실적에 눈먼 우리은행 직원들, 고객 2만여명 비밀번호 손댔다

우리은행 영업점 직원들이 고객 2만3000여 명의 인터넷·모바일뱅킹 비밀번호를 무단으로 변경한 사실이 확인됐다.

서울 중구 우리은행 본점. [뉴스1]

━
평가점수 높이려 비밀번호 무단 변경
5일 우리은행에 따르면 이 은행은 2018년 일부 영업점 직원들이 고객 인터넷·모바일뱅킹 비밀번호를 동의 없이 바꾼 것과 관련해 금융감독원 조사를 받았다. 이 직원들은 1년 이상 거래가 없던 고객의 온라인 비밀번호가 바뀌면 새로운 거래실적으로 잡힌다는 점을 악용해 핵심성과지표(KPI) 점수를 높였다. 이런 식으로 비밀번호가 무단 변경된 고객은 2만3000여 명으로 알려졌다.

1년 이상 인터넷·모바일뱅킹에 접속하지 않은 비활성화(휴면) 계좌 고객이 다시 거래하려면 기존 비밀번호와 변경할 새 비밀번호를 함께 입력해야 한다. 기존 비밀번호를 기억하지 못하는 고객엔 은행이 개인정보를 확인한 뒤 임시 비밀번호를 부여한다.

우리은행 일부 영업점 직원들은 이 같은 방법을 활용해 거래가 없던 고객에게 무단으로 새 비밀번호를 부여한 뒤 온라인 계좌에 고객이 직접 접속한 것처럼 꾸몄다. 실적 점수를 올리기 위해서였다. 우리은행 KPI엔 비활성화 계좌를 활성화한 실적이 포함됐다.

━
은행 측 "2018년 적발, 시정조치"
이에 대해 우리은행 관계자는 "2018년 7월 은행 본사 검사실이 자체 감사 시스템을 통해 이를 적발했고, 조작된 거래실적을 모두 평가에서 제외하는 등 시정조치했다"고 설명했다. "그해 10월 금감원 은행 경영 실태 평가에서 은행이 이를 사전 보고해 검사가 이뤄졌지만 당국 차원에서의 조치는 아직 내려지지 않았다"고도 덧붙였다.

이번 사태는 일부 영업점 직원들의 일탈이라는 게 우리은행 측 해명이다. 조직적으로 일어난 일은 아니라는 뜻이다. 고객의 비밀번호를 임의로 바꾼 것 이외에 정보 유출이나 금전적 피해사실 같은 금융사고는 없었다는 점이 금감원 검사에서 확인됐다고도 강조했다. 아울러 이후 재발방지를 위해 시스템을 개선하고 영업점 KPI에서 비활성화 계좌 활성화 항목을 없앴다고도 설명했다.

하지만 이는 개인정보보호법이나 전자금융거래법 위반 사안일 가능성이 크다. 개인정보보호법에 따르면 개인정보를 제공 받은 자는 이를 목적 외 용도로 이용할 수 없다(제 19조). 전자금융거래법에서는 이용자의 동의를 얻지 않고 이용자의 인적사항을 타인에 제공·누설하거나 업무상 목적 외에 사용할 수 없게 제한한다(제 26조). 개인정보보호법 위반 시 5년 이하 징역 또는 5000만원 이하의 벌금, 전자금융거래법 위반은 10년 이하의 징역 또는 1억원 이하의 벌금에 처할 수 있다.

우리은행은 지난해 대규모 원금손실을 일으킨 해외금리 연계 파생결합펀드(DLF) 사태로도 홍역을 치렀다. DLF 사태에 대한 책임을 물어 금감원이 지난 3일 손태승 우리금융지주 회장에게 중징계(문책경고)를 확정한 상태다. 우리금융 이사회는 7일 열릴 정기 이사회에 앞서 6일 이사회 안건을 보고받는 사전 간담회를 열 예정이다. 중징계 확정 이후 처음 이사회 구성원이 모이는 자리인 만큼, 손 회장의 거취 문제가 논의될지가 주목된다.

홍지유 기자 hong.jiyu@joongang.co.kr