우리은행은 2026년 7월 3일, 외부 개발업체 운영 과정에서 고객 연계정보 1만7551건이 유출된 사실을 확인하고 공식 입장을 발표했습니다. 유출된 정보는 개인 식별을 위한 암호화된 연계정보(CI)와 고객 닉네임 등으로, 금융거래 정보나 주민등록번호, 전화번호는 포함되어 있지 않습니다. 현재까지 유출 정보가 악용된 사례는 없으나, 보이스피싱이나 스미싱 등 2차 피해에 대비 중입니다.
이번 유출은 2024년 9월 우리은행이 ‘우리WON뱅킹’ 내 대체불가토큰(NFT) 전자지갑 서비스 구축을 위해 외부 개발업체와 협업하는 과정에서 발생했습니다. 우리은행은 해당 프로젝트 기간 동안 정보를 외부 업체에 제공했고, 이후 외부 업체가 임의로 보관하던 개인정보가 유출된 것으로 파악됩니다. 당초 유출 사실은 지난 6월 30일 인지된 후 즉시 정보 접근이 차단되었고, 이를 바탕으로 내부 점검과 외부 업체에 대한 책임 소재 조사가 진행된 상태입니다.
문에서는 유출된 정보의 정확한 범위, 외부업체 관리 체계, 당사자 대응 과정, 그리고 독자가 실제로 주의해야 할 사항까지 단계별로 정리합니다. 참고자료에는 모두 공개된 사실만을 기반으로 작성되어, 추측이나 과장 없이 정확한 정보를 제공합니다. 특히 ‘연계정보(CI)’의 실체와 일반 개인정보와의 차이, 우리은행의 보상 의지, 금융권 외주 개발 관리의 취약점 등을 중심으로 설명합니다.
유출된 개인정보는 온라인에서 개인을 식별하기 위한 암호화 정보인 연계정보(CI)와 고객의 닉네임 등으로 총 1만7551건입니다. 우리은행은 이 중 회원 ID, 로그인 계정 정보, 비밀번호, 금융거래 정보 등은 유출되지 않았다고 명확히 밝혔습니다.
연계정보(CI)는 금융기관에서 온라인 서비스 이용 시 고객을 식별하기 위해 암호화된 값으로 사용되는 데이터입니다. 이는 다른 정보와 결합되지 않으면 실명이나 연락처 등 구체적 신분을 알 수 없도록 설계된 방식입니다. 닉네임은 사용자가 임의로 입력한 별칭으로, 실제 신원을 특정하기 어려운 정보입니다. 이에 따라 유출된 정보만으로는 금융거래나 본인 확인을 위한 인증 조작은 사실상 불가능합니다.
유출된 정보가 단독으로 보이스피싱이나 스미싱에 직접 이용되기 어렵다는 점은 긍정적 요소입니다. 다만 다른 곳에서 유출된 정보와 결합될 경우 식별 가능성이 있으므로, 은행은 2차 피해 방지를 위해 고객에게 출처 불분명한 전화나 문자에 대한 경각심을 당부하고 있습니다.
정보 유출은 2024년 9월 우리WON뱅킹 NFT 전자지갑 서비스 구축을 위해 외부 개발업체와 프로젝트를 진행하던 과정에서 발생했습니다. 우리은행은 당시 프로젝트 수행 과정에서 개발업체에 정보를 일부 공유했고, 이후 개발업체가 임의로 해당 정보를 보관하다 관리 소홀로 인해 유출된 것으로 조사되었습니다.
외부업체는 NFT 플랫폼 기능 개발 목적 외에 데이터를 저장하거나 가공하지 말아야 할 의무가 있었음에도, 사후 조치 없이 정보를 보관한 것으로 확인되었습니다. 우리은행은 개발업체의 관리 부실이 유출의 직접적인 원인으로 보고 있으며, 외주 과정에서 개인정보 보호 의무가 제대로 전가되지 않았던 점을 문제 지점으로 삼고 있습니다.
이번 사태는 금융권 전반에 걸친 외부 위탁 개발 관리의 취약성을 드러냈습니다. 개발업체가 프로젝트 종료 후에도 정보를 보유하거나, 보안 기준에 맞지 않는 방식으로 데이터를 저장하는 사례가 존재한다면 유사 사고의 재발 가능성은 여전히 남아 있습니다. 우리은행은 이제 외주 업체와 계약 시 개인정보 처리 조건을 명확히 규정하고, 종료 후 즉시 자료를 회수·파기하는 시스템을 강화할 계획입니다.
