우리은행 영업점 일부 직원들이 고객 2만3천여명의 인터넷뱅킹 비밀번호를 고객 동의없이 무단 변경해 논란이 일고 있다. 이 같은 일이 벌어진 이유에 의구심도 커지는 분위기다.
2018년 5월부터 8월까지 이 같은 행위가 이뤄졌으며, 우리은행이 내부 감사를 통해 적발한 뒤 2018년 10월 금융감독원이 조사에 착수한 것으로 알려졌다.
우리은행은 6일 "시스템 보완을 통해 문제점을 해결했다"며 "재발하지 않도록 핵심성과지표(KPI)를 2018년 10월부터 변경해 적용했다"고 해명했다.
하지만 해소되지 않는 의문이 남는다.
우선 직원들이 어떻게 고객 인터넷 뱅킹 아이디와 비밀번호를 알고 있었냐는 점이다.
인터넷뱅킹 가입 시 고객은 직원들에게 아이디와 비밀번호를 알려주지 않는다. 1년 여간 인터넷뱅킹을 사용하지 않아 비활성화되거나 휴면계좌가 되면 공인인증서로 인증 절차를 거치거나 지점을 직접 방문해야 한다.
이에 우리은행 측은 "직원들이 임시 비밀번호를 알고 있었으며, 이를 통해 로그인하고 비밀번호를 바꿨다"고 설명했다.
이 임시 비밀번호는 고객 개인이 영업점에 가서 계좌를 개설하고 인터넷 뱅킹에 가입할 때는 발급되지 않는다. 그러나 대규모로 새로운 계좌를 개설할 경우 고객 편의를 위해 인터넷 뱅킹 임시 비밀번호를 발급한다. 이 과정서 임시 비밀번호를 직원들이 알게 됐다는 게 은행 측 설명이다.
두 번째는 비밀번호가 변경됐음에도 인지한 고객이 없다는 점이다. 인터넷 뱅킹 비밀번호가 임시 비밀번호와 다를 경우 고객은 접속할 수 없다. 의문을 갖고 은행에 민원을 넣기 충분하지만 이의를 제기한 고객은 한 명도 없다.
이에 은행업계 관계자는 "인터넷보다는 모바일 뱅킹 이용량이 늘었고, 아이디와 비밀번호를 활용하기 보다는 모바일 뱅킹의 지문·홍채 등 생체인증을 많이 해 아이디와 비밀번호를 접속하는 경우가 드물었기 때문"이라고 추측했다.
다만 우리은행 관계자는 이상거래탐지(FDS)를 통해 발견된 4만여 명 중 2만3천명의 고객 리스트를 확보하고 있다고 말했다. 또 금전적 피해가 발생하지 않았으며, 피해 고객이 없다는 입장을 내놨다.
세 번째는 은행 직원들이 개인정보를 동의없이 탈취해 이용하는 것은 위법 행위임에도 실행한 이유다. 다른 은행 직원들은 우리은행의 핵심성과지표(KPI) 설계에 무리가 있다고 봤다. 인터넷과 모바일 같은 비대면 채널의 성과는 '신규 거래'로 잡히고, 비활성화된 계좌들의 비밀번호가 바뀌더라도 활성화 여부는 이체·금융상품가입과 같은 부수거래로 성과를 측정한다는 것이다.
한 은행 관계자는 "KPI가 바뀌고 나면 직원들은 성과를 내기 위해 내용을 한 달여 공부한다. 그러던 중 이 같은 사각지대를 발견한 것으로 보인다"며 "지점에서 일해본 입장에서는 KPI 설계가 잘못돼 직원들의 일탈을 부추긴 것 같다"고 설명했다.
만약 KPI 설계가 원초적으로 잘못된 것이라면 해당 시기의 임원과 최고경영책임자의 내부통제 부실일 가능성이 높다. 현재 손태승 우리금융지주회장 겸 우리은행장이 해외 금리 연계 파생결합펀드(DLF)로 중징계 제재안을 금감원이 결재해, 이번 사안은 추후 거취에 영향을 행사할 것으로 관측된다.
관련기사
- 카카오페이, 바로투자證 인수...금융 영토 확장 가속화2020.02.06
- 신한지주, 2019년 당기순익 3조4035억...전년比 7.8%↑2020.02.06
- 하나금융, 2019년 당기순익 2조4084억원...전년대비 7.8%↑2020.02.06
- 저금리·규제·신종 코로나...은행업계 '삼중고'2020.02.06
네 번째는 금감원은 왜 이 같은 사실을 알고도 빨리 대책을 수립하지 않았는가다. 금감원은 2018년 10월 우리은행 경영실태평가를 진행했다. IT 외에 6개에 부문을 검사하는데 당시에 이 사실을 인지한 것으로 알려졌다. 경영실태평가 완료 후 1년 여 정도 결과가 나오는데 2020년 2월까지 어떤 대책도 권고하지 않은 상태다.
금감원 측은 "2019년 여름 우리은행의 DLF 사태로 인해 사안이 밀린 것으로 보인다"고 설명했다.