속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

우리은행 NFT 플랫폼 고객정보 1.7만건 GitHub 유출…수탁사 관리 '구멍'

--- 우리은행이 NFT 플랫폼 개발 과정에서 외주업체에 제공한 고객 개인정보 1만7,551건이 GitHub 등 외부 플랫폼에 무방비로 노출된 사실이 확인됐다. 프로젝트 종료 후 데이터 파기 의무가 이행되지 않은 것이 직접적 원인으로, 개인정보보호위원회가 본격 조사에

백남정 기자
입력 2026년 7월 5일
단축URLhttps://privacynews.kr/s/81e45d

우리은행이 NFT 플랫폼 개발 과정에서 외주업체에 제공한 고객 개인정보 1만7,551건이 GitHub 등 외부 플랫폼에 무방비로 노출된 사실이 확인됐다. 프로젝트 종료 후 데이터 파기 의무가 이행되지 않은 것이 직접적 원인으로, 개인정보보호위원회가 본격 조사에 착수하면서 금융권 전반의 수탁사 관리 체계에 경고등이 켜졌다.


사건 개요

우리은행은 NFT(대체불가토큰) 플랫폼 구축을 위해 외부 개발업체에 고객 CI(연계정보)와 닉네임 등 개인정보를 제공했다. 문제는 2024년 프로젝트가 종료된 이후에도 해당 데이터가 파기되지 않은 채 방치됐다는 점이다.

수탁업체 소속 개발자가 작업 편의를 위해 고객 데이터를 개인 저장소에 보관했고, 이 저장소가 공개(Public) 설정된 상태로 GitHub에 업로드되면서 외부 노출이 발생했다. 유출된 CI는 금융거래 본인확인의 핵심 식별자로, 악용될 경우 명의도용·금융사기 등 2차 피해로 이어질 수 있어 심각성이 크다.


원인 분석: 수탁사 관리의 구조적 허점

이번 사고는 단순한 개인 실수가 아닌 위탁 관리 체계 전반의 구조적 문제를 드러낸다.

첫째, 프로젝트 종료 후 데이터 파기 검증 부재다. 개인정보보호법 제26조는 위탁 업무 종료 시 수탁자의 개인정보 파기 의무를 명시하고 있다. 그러나 우리은행이 실제 파기 여부를 확인했는지는 불분명하다.

둘째, 개발환경 접근권한 관리 미흡이다. 수탁업체 개발자가 실제 고객 데이터를 개인 저장소로 복사할 수 있었다는 것 자체가 데이터 반출 통제가 작동하지 않았음을 의미한다.

셋째, 수탁사에 대한 지속적 점검 부재다. 금융회사의 경우 연 1회 이상 수탁사 관리·감독을 실시해야 하나, 프로젝트 단위 외주의 경우 사각지대가 발생하기 쉽다.


기업·기관 대응 방안

이번 사례를 계기로 금융권은 수탁사 관리 체계를 전면 재점검해야 한다.

  • 계약 단계: 데이터 파기 증명서 제출 의무화, 위반 시 손해배상 조항 명시
  • 개발 단계: 테스트 환경에서는 가명·익명 처리된 데이터만 사용, 실데이터 반출 원천 차단
  • 종료 단계: 파기 확인서 징구 및 기술적 검증(저장소 스캔 등) 병행
  • 상시 모니터링: GitHub·Pastebin 등 외부 플랫폼 대상 자사 정보 노출 여부 자동 탐지 시스템 구축

개인정보보호위원회는 조사 결과에 따라 과징금과 함께 시정명령을 부과할 가능성이 높다. 특히 금융 분야는 신용정보법상 가중 처벌이 적용될 수 있어 귀추가 주목된다.


📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

- 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 교육 및 감독해야 함

- 위탁 업무 종료 시 수탁자는 지체 없이 개인정보를 파기해야 함

- ISMS-P 인증기준 2.3.4(외부자 보안)에서도 외주 개발 시 보안 요구사항 계약 반영 및 준수 여부 점검을 요구함

>

출제 예상: 위탁자의 관리·감독 의무 범위, 수탁자 파기 의무, 재위탁 제한 요건


백남정 기자 | 개인정보보호 전문 데스크

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사