■ 방송 : CBS라디오 <김덕기의 아침뉴스="">
■ 채널 : 표준 FM 98.1 (07:00~07:30)
■ 진행 : 김덕기 앵커
■ 코너 : 홍영선 기자의 <쏘왓(so what)="">
◇ 김덕기> 내 경제 생활에 도움을 주는 뉴스 알아보는 시간이죠? <홍기자의 쏘왓=""> 홍영선 기자 나왔습니다. 오늘은 어떤 주제 가지고 왔나요?
◆ 홍영선> 금융권을 발칵 뒤집어 놓은 우리은행 비밀번호 무단 도용 사건을 가지고 왔습니다.
◇ 김덕기> 안그래도 많은 분들이 깜짝 놀랐거든요. 우선 대략적인 내용부터 짚고 가죠.
◆ 홍영선> 1년 반 전이죠? 2018년도 5월에서 7월 사이 우리은행 직원들이 인터넷·모바일뱅킹 고객들의 비밀번호를 무단으로 변경한 게 자체 감사에서 적발됐습니다. 그 건수가 무려 2만 3천여개에 달하고요. 당시에 우리은행 지점이 870여곳이었던 점을 감안하면 전체 영업점의 4분의 1이 넘는 곳에서 고객 정보 도용이 일어난 거죠.
◇ 김덕기> 통장 계좌의 비밀번호는 아닌 거죠?
◆ 홍영선> 네 그건 아니고요. 인터넷뱅킹이나 모바일뱅킹의 비밀번호입니다. 또 우리은행 고객 분들이라면 혹시 내 비밀번호 아니야? 하는 분들이 있는데 물어봤더니, 문제가 된 비밀번호는 인터넷뱅킹이나 모바일뱅킹을 신청해놓고는 쓰지 않고 있는 고객들의 비밀번호라고 하고요. 이 비밀번호를 직원들이 마음대로 바꿔서 마치 계속 쓰고 있는 것처럼 꾸민 겁니다.
◇ 김덕기> 통장 비밀번호가 아니더라도 요즘 거의 대부분의 사람들이 인터넷뱅킹, 모바일뱅킹을 하는데 그 비밀번호에 손을 댔다는 게 너무 충격인데요. 왜 그런건가요?
◆ 홍영선> 인사 실적, '승진' 때문입니다. 금융회사에는 인사 고과에 직결되는 핵심성과지표(KPI)라는게 있습니다. 이 KPI에 비활동성 계좌의 활성화 실적을 넣자, 직원들이 가짜 실적을 만든 건데요. 당시 인터넷뱅킹과 모바일뱅킹에 대한 관심이 워낙 높다보니 대부분의 금융사들이 비대면 거래의 활성화 지표에 상당 부분 공을 들이고 있었거든요.
일반인들에게는 KPI가 조금 낯설 수 있는데요. 이 KPI가 은행원들에게 어느 정도냐하면, 은행원들끼리는 우스갯소리로 KPI 지표에 남북통일을 넣으면 통일도 이뤄질 정도라고 합니다. 그만큼 KPI의 위력이 대단하다는 거죠.
◇ 김덕기> 직원이 마음대로 비밀번호를 바꾼 후에 해당 고객들에게는 통보가 된 건가요?
◆ 홍영선> 아닙니다. 지금까지도 해당 고객들에게는 한 번도 연락을 한 적이 없습니다. 우리은행은 어차피 인터넷뱅킹을 이용하지 않은 고객들이기 때문에 고지할 필요가 없다고 해명했습니다.
우리은행 관계자입니다."처음에 계좌를 만들었을 때 임시로 부여 받은 다음, 집에 가서 자기 비밀번호를 등록해야 하잖아요. 그걸 하지 않았던 계좌들입니다. 비밀번호 자체를 등록하지 않았던 계좌들인 거죠. 비밀번호를 바꿨다고 해서 정보를 볼 수 있는 것도 아니고, 금전적 사고가 없었습니다.백번 잘못한 것이고, 실적을 차감했고 시스템을 개편해서 못하도록 그때 이후로 하고 있습니다."◆ 홍영선> 해명에 이어 이 문제를 적발한 뒤 조치도 저는 좀 놀랐습니다. 고객 정보를 무단으로 도용했는데도 해당 직원들에게 아무런 징계 조치를 하지 않아서인데요. 고객의 금전적 피해가 없었고 직원들이 다른 정보를 따로 이용한 사례가 없었기 때문에, 실적을 받았던 직원들의 실적을 다시 차감해서 '가짜 실적' 2만 3000건을 없던 일로 하는데서 이 문제를 끝냈습니다.
◇ 김덕기> 고객들이 은행에 돈을 맡기는 건, 내 돈을 안전하게 보관하고 내 개인 정보를 철두철미하게 관리할 것이라는 '믿음' 때문인데요.
◆ 홍영선> 그렇죠. 당연히 금전적 피해가 있어서는 안 되는 일이고요. '개선'할 일이 아니라 애초에 일어나선 안 될 일인데, 마치 어려운 일을 재빠르게 선제조치 했다는 해명을 듣고 이 문제를 너무 가볍게 생각하는 게 아닌가 느껴졌습니다.
