속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

우리은행 고객정보 1.7만건 유출…"외주업체 관리 부실" 도마 위

--- NFT 플랫폼 구축 과정서 CI·닉네임 유출…프로젝트 종료 후 미파기가 화근 개인정보위 조사 착수, 위탁업체 보안관리 체계 전면 점검 불가피 --- 우리은행이 외부 개발업체에 제공한 고객정보 1만7,551건이 외부로 유출되는 사고가 발생했다. NFT 서비스

백남정 기자
입력 2026년 7월 5일
단축URLhttps://privacynews.kr/s/9413ef

NFT 플랫폼 구축 과정서 CI·닉네임 유출…프로젝트 종료 후 미파기가 화근 개인정보위 조사 착수, 위탁업체 보안관리 체계 전면 점검 불가피


우리은행이 외부 개발업체에 제공한 고객정보 1만7,551건이 외부로 유출되는 사고가 발생했다. NFT 서비스 구축이라는 신사업 추진 과정에서 수탁사 관리 소홀이 대형 정보유출로 이어진 것이다. 개인정보보호위원회가 조사에 착수한 가운데, 금융권 전반의 위탁업체 관리 실태에 대한 점검 필요성이 제기되고 있다.


사고 경위: 삭제되지 않은 고객정보, 개발 플랫폼서 '공개'

지난 2024년 9월, 우리은행은 NFT(대체불가능토큰) 플랫폼 구축을 위해 외부 개발업체에 고객 연계정보(CI)와 닉네임 총 1만7,551건을 제공했다. 문제는 프로젝트가 종료된 이후에도 해당 정보가 삭제되지 않았다는 점이다.

수탁업체 소속 개발자가 작업 과정에서 사용한 고객정보를 GitHub 등 개발자 협업 플랫폼에 업로드한 것으로 파악된다. 이 과정에서 접근권한 설정 미흡으로 정보가 외부에 노출됐다. 우리은행은 "현재까지 2차 악용 사례는 확인되지 않았다"고 밝혔으나, CI는 주민등록번호에 준하는 식별정보인 만큼 잠재적 피해 우려가 크다.


핵심 쟁점: 위탁업무 종료 후 '파기 의무' 미이행

이번 사고의 핵심은 위탁업무 종료 시 개인정보 파기 의무 위반이다.

「개인정보 보호법」 제26조와 같은 법 시행령 제28조는 개인정보 처리 위탁 시 위탁자가 수탁자를 관리·감독할 의무를 명시하고 있다. 특히 위탁계약 종료 시 수탁자는 개인정보를 지체 없이 파기해야 하며, 위탁자는 이를 확인할 의무가 있다.

금융권에서 반복적으로 발생하는 위탁업체발(發) 정보유출 사고의 공통 패턴은 다음과 같다.

공통 취약점이번 사고 적용
수탁자 보안교육 미흡개발자의 플랫폼 업로드 부주의
파기 이행 확인 절차 부재프로젝트 종료 후 데이터 잔존
위탁 현황 실시간 모니터링 한계유출 시점 즉시 인지 실패

기업·기관 대응 방안

첫째, 위탁계약서에 파기 절차 및 확인 의무를 구체화해야 한다. 단순히 "파기한다"는 문구가 아닌, 파기 방법·시점·증적 제출 의무를 명시하고 위반 시 손해배상 조항을 강화해야 한다.

둘째, 수탁자 대상 정기 보안점검과 교육을 의무화해야 한다. 개발자 개인 PC나 외부 플랫폼으로의 정보 반출을 기술적으로 차단하는 DLP(Data Loss Prevention) 솔루션 도입도 검토 대상이다.

셋째, 제로 트러스트(Zero Trust) 기반의 데이터 접근통제가 필요하다. 실데이터 대신 테스트용 가명·익명 데이터를 제공하거나, 개발환경을 위탁자 내부 보안망에서 운영하는 방식으로 원천 유출을 방지해야 한다.

개인정보보호위원회는 조사 결과에 따라 과징금 및 시정명령을 부과할 예정이다. 위탁자인 우리은행 역시 관리·감독 소홀에 대한 책임을 면하기 어려울 전망이다.


📚 CPPG·ISMS-P 시험 연계 포인트

>

[개인정보 보호법 제26조 – 업무위탁에 따른 개인정보의 처리 제한]

>

위탁자는 수탁자가 개인정보를 안전하게 처리하는지 관리·감독해야 하며, 위탁업무 종료 시 수탁자의 개인정보 파기 여부를 확인할 의무가 있다. ISMS-P 인증 심사에서도 '외부자 보안(2.6)' 영역에서 위탁업체 계약·관리·파기 절차의 적정성을 중점 점검한다. 수탁자 관리대장 작성, 정기 점검 기록, 파기확인서 수령 등 증적 관리가 핵심이다.


백남정 기자 privacywatch@example.com

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사