은행원, 고객동의 없이 계좌조회 가능하지만 업무목적 소명 못하면 징계

최근 우리은행의 비밀번호 무단 도용 사태가 불거지면서 예민한 개인정보를 다루는 시중은행들의 고객정보 보호 수준에 대한 관심이 높아지고 있다.

무엇보다 은행원이라고 고객 동의 없이도 계좌 조회가 가능한지 등에 관한 궁금증이 커지고 있다. 파이낸셜뉴스가 은행원들은 어느 선까지 고객정보 조회가 가능한지 팩트체크를 해봤다.

■계좌조회 가능하지만 목적 소명해야

13일 시중은행에 따르면 은행원들은 고객 동의 없이도 계좌를 조회할 수는 있다. 다만 업무목적이 아닌 개인적인 목적으로 조회할 경우 시스템상 적발될 가능성이 높다.

시중은행들은 일제히 고객정보 조회 오남용 및 개인정보 유출 예방을 위해 '고객정보 조회 오남용 모니터링' 제도를 운영 중이다. 이 때문에 업무와 관련되지 않은 목적으로 조회할 경우 제재를 받게된다. 시중은행 관계자는 "과거와 달리 모니터링 제도가 꼼꼼해지면서 고객정보나 신용정보를 평균 이상으로 과다하게 조회하는 경우나, 휴일이나 영업시간 외 조회를 할 경우 모니터링을 통해 적발되고, 소명을 의무화했다"고 전했다.

모니터링을 통해 '요주의'로 선정되면 해당 직원에게 안내메시지가 발송된다. 이때 조회사유를 작성해 정보보호부 앞으로 확인서를 제출해야 한다. 이후 고객정보관리책임자가 점검한 후 확인서를 작성하고 최종적으로 개인정보보호최고책임자(CPO)에게 확인서를 제출해야 한다.

만약 소명요구를 직원이 거부할 경우는 어떻게 될까.

A은행의 경우 소명이 실시되지 않은 날로부터 매영업일마다 안내쪽지를 보내며, 소명지연 발생일로부터 5영업일이 지나면 개인뿐만 아니라 부점별 스코어에서 감점한다. 만약 소명내용이 규정위반임을 확인했을때 해당 직원의 핵심성과지표(KPI) 감점이 되는 것은 물론 무단조회가 만약 유출행위로 이어졌다면 직원 인사징계로 이어질 수도 있다. 인사징계는 해당 정보를 통해 어떤 일을 저질렀는지에 따라 다르다.

■비밀번호 변경사태 재발 가능한가

이처럼 계좌 조회도 쉽지 않은데 우리은행은 어떻게 4만건의 비밀번호를 임의로 변경할 수 있었던 것일까.

자유한국당 김종석 의원실이 우리은행으로부터 받은 자료에 따르면 우리은행 일부 직원들이 스마트뱅킹 비활성화 고객 계좌의 비밀번호를 무단으로 바꿔 활성계좌로 만들었다. 고객이 신규계좌 가입 때 받은 임시 비밀번호를 사용자 비밀번호로 등록하지 않고 1년 이상 방치하면 비활성화 고객으로 분류된다. 고객이 사용하지 않던 계좌가 비밀번호 변경으로 활성화하면 새로운 고객 유치 실적으로 잡힌다는 점을 악용한 사례다.

시중은행 관계자는 "일반적으로 비대면거래에서 비밀번호 변경은 문자메시지 등을 통해 실시간으로 보고되기 때문에 사실상 불가능한 일"이라고 말했다.

다만 우리은행의 경우 타행과 달리 해당 사건이 불거지기 전까지 임시 비밀번호를 사용자 비밀번호로 처음 등록하는 과정에서의 절차를 문자로 통보하는 시스템을 운영하지 않은 것으로 나타났다.

우리은행 관계자는 "이전에는 해당 과정을 비밀번호 변경이 아닌 등록절차로 보고 따로 통보를 하지 않았지만, 해당 사건 이후 이를 개선해 모든절차를 문자로 통보하고 투채널 인증 등을 거치게끔 변경했다"고 설명했다.

aber@fnnews.com 박지영 기자