사원번호 등 직원 개인정보 모바일 앱에 버젓이 공개...기업은행 측 뒤늦게 “잘못 인정”
IBK기업은행이 모바일앱에서 직원들의 사번이 공개돼 개인정보보호법 위반 논란이 불거졌다.
A 씨는 IBK기업은행을 수년간 이용해온 고객으로 최근 한 직원에게 적금상품 가입을 추천 받았다. 상품 설명이 마음에 들었던 A 씨는 기업은행 모바일뱅킹 앱 아이원뱅크로 ‘예금몰’ 항목에 들어간 뒤 상품 가입 절차를 밟아 나갔다.
하지만 ‘권유직원’ 조회 항목에서 놀라운 마음을 금치 못했다. 아이원뱅크 앱이 A 씨에게 상품을 추천한 직원의 영업점은 물론 사번까지 버젓이 공개하고 있었기 때문이다. A 씨는 “사번은 엄연히 개인정보인데, 직원 사번을 공개한 것은 너무한 것 아닌가”라고 반문했다.
IBK 기업은행의 사번 공개는 다른 은행들과도 차이가 있다. 국민은행 모바일 플랫폼인 리브(Liiv)는 권유직원 추천 제도를 두고 있지만 고객들이 직원들의 사번 목록을 검색할 수 없다. 우리은행 원터치개인뱅킹 앱에서도 사번 목록은 찾을 수 없다.
문제는 사번이 엄연한 ‘개인정보’라는 점이다. 행정안전부 개인정보보호정책과 관계자는 “사번은 개인정보에 포함될 수 있다. 사번으로 누구인지 식별할 수 있으면 개인정보다”라고 말했다.
2013년 행정자치부가 펴낸 ‘인사·노무 분야 개인정보보호 이해’ 편람에 따르면 사번은 개인정보보호법 제2조 제1항에 따른 개인정보에 포함된다. 제2조 1항은 “개인정보란 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보”라고 명시한다.
법률사무소 와이앤코의 제본승 변호사는 “사원번호는 사용자가 근로자에 대하여 부여하는 개별번호다”라며 “한 사원 당 하나의 번호만 부여되는 것으로 개인을 특정할 수 있는 정보다”라고 설명했다.
IBK기업은행 통합 플랫폼 앱인 아이원뱅크 금융상품 화면(좌), 직원들의 사원번호가 열거돼있다. A 씨 제공
전국금융산업노동조합 측도 사번 노출에 대한 우려를 전했다. 정덕공 금융노조 정책본부 부위원장은 “은행 직원들이 최근 상품 판매 등 실적 경쟁에 매달리면서 개인정보가 쉽게 노출되고 있다”며 “은행 직원들이 지인들에게 실적을 위해 상품을 권유하면서 자신의 사번을 알려주는 사례도 많다”고 밝혔다.
아이원뱅크 앱은 영업점별로 직원들의 사원번호 ‘리스트’를 제공한다. 단순히 직원들이 영업을 하면서 사번을 지인들에게 공개하는 점과는 차원이 다르다. 고객들이 마음만 먹으면, 전국에 있는 IBK기업은행 지점에서 누가 일하는지, 그 직원의 사번이 무엇인지를 검색할 수 있다.
더욱 큰 문제는 사번에 대한 악용 가능성이다. IBK기업은행은 임직원을 위한 신협몰을 운영 중이다. 신협몰은 임직원 복지를 위한 쇼핑몰로 회원들이 비밀번호를 찾기 위한 조건으로 이름, 휴대전화 번호, 사번을 요구한다. 아이원뱅크가 노출한 직원들의 이름과 사번은 이중 두 가지 정보를 충족한다.
이에 대해 IBK기업은행 관계자는 “직원들이 처음에 입사할 때 동의서를 받는다”며 “직원들은 근로관계 유지 목적과 인사관리를 위해서 사번 등 개인정보를 이용할 수 있다는 점에 동의했다. 직원들의 상품 판매 파악을 위해 필요했다”고 해명했다.
기업은행 입직원들을 위한 ‘신협몰’ 로그인 화면. ‘비밀번호 찾기’ 조건으로 사번을 요구한다. 공식 홈페이지 캡처
물론 IBK기업은행 입장대로 개인정보보호법은 정보 주체의 동의를 받은 경우 개인정보를 이용할 수 있다고 명시한다. IBK기업은행 관계자는 “개인정보는 고객 입장에서 생각해서는 안 된다. 직원들이 입사 초기에 암묵적으로 동의했기 때문에 직원 입장에서 생각해야 할 문제다”고 강조했다.
하지만 법률 전문가들의 의견은 다르다. 앞서의 제본승 변호사는 기자에게 보낸 법률의견서를 통해 “개인정보 주체는 해당 사번을 보유한 사원 개인이다. 여기서 정보처리자는 그 사원을 고용한 IBK기업은행이다. 그 사번을 제공받은 고객은 제3자가 된다”고 설명했다. 이어 “지점에 근무하는 사원 전원의 이름과 근무 지점, 사번까지 공개한 것은 개인정보의 제3자에 대한 제공이 된다”며 “직원들이 사번을 제3자에게 제공한다는 점에 동의하지 않았다면, 개인정보보호법 위반 소지가 있다”고 덧붙였다.
또한 제 변호사는 “사번 공개에 대한 동의를 받더라도 현재 시스템은 문제가 있다. 고객들이 모든 사원의 근무지점과 사번을 일괄 조회할 수 있기 때문이다”며 “불특정 다수가, 특정 개인의 개인정보를 손쉽게 열람할 수 있다면 개인정보 침해 정도가 상당하고 위험하다. 즉시 시정돼야 한다”고 밝혔다.
이에 대해 IBK기업은행은 “추후에 동의서를 받지 않았다”며 “사내 준법지원부에 법률자문을 구했다. 직원들이 입사 당시에 받은 동의서로 대신하려고 했는데 사내 변호사도 제3자가 직원번호를 보게 된다면 제공 동의서를 따로 받아야 한다고 했다. 관계부서와 협조해서 직원들이 피해를 보지 않을 수 있도록 앱 환경을 개선하겠다”고 설명했다.
개인정보보보법 위반 여부를 묻는 기자의 질문에는 “잘못한 것은 사실이다. 고쳐 나가도록 하겠다”고 답변했다.
한편, IBK기업은행은 올해 8월 발표한 공공기관 혁신계획 ‘안전한 디지털 금융환경 조성’ 부문에서 지능형 통합보안 관제시스템 구축을 천명했다. 인공지능(AI), 빅데이터 등을 활용해 돌발적인 해킹 공격에 대응하는 보안관제 시스템 도입이 핵심이다. 고객들 사이에서 금융 보안의 대표주자를 선언한 IBK기업은행이 오히려 내부 직원들의 개인정보를 유출시켰다는 비판이 나오는 배경이다.
최선재 기자 sun@ilyo.co.kr