
[마이데일리 = 최주연 기자] 우리금융지주가 동양생명 완전자회사 편입을 위한 정정 증권신고서에 우리은행 고객정보 유출 사고를 새로운 투자 위험요인으로 반영했다. 얼핏 동양생명과 무관한 사고처럼 보이지만, 주식교환 절차가 완료되면 동양생명 소액주주들은 우리금융 주주가 되는 만큼 투자 판단에 영향을 줄 수 있는 위험요인을 알리기 위해서다.
7일 금융권에 따르면 우리금융은 전날 동양생명 주식의 포괄적 주식교환·이전을 위한 정정 증권신고서를 제출하면서 개인정보 관련 위험 항목을 대폭 보완했다.
기존 신고서에는 우리카드 개인정보 유출 사례와 금융권 전반의 보안 리스크를 중심으로 설명했지만, 이번 정정에서는 지난달 발생한 우리은행 고객정보 유출 사고를 별도 위험요인으로 추가했다.
신고서에는 우리은행이 NFT 플랫폼 구축 프로젝트 과정에서 외부 개발업체에 제공했던 고객 개인정보 1만7551건(CI·닉네임)이 업체 직원의 과실로 외부에 유출됐다고 적시했다.
우리금융은 "현재까지 유출 정보가 온·오프라인에서 확산하거나 악용된 사례는 확인되지 않았다"면서도 "향후 관계기관 조사 결과에 따라 행정제재와 손해배상, 소송, 정보보호 투자 확대 및 내부통제 강화 등에 따른 추가 비용이 발생할 가능성이 있다"고 밝혔다.

또 개인정보 보호 및 정보보안에 대한 사회적 요구가 강화되는 상황에서 유사 사고가 반복될 경우 고객 신뢰 저하와 평판 훼손은 물론 디지털 금융서비스 경쟁력 약화, 영업활동 위축, 사업과 재무상태, 경영성과에 부정적인 영향을 미칠 수 있다는 내용도 새롭게 담았다.
이번 정정은 단순한 사고 공지가 아니라 투자자를 위한 위험요인 공시다. 우리금융 주주가 될 동양생명 주주들의 투자 판단에 영향을 줄 수 있는 사항으로 우리은행 개인정보 유출 사고를 증권신고서에 새롭게 반영했다는 점에서 의미가 있다.
◇ 동양생명 편입 막바지…교환비율 놓고 주주 설득
이번 정정 증권신고서는 우리금융이 추진 중인 동양생명 완전자회사 편입 절차와 맞물려 있다.
우리금융은 지난해 동양생명과 ABL생명 인수를 마무리한 데 이어 현재 주식교환을 통해 동양생명을 100% 자회사로 편입하는 절차를 진행 중이다.
이번 거래는 개정 상법 시행 이후 진행되는 첫 대형 금융권 포괄적 주식교환 사례 가운데 하나라는 점에서 시장의 관심이 집중되고 있다.
다만 일부 소액주주들은 과거 대주주 지분 인수가격(1만562원)과 현재 교환가액 간 차이를 문제 삼으며 반발하고 있다.
우리금융은 교환비율이 자본시장법상 기준시가 방식에 따라 산정됐고 삼일회계법인과 안진회계법인의 검증도 거쳤다고 설명하고 있다. 최근에는 주식매수청구권 가격을 기존 8505원에서 9356원으로 상향 조정하는 등 주주 설득 작업도 이어가고 있다.
◇ 금감원도 위탁관리 점검…핵심은 '외주 통제'
금융감독원도 우리은행 개인정보 유출 사고와 관련해 우리은행의 자체 점검 결과를 제출받아 정보처리 위탁 체계를 들여다보고 있다.
이번 사고는 신용정보 유출보다는 외부 위탁업체 관리 과정에서 발생한 사고라는 점에서 개인정보보호위원회와는 조사 대상이 다르다. 개인정보보호위원회가 개인정보보호법 위반 여부를 살피는 반면, 금감원은 은행이 개인정보 처리업무를 위탁·관리하는 과정에서 내부통제가 적절하게 작동했는지를 집중적으로 점검하고 있다.
금감원 관계자는 "우리은행에 자체 점검을 지시했고 위탁과 재위탁 구조, 프로젝트 종료 이후 개인정보 관리 절차 등을 전반적으로 확인하고 있다"며 "내부 점검 결과를 토대로 필요하면 현장점검 여부를 결정할 계획"이라고 말했다.
금감원은 자체 점검 결과를 토대로 위탁 관리와 내부통제 체계 전반에 문제가 있었는지를 판단할 계획이다.
◇ CI는 무엇인가…신용정보와는 다른 개인정보
이번에 유출된 정보는 고객 연계정보(CI)와 이용자 닉네임이다. CI(Connecting Information)는 온라인 서비스 간 동일인을 식별하기 위해 사용하는 암호화된 정보다. 이름이나 주민등록번호처럼 단독으로 특정 개인을 식별할 수는 없지만 다른 정보와 결합하면 개인 식별이 가능해 개인정보보호법상 개인정보로 분류된다.
우리은행은 NFT 플랫폼 구축 프로젝트 종료 후 외부 개발업체로부터 개인정보 파기 확인서를 받았지만, 업체 직원이 관련 정보를 임의 보관하다 개발자 플랫폼에 게시하면서 유출이 발생했다고 설명했다. <관련 기사 : [MD포커스] 내부통제 조직 키운 우리은행…하필 같은 날 드러난 고객정보 관리 허점>
은행은 사고 인지 직후 정보 접근을 차단하고 개인정보보호위원회 신고를 완료했으며, 현재까지 정보 확산이나 악용 사례는 확인되지 않았다. 이상금융거래탐지시스템(FDS)도 적용해 추가 피해 가능성에 대비하고 있다.
금융권에서는 마이데이터와 토큰증권(STO), 디지털 자산 등 데이터 기반 금융사업이 확대될수록 내부통제의 범위도 은행 내부를 넘어 외부 개발업체와 협력사 관리까지 확장될 것으로 보고 있다. 이번 사고는 디지털 금융 시대 내부통제가 데이터 위탁과 보관, 폐기 등 외부 생태계 전반으로 확대되고 있음을 보여주는 사례라는 평가가 나온다.
Copyright ⓒ 마이데일리 무단 전재 및 재배포 금지
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기