우리은행 고객 1.7만명 CI값, 깃허브서 9개월 방치…외주 관리 허점 드러나
--- 금융권 핵심 식별정보가 오픈소스 플랫폼에 무방비 노출되며 위탁업체 관리 체계의 심각한 허점이 재확인됐다. 한국인터넷진흥원(KISA)이 먼저 발견해 통보할 때까지 은행 측은 유출 사실조차 인지하지 못한 것으로 드러났다. --- 사건 개요 우리은행이 NFT
https://privacynews.kr/s/0c8741금융권 핵심 식별정보가 오픈소스 플랫폼에 무방비 노출되며 위탁업체 관리 체계의 심각한 허점이 재확인됐다. 한국인터넷진흥원(KISA)이 먼저 발견해 통보할 때까지 은행 측은 유출 사실조차 인지하지 못한 것으로 드러났다.
사건 개요
우리은행이 NFT(대체불가토큰) 플랫폼 구축을 외부 업체에 위탁하는 과정에서 고객 1만7,551명의 CI(Connecting Information·연계정보)값이 개발자 협업 플랫폼 깃허브(GitHub)에 약 9개월간 공개 상태로 방치된 것으로 확인됐다.
CI값은 주민등록번호를 일방향 암호화한 88바이트 문자열로, 금융·통신·공공기관 간 동일인 여부를 식별하는 핵심 연계키다. 단독으로는 개인을 특정하기 어렵지만, 다른 유출 정보와 결합할 경우 명의도용·보이스피싱 등 2차 피해로 이어질 수 있어 준(準)고유식별정보로 분류된다.
이번 유출은 KISA가 다크웹·오픈소스 플랫폼 모니터링 중 먼저 발견해 우리은행에 통보하면서 알려졌다. 은행 자체 탐지 체계에서는 9개월간 이상 징후를 포착하지 못한 셈이다. 개인정보보호위원회는 현장조사에 착수했으며, 「개인정보 보호법」 제29조(안전조치의무) 위반 여부를 집중 검토 중이다.
핵심 문제점 분석
1. 위탁업체 관리·감독 부재
개인정보 보호법 제26조는 위탁자가 수탁자를 **교육·감독**하고, 계약 시 보안 기준을 명시하도록 의무화하고 있다. 그러나 이번 사례에서 우리은행이 수탁 업체의 소스코드 저장소 관리 실태를 점검했는지는 불분명하다.2. 개발 보안 프로세스 미비
깃허브 퍼블릭 레포지토리에 민감정보가 하드코딩되는 것은 개발 단계에서 **시크릿 스캐닝(Secret Scanning)** 도구를 적용하지 않았음을 의미한다. 금융보안원의 『금융분야 DevSecOps 가이드라인』은 CI/CD 파이프라인 내 자동화된 민감정보 탐지를 권고하고 있으나, 현장 적용률은 여전히 낮다.3. 자체 모니터링 역량 한계
KISA가 외부에서 먼저 탐지했다는 점은 은행의 내부 위협 모니터링 시스템이 외부 오픈소스 플랫폼까지 커버하지 못했음을 보여준다.기업·기관 대응 방안
| 영역 | 권고 조치 |
|---|---|
| 위탁 계약 | 수탁자 보안 점검 주기·항목 명시, 소스코드 저장소 공개 금지 조항 삽입 |
| 개발 보안 | 깃허브 Secret Scanning, git-secrets 등 자동 탐지 도구 필수 적용 |
| 모니터링 | 외부 공개 플랫폼(깃허브·깃랩·페이스트빈 등) 대상 DLP 연동 |
| 교육 | 위탁 개발인력 대상 개인정보 포함 코드 커밋 금지 지침 반복 교육 |
>📘 CPPG·ISMS-P 시험 연계 포인트
개인정보 보호법 제26조(업무위탁에 따른 개인정보 처리 제한)
- 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 교육·감독해야 한다.
- ISMS-P 인증기준 2.3.4 외부자 보안 항목과 직결되며, 위탁 계약서에 보안 요구사항·점검 권한을 명시했는지가 주요 심사 포인트다.
백남정 기자 | 개인정보보호 전문

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)