중구 명동 우리은행 본점 (사진=이한형 기자/노컷뉴스 자료사진)
우리은행 200여 개 지점에서 동시다발적으로 고객들의 비밀번호를 무단 도용한 것으로 조사됐다. 은행은 피해 고객에게 해당 사실조차 고지하지 않은 것으로 확인됐다.
◇ 18년 870개 지점 중 200여 개 지점에서 비밀번호 무단 도용 이뤄져7일 금융권에 따르면 우리은행은 지난 2018년 일선 영업점 200여 곳에서 직원들이 휴면계좌 2만 3천 개의 인터넷·모바일뱅킹 비밀번호를 무단 변경한 사실을 같은 해 내부 감사에서 적발했다.
직원들은 인사 고과에 직결되는 핵심성과지표(KPI) 점수를 따낼 목적으로 고객 개인 정보를 무단으로 도용했다. 은행이 임직원들에게 비활동성 계좌의 실거래 건수와 금액을 KPI에 반영한다고 하자, 1년 이상 거래가 없는 비활성화(휴면) 계좌 고객의 온라인 비밀번호를 마음대로 바꿔 고객이 새로 접속한 것처럼 꾸민 것이다.
은행은 이같은 무단 도용 건을 10월 금융감독원 은행 경영 실태 평가 때 보고했다. 금감원은 유사 사례로 의심되는 것까지 포함해 4만여 건에 대해 조사를 벌였다. 하지만 금감원은 현재 조사 중인 사항이므로 도용 건수에 대해 확인해줄 수 없다는 입장이다.
익명을 원한 금융권 관계자는 "대략 200여 개 지점에서 무단 도용이 이뤄졌다"면서 "추정하기로는 여러 지점들 간에 실적을 올리기 위한 편법적 노하우가 공유된 것으로 보인다"고 말했다.
2018년 당시 우리은행의 영업지점은 870여 개였는데, 4분의 1 가량의 지점에서 위법적 행위가 행해진 셈이다.
◇ 적발된 직원 아무런 징계 조치도 받지 않아
당시 적발된 직원에 대해서는 아무런 징계 조치가 이뤄지지 않았다. 다만 해당 직원이 무단 도용 건으로 받았던 실적에 대해 다시 차감 조치 했고, 시스템 개편, KPI 폐지 등을 했을 뿐이다.
우리은행 측은 ①금감원 검사 결과가 나오지 않아 징계 수위를 정할 수 없었고 ②개인 PC가 아니라 은행 지점에서 공용으로 사용되는 태블릿 PC에서 이뤄졌기 때문에 행위자를 특정하기 어렵기 때문이라고 설명했다.
국회의 한 관계자는 "비밀번호를 무단으로 도용한 직원들은 개인정보보호법 위반으로 현행법을 위반한 건인데 2년이 다 되어가도록 아무런 징계 조치나 고발 조치가 없었다는 것이 적절한 지 따져볼 것"이라며 "금감원이 제재 수위를 결정할 권한이 있으므로 그때까지 늦춘다는 핑계를 댈 수는 있지만, 은행이 자체 징계를 할 수 없는 건 아니다. 적극적으로 하려고 하면 할 수 있고 그러한 사례도 있었다"고 지적했다.
개인정보보호법에 따르면 개인 정보를 제공받은 자는 이를 목적 외 용도로 이용할 수 없다(제19조). 전자금융거래법에서는 이용자의 동의를 얻지 않고 이용자의 인적 사항을 타인에 제공·누설하거나 업무상 목적 외 사용할 수 없게 제한한다(제26조).
개인정보보호법 위반 시 5년 이하 징역 또는 5천만 원 이하의 벌금, 전자금융거래법 위반은 10년 이하의 징역 또는 1억 원 이하의 벌금에 처할 수 있다.
금융회사지배구조법상 내부 통제 기준 마련 의무를 위반한 것으로 볼 소지도 크다. 은행이 인사고과에 직결되는 KPI에 비활동성 계좌의 '활성화 실적'을 반영했기 때문이다. 활성화 기준은 고객의 계좌 재접속이었다.
이에 영업점 직원들은 자신들의 실적 달성을 위해 고객의 비밀번호를 의도적으로 변경하면서 우리은행의 내부통제가 상당 부분 무너졌다는 비판이 나온다.
은행은 피해 고객에게도 해당 사실을 고지하지 않았다. 오히려 고지하지 않은 이유에 대해 어차피 인터넷뱅킹을 이용하지 않은 사람들이기 때문에 고지할 필요가 없다고 해명했다.
한편, 우리금융지주 이사회는 전날 이사회 간담회를 통해 현 손태승 우리금융지주회장 체제를 당분간 유지하기로 의견을 모았다.
우리금융 이사회는 "기관에 대한 금융위원회의 절차가 남아 있고, 개인에 대한 제재가 공식 통지되지 않은 상황에서 의견을 내는 것은 시기적으로 적절치 않다고 판단했다"며 "그룹 지배구조에 관해 기존에 결정된 절차와 일정을 변경할 이유가 없다"고 설명했다.