정부가 우리은행의 고객 정보 유출 경위를 조사 중인 가운데 금융권에선 이번 사고로 우리은행 경영진이 제재를 받을 수 있다는 전망이 나온다. 지난 4월 외부 업체에 업무를 위탁할 때 경영진 책임을 강화하는 은행권 모범 규준이 시행되면서 사고 발생 시 경영진 제재가 가능해졌기 때문이다.
8일 금융 당국에 따르면 금융감독원은 우리은행에 고객 정보 유출 경위와 재발 방지 대책에 대한 자체 점검을 요구했다. 개인정보보호위원회가 이번 사고에 대한 정식 조사에 착수하면서 금감원도 상황을 살펴보고 있다. 금감원은 신용 정보 유출이 확인될 경우 즉각 현장 점검에 나설 계획이다.
우리은행은 지난 3일 대체 불가 토큰(NFT·Non-Fungible Token) 지갑 관련 서비스에 동의한 이용자를 대상으로 개인 정보 1만7551건이 유출됐다고 공지했다. 2024년 NFT 플랫폼 구축 사업을 수행한 외부 개발 업체(재수탁사)가 임의 보관하던 개인 정보를 해당 업체 직원의 과실로 유출했다는 것이 우리은행의 설명이다.
이번 사고로 금융사의 제3자 리스크(위험) 관리의 취약성이 드러났다는 지적이 업계에서 나온다. 지난해 금감원이 전 금융권에 제3자 업무 위탁 리스크 관리 강화를 주문하면서 이번 사고가 경영진 제재까지 가능한 사안이라는 관측도 금융권에서 나온다.
금감원은 지난해 '제3자 업무 위탁 리스크 관리 가이드라인'을 마련하고 전 금융권에 적용할 것을 주문했다. 은행권은 이를 토대로 모범규준을 마련해 지난 4월 1일부터 시행했다. 모범규준은 은행이 전사적인 리스크 관리 프로세스와 통합된 제3자 리스크 관리 체계를 구축하고 시행·유지하는 것이 골자다. 특히 이사회와 경영진이 제3자 리스크 관리 체계 이행 책임을 지도록 했다.
금감원은 제3자 리스크 관리 체계를 책무구조도에 반영토록 했다. 책무구조도는 금융사 대표이사와 임원의 내부통제 책임 범위를 사전에 정하는 제도다. 책무구조도에 기재된 임원은 금융사고 발생 시 사고 범위와 업무 연관성에 따라 책임을 지게 된다. 책무구조도에 명시한 위탁 업무 관리 의무를 제대로 이행하지 않아 사고가 발생할 경우 임원 등 경영진이 제재를 받을 수 있다는 의미다.
주요 은행들은 모범규준 시행 이전에 미리 책무구조도에 금감원 가이드라인을 일부 반영한 것으로 전해졌다. 금융권에선 이번 사고가 은행권의 제3자 업무 위탁 사고의 첫 경영진 제재 대상이 될지 주목하고 있다.