주메뉴바로가기본문바로가기
비즈한국 비즈한국

友利銀行外包商發生個人資訊洩露,管理責任引爭議

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 友利銀行陷入了客戶個人資訊洩露的風波。此次資訊洩露源自友利銀行不可替代代幣(NFT)平臺建設專案中處理個人資訊的外包公司,事故導致17,551名友利銀行客戶的CI(Connecting Information,連線資訊)遭到洩露。雖然並非銀行內部直接洩露,但由於事故發生在受託處理個人資訊的合作公司,友利銀行難以擺脫在個人資訊管理與監督方面的責任爭議。

友利銀行於6月30日獲悉,負責NFT平臺構建專案的外部公司發生了個人資訊洩露事故。圖片=林俊善記者

本月3日,17,551名友利銀行客戶個人資訊遭洩露的事實被公開。洩露物件為友利銀行NFT平臺服務中同意提供個人資訊的客戶。洩露內容包括NFT平臺服務內的暱稱和連線資訊(CI),不包含姓名、身份證號、地址等敏感資訊。CI是由身份認證機構基於身份證號生成的個人識別值,用於確認同一使用者在多個線上服務中的身份。

此次洩露事故由曾負責友利銀行2024年NFT平臺構建專案的轉託方Blocko的一名員工造成。該員工在專案結束後擅自留存了個人資訊,並於2025年9月將包含個人資訊的檔案連結釋出在開發者平臺上。

友利銀行與Blocko在6月30日察覺事故端倪後,採取了向個人資訊保護委員會舉報、封鎖個人資訊檔案連結等措施。Blocko於3日在其官網釋出了有關資訊洩露的通知及道歉宣告。Blocko表示:“作為2024年9月至2025年2月執行友利銀行NFT平臺構建專案的轉託方,我司處理了相關服務的使用者個人資訊。2025年9月,因我司員工過失,導致包含使用者暱稱和CI的檔案連結洩露。”

CI是將身份證號加密後用於網際網路個人識別的數值,被稱為“線上身份證號”。僅憑CI本身無法確定個人身份或還原為身份證號。但如果與已洩露的其他可識別身份的資訊相結合,則可能被濫用。

友利銀行已向資訊遭洩露的客戶逐一告知了事故詳情。友利銀行表示:“為防止受損,請警惕來源不明的電話,切勿點選簡訊中的網址連結。若因本次洩露造成損失,經核實後將予以賠償。”據銀行方面稱,目前尚未發現因此次洩露引發的濫用案例。

使用了友利銀行NFT平臺服務的17,551名客戶的暱稱及連線資訊(CI)遭到洩露。圖片=友利銀行提供

儘管事故並非發生在銀行內部,但由於造成了客戶可能受損的風險,友利銀行依然難以推卸責任。特別是外界指出,外包公司獲得的個人資訊處於管理與監督的盲區。友利銀行與Blocko在事故發生9個月後才察覺洩露情況,這也是一大問題。據瞭解,金融監管部門在接到報告後,已要求友利銀行進行相關自查。

友利銀行解釋稱,在與外部公司推進專案時,會分階段實施安全管理方案。專案啟動階段,會要求外包公司簽署保密承諾書,不得隨意使用或洩露專案資訊。業務執行期間,銀行資訊保護部門每月會對參與專案的外部人員進行一次安全培訓。專案結束後,銀行會收回撤離確認書,並將外包公司所用的電腦裝置收回並徹底格式化。

友利銀行與Blocko強調:“洩露的資訊並非會員ID或登入賬戶資訊,僅憑CI無法識別特定個人。”然而,隨著近期個人資訊洩露事故在各行業頻發,使用者的擔憂日益加劇。特別是今年6月,Tving平臺上超過1900萬名會員的CI以及姓名、出生日期、聯絡方式、ID、郵箱等敏感資訊遭大規模洩露,因此不能排除與友利銀行洩露資訊結合後被濫用的可能性。

友利銀行在事故發生後的公告中表示:“將以此次洩露事故為契機,對開發公司的個人資訊管理現狀進行全面排查,並糾正不足之處。”

另一方面,隨著國內企業頻發客戶CI洩露事故,社會上出現了要求停止不必要CI收集並銷燬CI的呼聲。數字正義網路、民主社會律師聚會數字資訊委員會、資訊人權研究所、參與連帶等團體在6月的活動中主張:“企業將CI視為必要資訊進行收集,但CI絕非提供服務所必需的資訊。這不過是國內企業為了方便而收集的。”

他們要求制定對策稱:“大規模CI洩露事故未來會帶來何種損失難以預料。企業應銷燬或停止使用受害者的CI。政府應調查企業收集並洩露CI的現狀,並允許希望更改CI的使用者進行變更。”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。
심지영 기자

금융, 가상자산, 핀테크, 투자 업계 중심으로 취재하고 있습니다. 언제든 제보주세요.

jyshim@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지