속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

우리은행, 고객 1.7만명 CI값 깃허브 9개월 방치…외주 관리 부실 도마 위

국내 4대 시중은행 우리은행에서 고객 17,551명의 연계정보(CI)가 외부 개발 플랫폼에 약 9개월간 공개 노출되는 심각한 보안 사고가 발생했다. 한국인터넷진흥원(KISA)이 먼저 발견해 통보한 이번 사건에 대해 개인정보보호위원회가 현장조사에 착수, 안전조치의무 위반

백남정 기자
입력 2026년 7월 7일
단축URLhttps://privacynews.kr/s/1dee0a

국내 4대 시중은행 우리은행에서 고객 17,551명의 연계정보(CI)가 외부 개발 플랫폼에 약 9개월간 공개 노출되는 심각한 보안 사고가 발생했다. 한국인터넷진흥원(KISA)이 먼저 발견해 통보한 이번 사건에 대해 개인정보보호위원회가 현장조사에 착수, 안전조치의무 위반 여부를 검토 중이다.


사고 개요: NFT 외주 개발 과정서 CI값 유출

우리은행은 NFT(대체불가토큰) 플랫폼 구축을 위해 외주 업체에 개발을 위탁했다. 문제는 이 과정에서 발생했다. 위탁업체 개발자가 고객 CI값이 포함된 데이터를 소스코드 공유 플랫폼인 깃허브(GitHub)의 공개 저장소에 업로드한 것이다.

CI는 주민등록번호를 기반으로 생성되는 88자리 암호화 값으로, 금융·통신 등 다양한 기관에서 동일인 여부를 확인하는 연계정보다. 그 자체로 개인을 특정하기는 어렵지만, 다른 유출 정보와 결합될 경우 명의도용, 보이스피싱 등 2차 피해로 이어질 수 있어 민감정보에 준하는 관리가 요구된다.

특히 은행이 아닌 KISA가 먼저 노출 사실을 발견해 통보했다는 점은 우리은행의 위탁업체 관리·감독 체계에 심각한 허점이 있었음을 방증한다.


공통 패턴: 반복되는 '위탁자 관리 부실'

이번 사고는 최근 잇따르는 개인정보 침해사고의 전형적 패턴을 그대로 보여준다.

첫째, 개발 환경에서의 보안 인식 부재다. 깃허브 등 오픈소스 플랫폼에 실제 고객 데이터를 업로드하는 행위는 명백한 보안 위반이지만, 개발 편의를 위해 여전히 빈번하게 발생한다.

둘째, 위탁자의 수탁자 관리·감독 의무 미이행이다. 개인정보보호법 제26조는 위탁자가 수탁자의 개인정보 처리 현황을 정기적으로 점검하도록 의무화하고 있다. 그러나 9개월간 노출 사실을 인지하지 못했다는 것은 이러한 점검이 형식적으로 이루어졌거나 아예 누락되었음을 시사한다.

셋째, 실데이터 사용 관행의 문제다. 개발·테스트 환경에서는 가명처리된 데이터나 더미 데이터를 사용해야 함에도, 실제 고객 정보를 그대로 활용하는 관행이 여전히 만연해 있다.


기업·기관 대응 방안

▲ 위탁 계약 시 보안 조항 강화: 수탁자의 개발 환경, 데이터 처리 방식, 접근 권한 등을 계약서에 구체적으로 명시하고, 위반 시 손해배상 책임을 명확히 해야 한다.

▲ 정기·수시 점검 체계 구축: 분기별 서면 점검에 그치지 않고, 실제 개발 환경에 대한 기술적 점검을 병행해야 한다. 깃허브 등 외부 저장소에 대한 자동 모니터링 도구 도입도 필수다.

▲ 개발 단계별 보안 내재화: DevSecOps 체계를 도입해 코드 커밋 시점부터 민감정보 탐지 도구를 적용하고, 실데이터 사용을 원천 차단하는 정책을 수립해야 한다.

▲ 침해사고 대응 훈련 강화: 내부 탐지 역량을 높여 외부 기관보다 먼저 이상 징후를 포착할 수 있는 체계를 갖춰야 한다.

개인정보보호위원회의 조사 결과에 따라 우리은행은 과징금·과태료 처분과 함께 시정명령을 받을 가능성이 높다. 금융권 전반에 위탁 관리 체계 점검의 경종이 될 이번 사건의 후속 조치에 귀추가 주목된다.

백남정 기자 privacywatch@newsmail.com


📘 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

>

위탁자는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 교육·점검해야 하며, 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반해 발생한 손해배상 책임에 대해서는 수탁자를 위탁자의 소속 직원으로 본다. 이번 사례처럼 수탁자의 과실로 인한 유출 사고에서도 위탁자인 기업이 관리·감독 의무 위반으로 직접 책임을 질 수 있음을 명심해야 한다.

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사