우리은행에서 1만여건 개인정보 유출 사고가 발생했지만 금융당국의 위법여부 판단 및 제재 장치가 마땅치 않다는 해석들이 나오고 있다.
금융당국은 정보처리 업무 위탁 규정을 들여다보고 있지만 우리은행이 업무를 맡긴 기간은 6개월에 불과, '계속적인 위탁'으로 보기 어렵다는 판단에서다. 또 결제 기능이 없는 대체불가토큰(NFT) 지갑 구축 사업은 전자금융거래와 가상자산의 범주에 들어가지 않는 점 등에서 적용 법률 및 규정이 모호하다는 지적이 나온다.
법규 적용이 애매한 탓에 규제 사각지대라는 시각도 있다.

13일 금융당국 및 금융권에 따르면 금감원은 현재 우리은행 고객 개인정보 유출 관련 자체 점검 결과를 살펴보고 있다. 금감원 관계자는 "(우리은행으로부터) 보고가 들어오는 것들을 확인 중"이라고 말했다.▷관련기사:금감원, 우리은행 정보유출 '정보처리 위탁' 중점 살핀다(7월6일)
앞서 지난 3일 우리은행은 NFT 지갑 관련 서비스를 동의한 이용자를 대상으로 1만7551건의 개인정보가 유출됐다고 공시했다. 유출된 정보는 신용정보가 아닌 연계정보(CI)와 이용자 닉네임 등 개인정보다. 따라서 신용정보의 이용 및 보호에 관한 법률(신용정보법)에 해당되지 않는다.
1차적인 조사를 맡은 개인정보보호위원회가 신용정보 유출을 확인한다면 금감원도 조사에 착수할 방침이다. 그 전까지는 위탁 과정에서 발생한 과실을 집중적으로 들여다 본다.
쟁점은 금융회사의 정보처리 업무 위탁에 관한 규정 위반 여부다. 은행들은 해당 규정에 따라 위탁사로부터 개인정보 파기 확인서를 받는 등 엄격하게 관리 감독해야 한다. 4조 7항은 위탁계약 내용상의 의무를 위반해 발생하는 정보주체 및 이용자 손해는 위·수탁사 모두 책임을 져야 한다고 명시하고 있기도 하다.
다만 우리은행의 위탁을 규정상 업무 위탁으로 볼 수 있는지부터 난관을 겪고 있다. 금감원 관계자는 "현행 규정은 금융회사가 정보처리 관련 업무를 계속적으로 위탁했을 때 적용하는데 우리은행 건은 일시적인 프로젝트"라며 "적용하기 어려워 보인다"고 말했다.
실제로 현행 규정은 정보처리의 위탁을 '금융회사가 자신의 정보처리 업무를 제3자로 하여금 계속적으로 처리하도록 하는 행위'로 정의하고 있다. 금융기관의 업무위탁 등에 관한 규정도 마찬가지다.
우리은행이 NFT 지갑 구축 사업을 블록체인 기업 블로코에 위탁한 기간은 지난 2024년 9월부터 지난해 2월까지다. 6개월을 '계속적'이라고 보기 어렵다는 것이다.
전자금융거래법 및 전자금융감독규정도 적용하기 어렵다고 보고 있다. NFT 지갑 서비스는 전자금융거래업무가 아니라는 것이다. 전자금융거래법상 전자금융거래업무는 금융회사나 전자금융업자가 전자적 장치를 통해 금융상품·서비스를 제공하는 영역을 의미한다.
금융 서비스로 보면 자금이체, 직불·선불전자지급수단, 전자화폐, 지급결제대행 등이다. 우리은행이 구축한 NFT 지갑처럼 결제 기능이 없는 단순 수집 보관 목적의 NFT는 범주에 들어가지 않는다. 이는 가상자산 영역에서도 마찬가지다.▷관련기사:내 NFT는 가상자산일까…금융위 가이드라인 마련('24년6월10일)
금감원은 내부통제 관점에서 사안을 들여다 볼 계획이다. 일시적인 용역 관계에서 사고가 발생한 것으로 판단, 자체적인 위험 관리 범주 내에서 이를 어떻게 통제했는지 살피게 된다.
법규 적용이 애매한 탓에 규제 사각지대에 놓였다는 시각도 나온다. 또다른 금감원 관계자는 "본질을 따져봤을 때 현재 접근법으로는 (결론내기) 애매한 회색지대에 놓여있는 사안들이 많다"고 말했다.
이어 "금융회사가 새롭게 내놓는 디지털 금융 상품이나 서비스들은 규정 범위를 비껴간 탓에 적용하지 못하기도 한다"며 "규제가 환경 변화를 따라가지 못해 발생하는 법적 불확실성을 해소할 필요는 있다"고 덧붙였다.





















