우리은행 블록체인 외주 과실로 1만 7551건 CI 포함 개인정보 유출…외주관리 허점 드러나
우리은행이 블록체인 사업 외주 과정에서 CI를 포함한 1만 7551건의 개인정보를 유출했다. 티빙 해킹에 이어 CI 유출 사고가 재발하며 외주업체 관리 강화 필요성이 대두되고 있다.
https://privacynews.kr/s/0217d0핵심 요약
- 우리은행이 블록체인 외주 사업 과정에서 CI(연계정보) 포함 1만 7551건의 고객 개인정보 유출 사고 발생 - 티빙 해킹 사고에 이어 금융권에서 CI 유출이 재발하며 외주업체 보안관리 체계의 구조적 문제 노출 - 개인정보보호위원회의 원스톱 처리 시스템을 통해 신고부터 손해배상까지 통합 대응 체계 가동 예상주요 내용
우리은행이 2026년 블록체인 관련 외주 프로젝트 진행 과정에서 고객 1만 7551명의 개인정보를 유출하는 사고가 발생했다. 이번 유출 사고의 핵심은 CI(Connecting Information, 연계정보)가 포함됐다는 점이다. CI는 주민등록번호를 대체하여 서로 다른 온라인 서비스 간 개인을 식별하는 88자리 암호화된 고유값으로, 한번 유출되면 여러 서비스에서 동일인을 추적할 수 있어 민감도가 매우 높다.
이번 사고는 2026년 초 발생한 티빙 해킹 사고에 이어 CI 유출이 다시 발생했다는 점에서 주목받고 있다. 특히 금융권이라는 고신뢰 영역에서 외주업체 관리 과정의 허점이 드러나면서, 정보보호 외주관리 체계 전반에 대한 재점검이 필요하다는 지적이 나온다. 블록체인과 같은 신기술 도입 과정에서 외부 전문업체를 활용하는 것은 불가피하지만, 개인정보 접근권한 관리와 데이터 최소화 원칙 준수가 제대로 이행되지 않은 것으로 분석된다.
개인정보보호위원회는 2025년부터 개인정보 침해사고 발생 시 신고·조사·분쟁조정·손해배상까지 연계되는 원스톱 처리 시스템을 운영하고 있다. 이번 우리은행 사례 역시 이 시스템을 통해 처리될 것으로 예상되며, 피해자들은 별도의 복잡한 절차 없이 통합창구를 통해 구제받을 수 있게 됐다. 다만 금융기관의 경우 금융감독원의 제재와 개인정보보호위원회의 과징금이 중첩 부과될 수 있어 우리은행은 상당한 행정적·금전적 제재를 받을 것으로 전망된다.
CI는 본인확인기관이 생성하는 정보로 법적으로는 '가명정보'로 분류되지만, 실질적으로는 개인을 특정할 수 있는 식별자 역할을 하므로 민감정보에 준하는 보호조치가 필요하다. 금융권에서는 CI를 통해 타 금융사 거래정보 조회, 중복가입 방지 등에 활용하고 있어, 유출 시 금융사기나 보이스피싱 등 2차 피해로 이어질 위험이 크다.
전문가 시각
ISMS-P 인증심사 현장에서 가장 빈번하게 발견되는 취약점 중 하나가 바로 외주업체 관리 미흡이다. 특히 블록체인, AI, 클라우드 등 신기술 도입 시 내부 역량 부족으로 외주를 의존하면서도, 정작 외주업체의 보안수준 평가, 접근권한 통제, 작업 모니터링 등 핵심 통제활동은 형식적으로 운영되는 경우가 많다. 이번 우리은행 사례는 '블록체인'이라는 기술 자체의 보안성과 별개로, 그것을 구축하는 과정에서 개인정보 취급 프로세스가 제대로 설계·운영되지 않으면 중대한 유출사고로 이어질 수 있음을 보여준다.
