속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

우리은행, 고객 1.7만명 CI값 깃허브에 9개월 방치…외주개발 보안 '빨간불'

--- 국내 시중은행의 고객 연계정보(CI)가 외부 개발 플랫폼에 장기간 노출되는 중대 사고가 발생했다. 금융권 최고 수준의 보안 체계를 갖춘 은행에서 발생한 이번 사고는 외주 개발 과정의 구조적 보안 취약점을 여실히 드러냈다. --- 사고 개요: 9개월간 공개

백남정 기자
입력 2026년 7월 8일
단축URLhttps://privacynews.kr/s/46cb67

국내 시중은행의 고객 연계정보(CI)가 외부 개발 플랫폼에 장기간 노출되는 중대 사고가 발생했다. 금융권 최고 수준의 보안 체계를 갖춘 은행에서 발생한 이번 사고는 외주 개발 과정의 구조적 보안 취약점을 여실히 드러냈다.


사고 개요: 9개월간 공개 저장소에 방치된 민감정보

우리은행이 NFT 플랫폼 외주 개발 과정에서 고객 17,551명의 연계정보(CI)가 깃허브(GitHub) 공개 저장소에 약 9개월간 노출된 것으로 확인됐다.

CI(Connecting Information)는 주민등록번호를 암호화해 생성한 88바이트의 고유 식별값으로, 온라인 본인확인 시 핵심적으로 사용된다. 단독으로는 개인을 특정하기 어렵지만, 다른 유출 정보와 결합할 경우 명의도용, 금융사기 등 2차 피해로 이어질 수 있어 '고위험 식별정보'로 분류된다.

특히 이번 사고는 은행 내부가 아닌 한국인터넷진흥원(KISA)이 먼저 발견해 통보한 것으로 알려져, 자체 모니터링 체계의 부재가 도마 위에 올랐다. 현재 개인정보보호위원회는 현장조사에 착수해 개인정보보호법상 안전조치의무 위반 여부를 면밀히 검토 중이다.


사고 분석: 외주개발의 고질적 보안 허점

이번 사고는 금융권에서 반복되는 '외주개발 보안 사각지대'의 전형적 사례다.

첫째, 개발환경과 운영환경의 분리 실패다. 실제 고객 데이터가 개발·테스트 과정에 그대로 사용됐을 가능성이 높다. 정상적인 보안 체계라면 마스킹 처리된 가상 데이터(더미 데이터)를 활용해야 한다.

둘째, 소스코드 내 민감정보 포함 여부 점검 부재다. 깃허브 등 공개 저장소에 코드 업로드 시 크리덴셜, 개인정보 등이 포함되지 않았는지 자동 스캔하는 절차가 작동하지 않았다.

셋째, 외주업체에 대한 보안 통제 미흡이다. 위탁자인 우리은행은 수탁사의 개발 환경, 데이터 관리 현황을 주기적으로 점검할 의무가 있으나, 9개월간 방치된 점은 관리·감독 체계의 형해화를 보여준다.


기업·기관 대응 방안

금융기관과 개인정보처리자는 다음의 조치를 즉각 점검해야 한다.

  • 외주개발 시 실데이터 사용 원칙적 금지 — 불가피한 경우 비식별 처리 후 사용
  • 소스코드 보안 스캐닝 도구 의무화 — GitHub Secret Scanning, GitGuardian 등 활용
  • 수탁사 개발환경 정기 보안점검 — 개인정보 취급 현황 분기별 실태조사 실시
  • 공개 저장소 모니터링 체계 구축 — 자사 관련 키워드·데이터 유출 여부 상시 감시

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한)동법 시행령 제28조에 따르면, 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 교육·점검해야 하며, 이를 위탁계약서에 명시해야 한다. ISMS-P 인증 기준 중 '2.3.4 외부자 보안' 항목에서도 외주 인력·업체의 보안 준수 여부 관리를 필수 통제사항으로 규정하고 있다. 수탁사 관리 소홀은 곧 위탁자의 법적 책임으로 직결된다.


백남정 기자 | 개인정보보호 전문 데스크

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사