한정규 로그스택 대표
화장품 업체 아모레퍼시픽이 영업직원의 회삿돈 35억원 횡령 사실이 발각돼 경찰 수사를 받고 있다. 이에 앞서 우리은행은 기업개선부 직원이 2012년부터 2018년까지 6년간 총 614억원을 횡령, 현재 금융감독원의 검사와 경찰 조사를 동시에 받고 있다.
내부회계관리제도, 즉 ‘IT감사’란 이런 상장기업의 회계부정을 걸러내기 위해 존재하는 제도다. 기업이 재무제표를 작성하면 외부 감사인이 ‘감사’를 통해 내부 IT시스템이 제대로 작동했는지 판단한다.
‘외부감사에 관한 법률(외감법)’이 2018년 6월 개정됨에 따라 외부 감사인의 인증 수준이 2019년부터 검토에서 감사로 강화됐다. 검토였을 때는 회사 내에서 자체적으로 점검한 후 보고한 뒤 감사인과 문답 위주 방식으로 검증이 이뤄졌다. 수준이 감사로 상향돼 자료와 그 근거에 대한 점검 역시 강화됐고 주요 통제 활동의 경우 재수행을 하거나 감사인이 직접 기업에 방문해 관찰하는 방식으로 절차가 이뤄지고 있다.
달라진 IT감사 방식에 따라 외부 감사인인 회계법인이 감사를 맡는다. 이때 기업이 IT감사에 대응하는 솔루션을 제공하는 스타트업 로그스택이 지난해 문을 열었다. 대표는 한영회계법인 출신의 한정규씨. 한 대표는 IT 감사 전문가다.
한 대표를 만나 그가 회계법인을 퇴사하고, 스타트업을 이끌게 된 계기와 로그스택의 사업 전략, 목표 등을 들어봤다. 다음은 일문일답.
"기업은 IT기술을 활용, 내부통제 시스템을 통해 데이터 베이스를 변경하거나 승인한 기록을 남긴다. IT감사는 이 기록이 어떤 절차에 의해 작성된 것인지 관련 행위를 검사하고 확인한다.
다이어트를 하는 사람에 비유해보면 이해하기 쉽다. 다이어터의 몸무게는 일종의 데이터라고 할 수 있다. 이 사람은 몸무게를 줄이기 위해 패스트푸드나 탄산음료 등 몸에 안 좋은 음식을 섭취하지 않고, 건강식을 먹으며 운동했다. 이처럼 다이어트를 위해 이 사람이 어떤 행동을 했는지 검토하고 검사하는 게 IT감사다."
― IT감사 대비하기 위해선 어떤 준비를 해야 하는가.
"내부통제 시스템을 구축해야 한다. IT감사는 내부통제 시스템이 기업의 재무정보를 올바르게 검토하고 회계부정 사례를 걸러내는지를 감독, 검사하는 제도이기 때문이다."
― 기업들이 IT감사를 준비할 때 보통 어떤 점을 힘들어하나.
"내부통제 시스템 내의 데이터 베이스에서 기록을 추출해 정리하는 게 제일 어렵다. 외부 감사인이 시스템을 검토할 때 내부통제 시스템의 데이터 이력을 일일이 캡쳐해서 내용을 증명하기 때문이다. 많은 일손이 필요한 작업이라 IT감사를 위한 추가 인력을 채용해야 한다."
― 기업이 IT감사에 대응하기 위해 비용 문제도 만만치 않을 듯 하다.
"내부통제 시스템이 올바로 작동하는지 기록을 보여 주는 게 보안 솔루션이다. 다만 보안 솔루션의 핵심 기능은 5000만원이나 할 정도로 굉장히 비싸다. 기업 내부에는 전사적자원관리(ERP), 제조, 물류 등 다양한 시스템이 포진돼 있다. 여기에 보안 솔루션을 다 연결하려면 몇 억씩 든다. 대기업은 큰 문제 아니겠지만, 중소기업에게는 부담이 적지 않다."
― 당장 내년부터 전체 상장사가 IT감사를 실시해야 한다. 준비가 완벽하지 못하면 발생할 파장이 클듯하다.
"원래 9월말까지 내부통제 시스템을 다 개선하고, 10월부터는 설계된 통제가 정상적으로 운영되는지 검토해야 한다. 그렇지 못한다면 IT감사 미비로 감사보고서에 보고된다. 해당 감사보고서가 주주총회 때 보고 되면 규모가 작은 회사는 타격을 입을 수밖에 없다. 주가가 떨어질뿐만 아니라 상장폐지까지 갈 위험이 크다."