◇ 김덕기> 그럼 이 일은 어떻게 세상에 알려진 건가요?
◆ 홍영선> 3개월 뒤인 2018년 10월 금융감독원이 경영실태 평가에 나서면서인데요. 금감원이 2년에 한 번 정도씩 파트 별로 검사를 합니다. 이때 은행이 각종 자료를 제출하게 되는데요. 이때 우리은행이 먼저 "저희가 이런 사고가 터졌습니다"라고 이실직고를 한 건 아니고요. 자체 감사 적발했던 자료를 냈고, 금감원이 그걸 보고 문제를 인지해서 추가 조사를 했습니다. 의심 사례까지 해서 4만여 건을 조사한 뒤 어떻게 조치를 취할 지 고민하는 과정에서 한 언론사의 보도로 인해 알려졌죠.
◇ 김덕기> 해외금리연계 파생결합펀드죠? 'DLF 불완전판매'도 그렇고 요즘 환매 중단 얘기가 계속 나오고 있는 '라임 펀드'도 우리은행에서 많이 팔았다고 하고요. 계속해서 우리은행에서 문제가 생기고 있는데요. 왜 그런 걸까요?
◆ 홍영선> 금융권 안팎에서는 은행의 내부 통제가 얼마나 무너졌는지 보여주는 것이기 때문에 상당히 문제라고 보고 있습니다. 우리은행은 해명에서 자체 감사 시스템을 통해 이같은 문제를 발견하고 시정조치를 했다고 하는데요.
이같은 금융사고는 금융사 자체적으로 조치할 게 아니라 금융당국에 보고 해야하거든요. 은행업 감독규정 및 시행세칙에 따르면 금융사고 발생 시 은행은 이를 금감원장에 즉시 보고해야 하며 즉시 보고 후 2개월 이내 중간보고도 해야합니다. 이를 위반했다면 이것 역시 제재 대상인 거죠.
◇ 김덕기> 우리은행 비밀번호 무단 변경 기사가 뜬 이후에 많은 사람들이 그래서 내 비밀번호는 안전한가, 다른 은행은 문제가 없나 이런 궁금증이 많습니다.
◆ 홍영선> 그래서 국내 5대 은행, 우리은행 이외에 신한·KB국민·하나·농협에 ①KPI에 비대면 거래(인터넷·온라인뱅킹) 활성화가 실적에 들어가는지 ②비대면 거래 시 비밀번호를 변경하면 문자가 가는지 등에 대해 홍보팀을 통해 공식 입장을 들어봤습니다.
우선 신한은행은 작년에는 비대면을 통해서 적금을 가입하는 등 상품에 가입했을 때 KPI에 가점을 주는 식으로 실적을 반영했지만요. 올해는 이같은 실적 반영을 없앴다고 합니다. 비대면 관련한 비밀번호 변경을 했을 경우 문자메시지를 통보하게 돼 있었고요. 국민은행의 경우 2018년 이후 비대면 거래 활성화에 대한 KPI 실적은 없고 비밀번호를 바꾸게 되면 문자가 가게 돼 있고요.
하나은행은 인터넷이나 모바일뱅킹을 가입한 신규 회원만 KPI의 가점을 받는 형식이라고 합니다. 농협도 신규 가입을 하거나 공인인증서를 활용한 로그인 시 실적에 반영 하고요. 이체 시에는 추가 가점을 준다고 합니다.
인터넷이나 모바일뱅킹을 1년 이상 사용하지 않은 장기미사용 고객의 경우인 경우에는 다시 영업점에 와서 신규로 다시 신청해야하는데, 이때 본인이 직접 공인인증서를 이용(없을시 발급)해 로그인까지해야 실적에 반영을 하고요.
우리은행도 이 사건이 터진 이후 KPI 실적 자체에 비대면 거래 활성화 지표를 없앴고요. 비대면 거래 시 비밀번호 변경할 때는 문자가 가게끔 바꿨습니다. 그 전에는 문자가 오지 않았기 때문에 이런 문제가 터졌던 거죠.
◇ 김덕기> 그러니까 4개 주요 은행은 우리은행처럼 직원이 인터넷뱅킹이나 모바일뱅킹 개인정보에 손을 댄 사례는 없다는 거죠?
◆ 홍영선> 네 금감원이 이번에 우리은행 사건 이후 일제 점검을 통해 전체 은행권에 유사 사례가 없다는 것을 확인했습니다.
하나의 은행 앱으로 다른 은행 계좌까지 거래 가능한 오픈뱅킹까지 나오면서 고객들의 개인 정보와 보안이 더욱 중요해지고 있는데요. 이때 금융사에 대한 '신뢰' 없이는 고객들도 은행의 비대면 거래를 이용할 수 없겠죠. 금융사의 실적 압박이 심한 걸 알지만, 같은 업계에서도 이번 비밀번호 도용 건에 대해 지나치다고 한 건 그 이유겠고요. 금감원이 앞으로 어떤 조치를 취할 지 지켜봐야겠지만, 이번 사건을 계기로 모든 금융사들이 개인정보를 무단 도용하는 일은 재발되지 않길 바라겠습니다.
◇ 김덕기> 지금까지 홍영선 기자 였습니다.