 했다. 책무구조도는 금융사 대표이사와 임원의 내부통제 책임 범위를 사전에 명확하게 정하는 제도다.
책무구조도에 기재된 임원은 금융사고 발생 시 사고 범위와 업무 연관성에 따라 책임을 지게 된다는 뜻이다. 만약 책무구조도에 '제3자 위탁 업무 관리 책임'이 명시되었는데, 그 책임을 제대로 이행하지 않아 사고가 발생했다면 경영진이 직접 제재를 받을 수 있다는 의미다. 기존의 '회사 차원의 처벌'에서 '경영진 개인의 처벌'로 확대된 것이다.

금융권이 이번 사건에 주목하는 것은 제3자 업무 위탁 사고의 첫 경영진 제재 사례가 될 수도 있기 때문이다. 지난해부터 논의되던 경영진 책임 강화가 처음으로 실제 사건에 적용될 수 있다는 의미다.

정진완 행장은 지난 5일 "고객들에게 심려를 끼쳐 깊이 사과한다"며 "고객들이 안심하고 이용할 수 있도록 최선을 다하겠다"고 밝혔다. 금감원이 ‘경영진 사과’로 이 사건을 마무리할지 아니면 책임을 명확하게 규명한다는 차원에서 경영진 제재에 나설지 귀추가 주목된다.

[글로벌에픽 이상호 CP / sangho@globalepic.co.kr]
리스트바로가기

epic-Graphics

epic-Pension

epic-Who

epic-Company

epic-Money

Brand News

epic-Highlight

상단으로 이동