우리은행, 임종룡 회장 정진완 은행장 체제… “보안 책임은 제재로 끝”

김세민 기자
입력 2025.12.15 13:16
댓글 0

우리은행 망분리 붕괴·여신 원장 무단 변경…금감원 종합검사 적발
“책임은 당국 제재로 정리됐다”는 은행의 답변…사실관계 인정 속 원론적 입장
내부통제 실패에도 연임·인선 논의는 계속

국내 은행권을 겨냥한 사이버 공격 시도가 급증하는 가운데, 우리은행의 전산 보안과 내부통제 실패가 금융감독원 종합검사를 통해 확인되며 논란이 이어지고 있다.

전산 핵심 시스템 단말기에서 외부 인터넷 접속이 약 162만 회 발생했고, 외부 IT 협력업체 직원들이 고객 여신 심사 정보가 담긴 전산 원장을 약 1,200회 변경한 사실까지 적발됐지만, 금융당국의 제재는 과태료 5,000만 원에 그쳤다.

금융감독원에 따르면 우리은행은 2021년 10월부터 12월까지 약 3개월 동안 전산실 핵심 정보처리시스템에 직접 접속하는 단말기 444대를 통해 외부 인터넷 접속을 총 162만 회 이상 허용했다.

이는 전자금융거래법과 감독규정이 요구하는 망분리 의무를 사실상 무력화한 것으로, 금융회사 보안의 최소 기준을 정면으로 위반한 사례로 평가된다.

오류 확인과 시스템 작업 등을 이유로 망분리 예외 대상이 아님에도 외부 통신망에서 내부 전산 시스템으로의 원격 접속이 반복 허용된 사실도 확인됐다.

외부 IT 협력업체에 대한 관리 부실은 더욱 심각한 문제로 지적된다. 우리은행은 외주 개발 프로그램에 대한 제3자 검증과 변경 통제를 제대로 하지 않아, 은행이 의뢰하지 않은 ‘전산 원장 변경 기능’이 다수 단말 화면에 은밀히 적용된 사실조차 파악하지 못했다.

그 결과 외부 협력업체 직원 14명이 약 두 달간 고객 여신 신청·심사 정보가 담긴 전산 원장을 1,200회 넘게 변경한 사실이 적발됐다. 핵심 금융 데이터에 대한 접근과 변경이 사전 차단되지 못한 채 반복됐다는 점에서 내부통제 체계의 구조적 취약성이 드러났다는 평가다.

그럼에도 금융당국의 제재는 과태료 5,000만 원과 퇴직 임원 1명에 대한 ‘주의 상당’ 통보에 그쳤고, 현직 경영진에 대한 직접적인 문책은 없었다.

금융권 안팎에서는 “이 정도 규모의 보안 사고에 이 정도 제재라면 대형 금융사에 실질적인 경고 효과를 기대하기 어렵다”는 비판과 함께, 감독 실효성에 대한 의문이 제기되고 있다.

본지의 질의에 대해 우리은행은 전산 보안 사고의 사실관계는 금융감독원 종합검사 결과대로 인정하면서도, 망분리 규정 적용과 예외 여부, 제재 범위와 수위는 감독당국의 검사·제재 절차에 따라 확정된 사안이라는 원론적 입장을 내놨다.

전산 원장 변경 역시 사후 로그·이력 점검 과정에서 확인됐으며, 현재는 망분리 통제 고도화, 외주 인력 접근 권한 최소화, 전산 변경 승인·실행·검증 절차 분리 등 재발 방지 대책을 강화하고 있다고 설명했다.

그러나 이러한 설명은 사고의 중대성에 비해 책임이 제재 수준에서 사실상 정리됐다는 인상을 남긴다.

특히 외부 인력이 고객 여신 원장을 수백 차례 변경할 때까지 사전 차단이 이뤄지지 않았고, 문제가 사후 점검을 통해서야 확인됐다는 점은 내부통제가 예방이 아닌 사후 확인에 의존해 왔음을 보여준다.

내부통제 실패의 원인과 책임이 경영진 평가나 지배구조 차원의 문제로 확장되기보다는, 감독당국의 제재로 일단락된 구조라는 지적이 나오는 이유다.

우리은행은 이번 사안과 관련해 현직 경영진에 대한 직접 문책은 제재 결과에 포함되지 않았다고 밝혔고, 임종룡 우리금융 회장의 연임 가능성과 정진완 우리은행장의 거취가 거론되는 인선 국면과의 연관성에 대해서도 “경영진 선임과 연임은 이사회 및 관련 위원회 절차에 따라 진행되며, 내부통제·보안·리스크 관리 사항은 경영관리 및 평가 체계에 반영되고 있다”는 원론적 입장을 유지하고 있다.