― IT감사에 대응하기 위해 로그스택이 제공하는 솔루션은 무엇인가.
"로그스택의 IT감사 대응 솔루션은 크게 ▲DB 로그 매니저 ▲오토 테스팅 매니저 ▲감사관리 시스템(Audit Log) ▲서비스 포털(ITSM) 4가지다.
DB 로그 매니저는 데이터 베이스에 쌓이는 기록인 로그를 데이터 형태로 저장, IT감사에 필요한 자료를 확보한다. 1초당 수 만개의 데이터 베이스 기록을 처리해 5분이면 1년치 감사 자료를 추출할 수 있다.
오토 테스팅 매니저는 모집단을 추출해 자동으로 샘플링을 실시한다. 이를 통해 IT감사 시 자동 검사를 진행해 기업 시스템의 생산성을 제고한다.
감사관리 시스템은 회사 감사 통제 항목별 테스트와 승인, 내역 확인 기능을 자동적으로 검사하도록 구현했다. 설계 평가와 샘플링을 포함한 운영 평가까지 가능하다.
서비스 포털은 회사 내 프로그램의 변경신청, 승인, 테스트, 자동 이관을 가능하게 해준다. 프로그램이 이관 승인 후 자동 배포돼 회사가 추가로 IT 인력을 채용하지 않아도 통제에서 위험이 발생하면 포착해준다."
"내부통제의 비효율적인 과정을 해결하는 솔루션을 만들고 싶어 사업에 도전했다. 현재의 내부통제 시스템에서는 보안 기록이 너무 비효율적으로 쌓인다. 예를 들어 하나의 통제 행위에 대한 기록이 300~500줄 정도의 데이터로 쌓인다고 보면다. 여기에 내부통제가 제대로 작동하는지 주기적으로 테스트하려면 반기나 1년치를 뽑아야 한다. 그때보면 기록이 최소 몇 천만건에서 몇 억건이 훌쩍 넘어간다. 이 기록을 추출해 살펴보려면 또 최소 몇 달이 걸린다.
실시간으로 회계부정을 잡는 내부통제 시스템이 시장에 없다는 점도 비전으로 다가왔다. 다수 횡령 사건이 횡령이 벌어진 시점에 발견되지 않고, 몇 년이 지난 후에 알려진다. 기업 내부통제 시스템이 회계부정 행위를 실시간으로 잡아내지 못하기 때문이다. 내부에서 일어나는 회계부정 행위를 잡으려면 해당 행위가 일어났을 때 즉각 실시간으로 경고 알람을 띄워야 하지만, 지금까지 쉽지 않았다."
― 구성원이 어떻게 되나.
"삼성, LG 등 국내 대기업의 감사용 툴을 개발한 바 있는 김기환 최고기술책임자(CTO). IT개발팀에서 15년간 경력을 쌓은 김민규 최고보안책임자(CSO) 등과 함께 일하고 있다."
― 사업은 어느 정도 진척됐나.
"정확한 기업명을 밝힐 수는 없지만 국내 대기업 3곳에 솔루션을 납품하기 위해 사업실증(POC) 단계 중이다.
투자금의 경우 스타트업 액셀러레이터(AC)인 스파크랩으로부터 1억원을 받았다. 두 달 뒤에는 프리 시리즈A 계획이 있다."
― 향후 계획은 어떠한가
"기업과 상의해 ‘리스크 시나리오’를 기획하려 한다. 각 산업군에 맞춰 리스크 징후가 있으면 잡아내는 프로그램을 만드는 것이다. 지금은 회계장부에서 수행되는 행위들을 데이터로 변환하고 있다. 앞으로는 회계뿐 아니라 다른 분야에서 발생하는 행위들을 데이터로 잡아낼 수 있다고 생각한다.
예를 들어 대학 병원 진료를 받기 위해 예약자가 편법을 사용해 직원에게 부탁해 자신의 순서를 앞당기는 행위를 막을 수도 있다."
☞ 한정규 대표는 누구?
미국 캘리포니아대 샌디에고캠퍼스(UCSD)에서 기계공학을 전공했다. 4대 회계법인 중 하나인 한영회계법인에서 9년간 일한 감사 매니저였다. 전산 감사 경력 10년차로, 전산 및 내부통제 감사 전문가다.
박소영 기자 sozero@chosunbiz.com