최근 우리은행의 고객 비밀번호 무단 변경이 고객 인증절차가 필요하지 않았던 시스템 때문이었던 것으로 드러났다. 사용자 비밀번호로 등록할 때 고객 인증 절차가 필요하지 않았던 허점으로 인해 가능했다는 지적이다.

국회 정무위원회 소속 자유한국당 김종석 의원실이 16일 금융감독원으로부터 받은 '우리은행의 비밀번호 등록 관련 경위' 자료에 따르면 우리은행은 2018년 7월 25∼26일 비밀번호 부정 등록 시도를 처음으로 확인했다.

우리은행 정보보호부는 당시 일부 영업점 직원들이 스마트뱅킹 장기 미이용 고객의 이용자 아이디(ID)와 임시 비밀번호를 이용해 비밀번호를 등록하려는 시도를 적발했다.

고객이 신규 계좌 가입 때 받은 임시 비밀번호를 사용자 비밀번호로 등록하지 않고 1년 이상 지나면 비활성화 고객으로 분류된다.

우리은행 직원들은 우리은행 내부 포털(우리BI포탈)의 '스마트뱅킹 장기 미이용 고객 명세' 자료에서 이용자 ID 등을 확인했다.

6자리 임시 비밀번호는 설정 당시 고객 요청이나 위임에 따라 영업점 직원이 '100400' 등 특정 번호로 입력하는 경우가 많아 비교적 쉽게 알아낼 수 있었던 것으로 추정됐다.

직원들은 영업점의 태블릿 PC를 이용해 비밀번호를 무단으로 변경했다. 무단 변경 건수는 약 4만건에 이른다.

고객이 임시 비밀번호를 입력해 비밀번호를 등록할 때 ARS 인증이나 스마트 간편인증 등 추가인증 절차를 거치지 않아도 됐기 때문에 가능한 일이었다. 이런 일탈 행위는 지나친 실적 높이기 압박에 따른 것이라는 시각이 대체적이다. 

우리은행은 2018년 8월 9일 재발 방지 차원에서 제3자의 비밀번호 등록 시도 방지를 위한 추가 인증 절차를 도입했다.

우리은행은 2018년 1월부터 스마트뱅킹 장기 미이용 고객의 재이용 실적을 영업팀 핵심성과지표(KPI)의 세부 항목으로 포함했다. 은행 측은 비밀번호 무단 도용으로 취득한 KPI 실적을 전부 삭감한 것으로 나타났다.

김종석 의원실이 우리은행으로부터 받은 자료에 따르면  이번 고객 휴면계좌 비밀번호 무단 도용 사건에는 전국 200개 지점, 300여명의 직원이 가담했다.

서울을 포함한 수도권은 물론 부산, 대구, 울산, 포항, 군산, 여수 등 전국 200개 지점에서 비밀번호 무단 도용 사례가 적발됐다. 직원 313명이 영업점에 있는 공용 태블릿 PC를 이용해 비밀번호를 무단으로 바꿨다. 비밀번호 변경 건수는 3만9463건이었다.

한편 금감원은 이르면 다음달 중으로 제재심을 열어 비밀번호 무단변경에 가담한 직원들과 지점장 등 약 500여명과 함께 우리은행에 대한 제재심을 진행한다. 앞서 금감원은 해외금리연계 파생결합상품(DLF) 사태와 관련해 손태승 우리금융지주 회장에 중징계(문책경고)를 내린 바 있다.