
□ 개요
2026년 07월 우리은행은 NFT 플랫폼 구축 프로젝트를 수행한 외부 개발업체에서 고객 개인정보가 유출된 사실을 확인하고 고객들에게 개인정보 유출 사실을 안내했다.
사고는 우리은행 내부 시스템 해킹이 아닌 외주 개발업체 직원이 개발 관련 자료를 공유하는 과정에서 개인정보가 포함된 데이터를 개발자 플랫폼에 게시한 과실로 발생한 것으로 알려졌다.
유출된 개인정보는 NFT 플랫폼 이용자 17,551명의 이용자 닉네임과 CI(연계정보)이며, 프로젝트 종료 이후에도 개발업체에 개인정보가 잔존하고 있었던 사실이 확인되면서 개인정보 파기 및 수탁업체 관리 체계의 미흡함이 드러났다.
우리은행은 사고 인지 즉시 접근을 차단하고 개인정보보호위원회에 신고했으며, 고객 대상 개별 통지와 홈페이지 공지를 실시했다. 금융감독원은 사고 경위와 함께 외주업체 관리·감독 의무 이행 여부를 점검하고 있으며, 개인정보보호위원회도 개인정보보호법 위반 여부를 조사하고 있다.
□ 사고내용 요약
1. 회사명 : 우리은행
2. 사고유형
- 외주 개발업체 개인정보 유출 사고
- 수탁업체 개인정보 관리 부실 사고
- 프로젝트 종료 후 개인정보 미파기 사고
- 개발자 플랫폼 게시에 따른 개인정보 노출 사고
3. 유출규모 : 고객 개인정보 17,551건
4. 유출항목
- 이용자 닉네임
- CI(연계정보, Connecting Information)
5. 특이사항
- 우리은행 내부 전산망 해킹이 아닌 외주 개발업체 직원 과실로 발생
- 프로젝트 종료 후에도 외주업체가 개인정보를 보관하고 있었던 것으로 확인
- 개발 관련 자료 공유 과정에서 개인정보 포함 파일이 개발자 플랫폼에 게시
- CI는 주민등록번호 기반의 암호화된 고유 식별값으로 다른 개인정보와 결합 시 명의도용·보이스피싱 등에 악용될 가능성 존재
- 현재까지 개인정보 악용 사례는 확인되지 않음
- 금융감독원은 제3자(외주업체) 리스크 관리 실태를 점검 중
- 개인정보보호위원회는 개인정보보호법 위반 여부 조사 진행
□ 사고대응 타임라인
- 2024년 09월
. NFT 플랫폼 구축 프로젝트 수행을 위해 외주 개발업체에 개인정보 제공
- 2026년 06월 30일
. 우리은행, 개인정보 유출 사실 인지
. 개발업체를 통해 개인정보 접근 즉시 차단
. 사고 대응 및 사실관계 조사 착수
. 개인정보보호위원회 신고 진행
- 2026년 07월 03일
. 고객 대상 개인정보 유출 사실 개별 안내
. 홈페이지 사과문 게시
. 금융감독원 사고 신고 및 모니터링 착수
. 보이스피싱·스미싱 등 2차 피해 예방 안내
. 이상금융거래탐지시스템(FDS) 집중 모니터링 실시
- 2026년 07월 05일
. 프로젝트 종료 후 개인정보 잔존 경위 확인
. 외주 개발업체 관리 실태 점검 착수
. 금융감독원, 제3자 리스크 및 위탁관리 적정성 점검 예정
. 개인정보보호위원회 개인정보보호법 위반 여부 조사 진행
□ 개인정보 유출 관련 사실 안내
□ 개인정보 유출 및 사과의 말씀
고객님의 개인정보 유출 사실을 알려드리며, 먼저 깊은 사과 말씀을 드립니다.
최근 NFT 플랫폼 구축 프로젝트를 수행한 외부 개발업체 가 임의로 보관하고 있던 개인정보 17,551건이 해당 업체 직원의 과실로 유출되는 일이 발생했습니다. 유출된 개인 정보는 고객님의 이용자 닉네임과 △연계정보(CI)입니다.
이용자 닉네임은 서비스에서 자신을 표현하기 위해 임의 로 입력하는 별칭으로서 회원ID 로그인 계정 정보는 아 닙니다. 또한, 연계정보(CI)는 온라인에서 개인을 식별하 기 위한 값으로, 해당 값만으로는 특정 개인을 알아볼 수 없 는 정보입니다. 우리은행은 6월 30일 유출 사실을 인지한 즉시 개발업체 를 통해 관련 정보 접근을 차단했습니다.
