우리은행 휴면계좌 비밀번호 무단 도용 사건과 관련, 당시 보안을 총괄했던 정보보호최고책임자(CISO)가 입을 열었다. 현재 금융감독원과 우리은행은 고객 비번 무단 도용 사전보고 여부를 두고 진실공방을 벌이고 있다. 우리은행은 금감원 검사가 있기 전 자체 적발해 금융당국에 사전 보고했다고 주장한 반면에 금융감독원은 사전보고는 없었다고 반박했다.
당시 보안 총괄이던 CISO 입장을 본지는 어렵게 들을 수 있었다.
특히 디지털 본부 총괄직을 수행한 후 CISO로 자리를 옮겼기 때문에 우리은행 비밀번호 도용 사태에 대한 전말을 알고 있는 인물이다. 비밀번호 도용 발단이 된 우리은행 직원 KPI제도 수립에도 참여했다.
그는 “지금 금융당국 조사가 진행되는 상황에서 세부적인 내용을 (제가)밝히는 것은 상당히 부담스럽고 회사에 대한 예의가 아닌 것 같다”면서 “당시 지점 직원 비번 도용 문제를 사전 적발했다”고 말했다.
이어 “모든 내용을 (감사팀에) 사전 보고했고, 사고를 은폐하거나 그런 적 없다”고 밝혔다.
당시 어떻게 지점 직원이 고객 비밀번호를 바꾸었는지 보안 시스템 취약점에 대해서는 “말씀드릴 수 없다”고 설명했다.
CISO의 말대로라면 비밀번호 도용사고는 두 가지 가능성이 존재한다.
해당부서에서 문제를 사전 적발, 감사팀에 보고했지만 금감원 검사 보고에서 우리은행 감사팀이 이 사실을 은폐했을 가능성이다. 그게 아니라면 금융감독원이 우리은행 보고를 받았지만 이를 자체 적발했다고 발표했을 가능성이다.
양측 입장은 여전히 팽팽하다. 공방전이 이어지고 있다.
우리은행 내부에서는 감사팀이 이같이 큰 사안을 은폐할 이유가 없다고 주장했다. 우리은행 관계자는 “2018년 10∼11월 금감원 경영실태평가에서 비밀번호 무단 도용 관련 자료를 제출하면서 보고했다”고 입장을 밝혔다.
반면에 금감원은 우리은행에서 보고를 받은 것이 아니라 경영실태평가 과정에서 비밀번호 부정사용 사실을 확인했다고 공식 입장을 밝혔다. 관련 사실을 확인하게 된 경로가 '우리은행의 보고'가 아닌 '자체 검사'라는 것이다.
금융감독원 관계자는 “2018년 10월부터 11월 사이 우리은행 경영실태평가를 했고 이 과정에서 은행 직원이 고객 임시 비밀번호를 부정사용한 사실을 확인했다”고 재차 강조했다.
이어 “아직 검사가 끝나지 않은 사안이라 구체 내용을 말하기 힘들다”며 “이번 고객 임시 비밀번호 부정사용 사안은 금감원의 IT 부문에 대한 경영실태평가 과정에서 확인했다”고 주장했다.
금감원은 이후 우리은행에 재발방지책을 마련해 조치했다고 설명했다. 전체 은행권에 대해 일제 점검도 실시해 유사사례가 없다는 점을 확인했고 이후 추가 사실관계 조사, 법규 위반 여부 검토 등도 했다고 덧붙였다.
당시 보안을 총괄했던 CISO가 자체 보고를 했다는 입장을 밝힘에 따라 금감원과 우리은행 간 공방은 더 거세질 전망이다.
시장에서는 우리은행 지점 직원이 사용자 패스워드를 임의로 바꿀 수 있는 '시스템 권한'을 받을 수 있었는지 의문도 증폭되고 있다. 시스템 권한을 보유한 관리자가 망분리된 뱅킹코어에서 직원에게 임의로 권한을 줬을 가능성도 제기됐다.
길재식기자 osolgil@etnews.com, 배옥진기자 withok@etnews.com