기업들은 외주 계약 시 개인정보 처리 위탁계약서 작성, 수탁사 보안서약, 정기 보안점검 등 서류상 절차는 갖추고 있지만, 실제 프로젝트 수행 단계에서 '누가, 언제, 어떤 개인정보에 접근했는지' 실시간으로 추적·통제하는 기술적 수단은 미비한 경우가 대부분이다. 특히 CI와 같은 고유식별정보는 반드시 암호화 저장, 접근로그 기록, 목적 외 이용 금지 등 강화된 보호조치가 필요하며, 외주 종료 후 즉시 파기하는 절차를 자동화해야 한다. 금융권은 이번 사고를 계기로 외주 프로젝트 전 과정에서 개인정보 라이프사이클 관리를 강화하고, 외주업체 평가 시 ISMS-P 인증 여부를 필수 요건으로 고려해야 할 것이다.
ISMS-P 심사원 체크포인트
1. 2.8.2 개인정보 처리 위탁 관리 (필수) - 외주업체에게 개인정보 처리를 위탁할 경우 서면 계약 체결, 위탁업무 범위 명시, 재위탁 제한, 위탁업체 관리·감독 의무 이행 여부를 점검한다. - 심사 시 확인사항: ① 위탁계약서상 개인정보 보호 조항 포함 여부 ② 위탁업체 보안수준 평가 기록 ③ 정기 관리·감독 실시 증적 ④ 개인정보 접근권한 최소화 및 접근로그 관리 - 관련 법조항: 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한), 동법 시행령 제28조(수탁자에 대한 관리·감독)
2. 2.3.4 개인정보 암호화 (필수) - CI는 온라인 식별자로 개인정보보호법상 '개인식별정보'에 해당하므로, 저장 시 암호화 필수 대상이다. - 심사 시 확인사항: ① CI 저장 시 안전한 암호 알고리즘(AES-256 등) 적용 여부 ② 암호키 관리 체계(HSM, KMS 활용) ③ 전송 시 TLS 1.2 이상 적용 ④ 외주업체 환경에서도 동일한 암호화 정책 적용 여부 - 관련 법조항: 개인정보보호법 제24조의2(가명정보의 처리 등), 제29조(안전조치의무), 개인정보의 안전성 확보조치 기준 제7조
3. 2.8.6 개인정보 처리 현황 관리 - 외주 프로젝트에서 처리하는 개인정보 항목(CI 포함), 처리 목적, 보유기간, 제공 여부 등을 정확히 파악하고 대장으로 관리해야 한다. - 심사 시 확인사항: ① 개인정보 처리 대장에 외주업체 정보 및 처리 항목 기재 ② CI 등 민감 식별정보의 처리 근거 및 필요성 검토 기록 ③ 외주 종료 후 개인정보 파기 확인서 보관
CPPG·ISMS-P 연계 포인트
1. CI(연계정보)의 법적 성격과 보호의무 CI는 「개인정보보호법」상 개인을 식별할 수 있는 정보로서 개인정보에 해당하며, 주민등록번호 대체 수단으로 활용된다. 「전자서명법」에 따라 본인확인기관이 생성하며, 서비스 연계 시 동일인 여부 확인에 사용된다. CPPG·ISMS-P 시험에서는 CI의 특성(변경 불가능한 고유값, 서비스 간 공유 가능성)과 이에 따른 암호화 저장, 목적 외 이용 금지, 제3자 제공 시 동의 의무 등 보호조치를 숙지해야 한다.
2. 개인정보 처리 위탁 시 수탁자 관리·감독 의무 「개인정보보호법」 제26조는 개인정보 처리 위탁 시 위탁자(원 기업)에게 수탁자(외주업체)에 대한 관리·감독 책임을 부여한다. 계약서에 개인정보 보호 관련 사항 명시, 수탁자의 개인정보 처리 실태 점검, 재위탁 제한 등이 포함되며, 위탁사실 공개 의무도 있다. ISMS-P 인증심사에서는 위탁계약서 내용, 정기 점검 기록, 수탁자 보안교육 이수 여부 등을 필수 확인하므로 실무 적용 시 이를 체계적으로 문서화해야 한다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
