금감원 “내달 우리은행 대상 제재심 진행”
[데일리포스트=송협 선임기자] 지난해 해외금리연계 파생결합상품(DLF) 사태로 우리금융지주 손태승 회장이 금융당국으로부터 중징계 처분을 받은데 이어 이번에는 우리은행이 최근 고객들의 비밀번호를 부정하게 등록하려고 시도하려다 적발돼 또 다시 논란이 되고 있다.
국회 정부위원회 소속 자유한국당 김종석 의원실은 우리은행은 지난 2018년 7월 25일부터 26일까지 양일간에 걸쳐 일부 영업점 직원들이 스마트뱅킹 장기 미이용 고객의 아이디와 비밀번호를 이용해 비밀번호를 등록하려고 시도했다는 정황을 찾아냈다.
김 의원실은 지난 16일 금융감독원으로부터 제출받은 ‘우리은행의 비밀번호 등록 관련 경위’ 자료를 근거로 우리은행 일부 영업점에서 이 같은 행위가 시도됐다는 점을 확인했다.
실제로 고객이 은행에서 신규 계좌를 가입할 때 은행으로부터 받은 임시 비밀번호를 사용자 비밀번호로 등록하지 않고 1년 이상 지나면 비활성화 고객으로 분류된다.
은행 직원들은 사용자 비밀번호를 등록할 때 고객 인증절차가 필요하지 않다는 허점을 확인하고 직원 전용 포털의 ‘스마트뱅킹 장기 미이용 고객 명세’ 자료에서 이용자 ID 등을 확인했다.
6자리 임시 비밀번호는 설정 당시 고객 요청이나 위임에 따라 영업점 직원이 '100400' 등 특정 번호로 입력하는 경우가 많아 비교적 쉽게 알아낼 수 있었던 것으로 추정됐다.
직원들은 영업점의 태블릿 PC를 이용해 비밀번호를 무단으로 변경했다. 무단 변경 건수는 약 4만건에 이른다.
고객이 임시 비밀번호를 입력해 비밀번호를 등록할 때 ARS 인증이나 스마트 간편인증 등 추가인증 절차를 거치지 않아도 됐기 때문에 가능한 일이었다. 이런 일탈 행위는 지나친 실적 높이기 압박에 따른 것이라는 시각이 대체적이다.
우리은행은 2018년 8월 9일 재발 방지 차원에서 제3자의 비밀번호 등록 시도 방지를 위한 추가 인증 절차를 도입했다.
우리은행은 2018년 1월부터 스마트뱅킹 장기 미이용 고객의 재이용 실적을 영업팀 핵심성과지표(KPI)의 세부 항목으로 포함했다. 은행 측은 비밀번호 무단 도용으로 취득한 KPI 실적을 전부 삭감한 것으로 나타났다.
김종석 의원실이 우리은행으로부터 받은 자료에 따르면 이번 고객 휴면계좌 비밀번호 무단 도용 사건에는 전국 200개 지점, 300여명의 직원이 가담했다.
서울을 포함한 수도권은 물론 부산, 대구, 울산, 포항, 군산, 여수 등 전국 200개 지점에서 비밀번호 무단 도용 사례가 적발됐다. 직원 313명이 영업점에 있는 공용 태블릿 PC를 이용해 비밀번호를 무단으로 바꿨다. 비밀번호 변경 건수는 3만9463건이었다.
한편 금감원은 이르면 다음달 중으로 제재심을 열어 비밀번호 무단변경에 가담한 직원들과 지점장 등 약 500여명과 함께 우리은행에 대한 제재심을 진행한다.