우리은행은 유출 사실을 확인한 직후인 6월 30일 정보 접근을 차단하고 내부 점검에 들어갔습니다. 현재까지 유출 정보가 악용된 사례는 전혀 없으며, 온라인·오프라인에서의 이중 유출이나 판매 등 확산도 확인되지 않았습니다.
유출된 정보가 사실상 식별 단위로 사용되지 않는 구조이기 때문에, 실제 금전적 피해가 발생할 가능성이 낮은 편입니다. 그러나 은행은 고객의 정보 유출이 금융사기의 일부 단계로 활용될 수 있는 점을 감안해, 보이스피싱 및 스미싱 관련 주의 경고를 강화하고 있습니다.
우리은행은 유출로 인해 실제 피해가 발생할 경우 신속하게 보상하겠다는 입장을 명시했습니다. 다만, 이는 유출 정보가 단독으로 금융거래를 통해 직접적인 손해를 초래한 경우를 의미하며, 현재까지는 그러한 상황이 확인되지 않았습니다. 고객은 이상 징후가 있을 경우 즉시 은행에 신고하고, 출처 불분명한 메시지나 전화는 무시하거나 사기 전화 신고 채널을 통해 접수해야 합니다.
우리은행은 2026년 7월 3일, 공식 고객 공지를 통해 정보 유출 사실을 안내하고 대응 방안을 설명했습니다. 유출 고객에 대해서는 별도 공지를 통해 상세 안내를 제공하고 있으며, 그 외 고객에게는 정보 유출에 따른 영향이 크지 않음을 전달했습니다.
유출된 연계정보(CI)는 사용자가 직접 확인할 수 있는 정보가 아니며, 단독으로 실명을 추적할 수 있는 요소도 아닙니다. 따라서 고객은 자신의 정보가 유출되었는지 실시간으로 확인하는 별도 채널이 없습니다. 다만, 은행은 향후 발생하는 모든 정보 유출 건에 대해 고객에게 사전 통보 또는 사후 안내를 반드시 제공키로 했습니다.
현재 우리은행은 모든 외부 개발업체와의 계약을 재검토하고 있으며, 개인정보 처리 보안 기준을 강화한 신규 계약서 양식을 마련 중입니다. 고객은 앞으로 우리은행에서 발송하는 공식 공지에만 귀 기울이면 되며, 은행 외부에서 연락이 온 경우 무조건 확인 절차를 거치는 것이 좋습니다.
이번 사건은 금융기관이 외부 개발업체에 정보를 제공하는 과정에서 개인정보 보호 의무가 제대로 전가되지 않았던 점을 드러냈습니다. 유출된 정보가 유의미한 피해로 연결되지 않은 것은 다행이지만, 관리 체계상의 취약점은 앞으로 더 심각한 사고로 이어질 수 있는 신호로 해석됩니다.
금융위원회와 금융감독원은 이미 외주 개발 업체에 대한 개인정보 보호 의무 강화 및 사후 감독 체계 개선을 검토 중입니다. 현재 우리은행은 자체 점검을 통해 외주 업체의 정보 보안 인증서, 보안 계획서, 파기 증빙 자료 등 일원화된 관리 체계를 도입할 예정입니다.
독자라면 우선 유출 사실을 확인한 후에도 냉정하게 대응하는 것이 중요합니다. 유출 정보는 단독으로는 거의 무해하지만, 타 유출 데이터와 결합 시 리스크가 높아질 수 있습니다. 은행 공지 외에 추가로 발생하는 정보 유출은 반드시 공식 채널을 통해 확인해야 하며, 의심스러운 전화나 메시지에 응답하지 않는 것이 최선의 대응책입니다.
정보 유출, 연계정보, 외부업체 관리, 보상 대응, NFT 전자지갑
2026 대구 치맥페스티벌은 7월 1일 오후 대구 달서구 두류공원 2·28 자유광장에서 개막했습니다. 당일 오후부터 시원한…
2026년 7월 1일 행정안전부가 운영하는 표준 지방세정보시스템에 대규모 장애가 발생하면서 인터넷 지방세 신고·납부 서비스인 위택스와…
매드업이 2026년 7월 1일 코스닥 시장에 상장한 뒤 첫 거래일부터 강세를 보이며 공모가 대비 125%…
2026년 6월 30일 방송된 SBS 예능 프로그램 ‘동상이몽2 - 너는 내 운명’에서 결혼 33년 차…
2026년 6월 29일 제81회 청룡기 전국고교야구선수권대회 경기 도중 서울 배재고등학교 야구부 선수들이 광주제일고를 향해 지역…
서울 종로구 부암동의 수령 100년 이상 은행나무에 제초제가 주입돼 고사된 사실이 확인되면서, 환기미술관과 환기재단에 대한…