우리은행

은행 창구 직원이 보는 화면 어딘가를 클릭했더니, 갑자기 고객의 신용 정보를 마음대로 고칠 수 있는 '관리자 모드'가 뜬다면?

영화 속 해커들 얘기 같지만, 우리은행에서 실제로 벌어진 일이다. 외부 용역 업체 직원들이 은행 전산망에 '비밀 통로'를 만들어 놓고 고객의 핵심 금융 정보를 제집 드나들듯 헤집고 다녔다. 

이에 금융감독원은 5일, 우리은행에 전자금융거래 안전성 확보 의무 위반 등으로 과태료 5000만 원을, 관련 임직원에게는 퇴직자 위법·부당사항(주의 상당)과 자율처리 필요사항 제재를 했다.

외부업체에 전산실 '프리패스' 열어준 우리은행

은행 전산실은 고객의 돈과 정보가 흐르는 심장부다. 그래서 법적으로 내부 전산망과 외부 인터넷망을 철저히 분리하는 '망분리'가 의무화돼 있다. 해킹을 막기 위한 기본 중의 기본이다.

우리은행은 2021년 10월부터 약 두 달간, 시스템 개발을 맡은 외주업체 A사에게 전산실 내부에서 외부 인터넷을 마음껏 쓸 수 있게 허용했다. 

A사 직원들은 내부 단말기 444대를 이용해 외부 인터넷 사이트에 무려 162만9242회나 접속했다. 보안을 위해 막아야 할 구멍을 160만 번이나 뚫어준 셈이다.

심지어 원격 접속 통제도 엉망이었다. 비상 상황이 아니면 허용되지 않는 외부 원격 접속을 '오류 확인'이나 '시스템 작업' 같은 일상 업무를 이유로 242회나 허가했다. 보안 정책을 관리하는 시스템조차 외부 단말기에서 1558회나 무방비로 접속됐다.

업체가 만든 '비밀 기능'…데이터 원장 조회·수정까지 무방비 

더 충격적인 건 '숨겨진 기능'이다. 금융회사는 프로그램을 만들거나 고칠 때 제3자의 검증을 거쳐야 한다. 누군가 악의적인 코드를 심거나 데이터를 조작하는 것을 막기 위해서다. 

그런데 우리은행은 2018년부터 2021년 말까지 외주업체가 개발한 프로그램에 대한 검증을 제대로 하지 않았다. 그 결과, 통합단말 화면 116개에 은행이 요청하지도 않은 '수상한 기능'이 심어졌다. 

영업점 직원이 보는 화면의 특정 부분을 클릭하면, 데이터 원장을 직접 조회하고 수정할 수 있는 '비밀 창'이 뜨는 기능이었다. 

외주업체는 이를 '오류 발생 시 긴급 조치용'이라 했지만, 사실상 은행의 감시망을 피한 '만능키'였다.

고객 정보 1235번이나 변경되도록 까맣게 모른 우리은행

이 만능키는 결국 사고로 이어졌다. 외주업체 직원 14명은 이 기능을 이용해 2021년 11월부터 이듬해 1월까지 고객의 여신(대출) 신청 및 심사 정보가 담긴 데이터를 1,235회나 무단으로 변경했다.

고객의 신용 등급이나 대출 심사 결과가 바뀔 수도 있는 치명적인 데이터(원장)를, 은행 정직원도 아닌 외주업체 직원들이 아무런 통제 없이 주무른 것이다. 

우리은행은 이들이 1000번 넘게 데이터를 뜯어고치는 동안 까맣게 모르고 있었다. 고객 신뢰를 먹고 사는 은행이 기본 원칙을 무시할 때 어떤 구멍이 뚫리는지, 우리은행 사태가 적나라하게 보여준다.