우리은행 NFT 플랫폼 고객정보 1.7만건 GitHub 유출… 수탁사 관리 부실 드러나
금융권 개인정보 외주 관리의 심각한 허점이 또다시 수면 위로 떠올랐다. 우리은행이 NFT 플랫폼 개발을 위해 외주업체에 제공한 고객 개인정보 1만7,551건이 개발자의 개인 GitHub 저장소를 통해 외부에 노출된 사실이 확인됐다. 개인정보보호위원회가 조사에 착수한 가
https://privacynews.kr/s/14a8d2금융권 개인정보 외주 관리의 심각한 허점이 또다시 수면 위로 떠올랐다. 우리은행이 NFT 플랫폼 개발을 위해 외주업체에 제공한 고객 개인정보 1만7,551건이 개발자의 개인 GitHub 저장소를 통해 외부에 노출된 사실이 확인됐다. 개인정보보호위원회가 조사에 착수한 가운데, 금융권 전반의 수탁사 관리 체계에 대한 전면 재검토가 불가피해졌다.
사건 개요: 개발자 실수로 CI 포함 고객정보 공개 저장소에 업로드
이번 사고는 우리은행의 NFT 플랫폼 개발을 담당한 외주업체 소속 개발자가 고객 개인정보를 개인 GitHub 저장소에 보관하면서 발생했다. 문제는 해당 저장소가 '공개(Public)' 설정으로 운영됐다는 점이다.
유출된 정보에는 고객 CI(연계정보)와 닉네임이 포함된 것으로 알려졌다. CI는 주민등록번호를 기반으로 생성되는 본인확인 정보로, 여러 기관 간 동일인 여부를 식별하는 데 사용된다. 단독으로는 개인을 특정하기 어렵지만, 다른 유출 정보와 결합할 경우 2차 피해로 이어질 수 있어 민감도가 높은 정보로 분류된다.
개인정보보호위원회는 해당 사안에 대해 조사에 착수했으며, 우리은행과 수탁업체 양측의 관리 책임을 면밀히 검토할 방침이다.
핵심 문제점: 수탁사 관리·기술적 통제 모두 실패
이번 사고에서 드러난 문제점은 크게 세 가지로 분석된다.
첫째, 수탁사 관리·감독 의무 소홀이다. 개인정보보호법 제26조는 위탁자가 수탁자의 개인정보 처리 현황을 정기적으로 점검하도록 규정하고 있다. 그러나 외주 개발자가 고객정보를 개인 저장소로 반출하는 상황을 사전에 감지하지 못했다는 점에서 관리 체계의 허점이 여실히 드러났다.
둘째, 개발 보안 정책의 부재다. 금융권에서는 소스코드와 데이터의 외부 저장소 업로드를 원천 차단하는 DLP(Data Loss Prevention) 솔루션 적용이 필수적이다. 그러나 이번 사고는 이러한 기술적 통제가 수탁사까지 확장 적용되지 않았음을 보여준다.
셋째, 개발 환경에서의 실 데이터 사용 관행이다. 테스트 단계에서 실제 고객정보 대신 가명·익명 처리된 데이터를 활용했다면 이번 사고는 예방 가능했다.
금융권·기업 대응 방안
이번 사고를 계기로 금융권과 개인정보를 대량 처리하는 기업들은 다음 사항을 점검해야 한다.
- 수탁사 보안 점검 실효성 강화: 서면 점검에 그치지 않고 개발 환경·저장소 접근 로그 등 기술적 점검 병행
- 개발 단계 데이터 가명처리 의무화: 실 데이터 사용 시 별도 승인 절차 및 모니터링 체계 구축
- 외부 저장소 업로드 차단 정책: GitHub, 클라우드 드라이브 등 외부 서비스에 대한 접근 통제 강화
- 수탁 계약서 보안 조항 구체화: 데이터 반출 금지, 위반 시 손해배상 조항 명시
>📚 CPPG·ISMS-P 시험 연계 포인트
>개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
위탁자는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 관리·감독해야 하며, 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반하면 위탁자도 손해배상 책임을 진다. ISMS-P 인증 기준에서도 '외부자 보안(2.3)'과 '개인정보 처리 업무 위탁(3.4)'에서 수탁사 관리 통제를 핵심 점검 항목으로 다루고 있다.
백남정 기자 privacywatch@example.com

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)