또한, 개발업체는 개인정보보호위원회 신고 및 홈페이지에 관련 사실을 공지 하였습니다. 우리은행도 고객님의 피해를 최소화하고 권리 를 보호하기 위해 다시 한번 안내해드리게 되었습니다. 현재까지는 유출된 정보가 온/오프라인에서 확산되거나 악 용된 사례는 발생하지 않은 것으로 파악됩니다. 앞으로 추 가적이고 세밀한 모니터링을 통해 새롭게 확인되는 사실 을 바로 알려드리겠습니다. 유출된 정보만으로는 고객님을 특정하거나 식별하기는 불 가능합니다. 다만 혹시라도 발생할 수 있는 보이스피싱, 스 미싱 등의 피해 방지를 위해 출처가 불분명한 전화번호의 수신, 문자메시지 내 URL 링크 클릭에 각별한 주의를 기울 여 주실 것을 부탁드립니다. 우리은행도 고객님을 위해 별 도의 이상금융거래탐지시스템(FDS)을 적용해 미연의 사 고를 방지하고 있습니다.
우리은행은 이번 일을 계기로 개발업체의 개인정보 관리 현황을 전수 조사해 미흡한 점은 즉시 시정 조치하겠습니 다. 또한 우리은행 자체의 개인정보보호 체계도 한층 강화 해 어떠한 유형의 개인정보 유출도 재발하지 않도록 심기 일전 하겠습니다.
아울러 금번 유출로 인해 고객님께 피해가 발생할 경우에 는 최대한 신속하게 확인하고 보상해드릴 것을 약속 드립 니다. 다시 한번 고객님께 심려를 끼친 데에 깊이 사과드리며, 고 객님께서 안심하고 우리은행을 이용하실 수 있도록 최선 을 다하겠습니다.
우리은행 은행장 정진완
※ 관련 문의: 우리은행 고객센터
內 피해신고센터 080-894-5000
□ 대응내역
- 개인정보 유출 사실 확인 즉시 개발업체를 통한 접근 차단
- 개인정보보호위원회 신고 완료
- 고객 대상 개별 통지 및 홈페이지 공지 실시
- 이상금융거래탐지시스템(FDS)을 통한 이상거래 집중 모니터링
- 외주 개발업체 개인정보 관리 실태 전수 점검
- 프로젝트 종료 후 개인정보 보관 및 파기 절차 재점검
- 금융감독원 사고 보고 및 조사 협조
- 개인정보 피해 발생 시 보상 절차 지원 방침 발표
□ 재발방지대책(권고사항)
1. 기술적 조치
- 프로젝트 종료 시 개인정보 자동 삭제 및 검증 시스템 구축
- 개발환경 내 실제 개인정보 사용 금지 및 가명정보 활용
- 외주 개발환경 DLP(Data Loss Prevention) 적용
- 개발 플랫폼(Git, 협업도구 등) 개인정보 업로드 탐지 기능 구축
- 개인정보 다운로드·반출 통제 강화
- CI 등 고위험 개인정보 암호화 및 접근통제 강화
- 개인정보 저장 위치 상시 모니터링 및 정기 스캔 수행
2. 관리적 조치
- 수탁업체 개인정보 관리 실태 정기 감사
- 프로젝트 종료 시 개인정보 완전 삭제 확인 절차 의무화
- 개인정보 파기 확인서 및 증적 제출 의무 강화
- 외주 개발자 대상 개인정보 보호 교육 정례화
- 개인정보 처리 위수탁 관리체계 강화
- 제3자 리스크 관리체계 및 공급망 보안 관리 강화
- 개인정보 취급자 권한 최소화 및 정기 점검 실시
□ 관련기사(출처)
감사합니다.
| [한중엔시에스] ESS 부품사 해킹 의혹, 설계도면·임직원 개인정보 유출 정황_2026년 07월 (0) | 2026.07.12 |
|---|---|
| [LS증권] 외국인 투자자 이메일 계정 해킹을 통한 부정 주문 및 자금 인출 사고_2026년 07월 (0) | 2026.07.12 |
| [두산밥캣] 랜섬웨어 조직(Settra) 다크웹 내부자료 유출 주장_2026년 06월 (0) | 2026.07.01 |
| [한국식품산업협회] 온라인 위생교육(LMS) 해킹에 따른 개인정보 유출 정황 발생_2026년 06월 (0) | 2026.07.01 |
| [중소벤처기업부·창업진흥원(모두의 창업)] API 취약점 및 비인가 정보수집에 따른 개인정보 유출 사고_2026년 06월 (0) | 2026.06.21 |