올해 초 KT는 미국 증권거래위원회(SEC)로부터 70억원 상당의 과징금을 부과 받았다. 한국과 베트남에서 공무원에게 부당한 대가를 제공하는 등 해외부패방지법(FCPA)를 위반했다는 것이다. KT는 1999년 뉴욕증시에 주식예탁증서(DR)를 상장하면서 SEC의 감독대상이 됐다.

KT는 기부나 상품권 구매와 관련, 충분한 회계 시스템을 갖추지 않았던 것으로 파악됐다. 이 상태로 회사의 사업에 영향력을 행사한 공무원들에게 선물용 비자금, 불법 정치공여금 등을 조성했다. SEC는 "거의 10년 동안 KT는 사업운영의 주요 측면에서 충분한 내부 회계 통제를 시행하지 못했으며 동시에 반부패 정책 및 절차도 없었다. DR 발행인은 반드시 해외부패방지법에 따른 의무를 이행하는 데 주의를 기울여야 한다"고 했다.

이러한 사례는 국내 금융사들이 새겨봐야 할 대목이다. 올해 계속 터지고 있는 국내 금융사의 횡령사태는 그만큼 내부통제가 제대로 갖춰지지 않았다는 반증이다. 내부통제 미비는 그 자체로도 적지 않은 손실을 초래하지만, 징벌적 배상을 강화하고 있는 글로벌 추세에 비춰보면 향후 천문학적인 벌금을 물어야 할 수도 있다.

지난해 글로벌 금융사 컴플라이언스 위반 벌금 / 신영빈 기자
지난해 글로벌 금융사 컴플라이언스 위반 벌금 / 신영빈 기자
허술한 내부통제도 제재대상…외부 향했던 감시의 눈, 내부로 돌려야

핀테크글로벌에 따르면 지난해 내부 준법감시(컴플라이언스) 위반으로 미국과 유럽연합(EU), 영국 등 금융당국으로부터 벌금을 가장 많이 부과받은 금융사 5곳의 벌금만 1조6000억원에 달한다. 네덜란드의 거대은행 ABN암로는 자금세탁 관련 계좌 확인에 실패, 수상한 고객과의 관계를 보고하지 않았다는 이유로 당국으로부터 4억8000만유로(약 6400억원)의 벌금을 부과받았다.

단순히 사고로 인한 손실만이 전부가 아니다. 그러한 사고를 초래한 내부통제 시스템의 기업에게도 벌금을 물리는 것이 글로벌 감독당국의 기본적인 스탠스다. 이러한 사정은 국내 금융사라고 피해 갈 수 없다. 실제 2020년 IBK기업은행은 자금세탁방지(AML) 프로그램 미비를 이유로 미국 검찰과 뉴욕금융청 등에 1000억원 상당의 벌금을 내야 했다.

지금까지 금융사를 포함한 모든 기업들의 보안 이슈는 외부로부터의 공격을 방어하는데 집중돼 왔다. 외부 해킹, 디도스 공격 등으로부터 내부 자산을 지키는 게 우선이었던 셈이다. 이제는 내부에서도 공격이 발생할 수 있다는 관점의 변화가 필요하다. 그리고 이를 전반적으로 통제할 수 있는 시스템을 갖춰야 한다.

신승원 카이스트 전산학부 겸임교수는 "지금까지 금융권을 포함한 대다수 기업의 보안은 외부로부터의 공격과 오류에 대한 방어에 집중돼 왔다. 내부자 공격에 대한 고려 및 가정이 부족했고, 당연히 이에 대한 방어가 미흡했다"며 "그동안 금융사기 방지를 위해 도입했던 이상금융거래 및 회계부정적발 시스템을 내부거래에 적용하고 새로운 룰을 만들어야 한다. 적용 후에는 이를 마음대로 변조하지 못하게 끔 해야 한다"고 했다.

금융사에서 사기거래 방지를 위해 적용하고 있는 이상거래 탐지시스템(FDS, Fraud Detection System) 등의 기술을 내부거래에도 확대해야 한다는 진단이다. 평소와 다른 이상거래(outlier)를 찾아 내 내부통제에 활용하자는 것. 다만 이상치의 기준을 어디에 둘 것인지, 이상행위에서 어떻게 위험행위를 걸러낼 것인지는 세부적인 논의가 필요하다.

부정행위 탐지도 AI로…빅데이터 구축, 레크테크 적용도 서둘러야

이를 보완하기 위한 대안 중 하나로 손꼽히는 것이 레그테크(Reg-Tech)다. 레그테크는 규제(Regulation)와 기술(Technology)의 합성어로 빅데이터와 클라우드 컴퓨팅, 머신러닝 등 IT 신기술을 활용, 금융 규제 준수 업무를 자동화, 온라인화 하는 것을 말한다. 감독 당국이 요구하는 규제를 실시간으로 대응, 보고하기 위한 기술적 접근으로 기업의 컴플라이언스(준법업무)를 보다 효율적으로 진행하기 위한 시스템으로 불린다.

실제 레그테크에 대한 관심이 고조되고 있다. 자금세탁이나 뇌물수수, 테러단체 자금조달, 다양한 불법거래 등 금융범죄 발생률이 증가함에 따라 레그테크 시장도 커지는 추세다. 시장 리서치 기관인 마켓앤데이터에 따르면 2019년 53억2000만달러(약 7조원)였던 레그테크 시장 규모는 2027년엔 217억3000만달러(약 28조6000억원)로 4배 이상, 연평균 19.5%씩 성장할 것으로 전망됐다.

레그테크는 ▲이상거래탐지(FDS) ▲자금세탁방지(AML) ▲고객신원증명(KYC) ▲보안 및 정보보호 ▲리스크 예측평가, 그리고 IT시스템이 규제 관련 데이터를 추출, 보고까지 처리하는 ▲머신 리더블 레귤레이션(MRR) 등에 적용된다. 톰슨로이터가 2019년 설문조사 결과, 준법·내부통제 모니터링(21%), 고객확인(17%), 자금세탁방지(12%)순으로 활용도가 높았다.

자본시장연구원은 "코로나19 영향으로 재택 근무가 증가하고, 기존의 프로세스의 한계가 드러남에 따라 레그테크의 필요성이 더욱 커졌다"며 "리스크 관리에 대한 수요 증가와 비즈니스 프로세스 규제에 대한 수요 증가로 전 세계 적으로 레그테크 시장을 주도할 것"이라 전망했다.

전문가들도 레그테크를 활용한 내부통제 방법에 관심이 많다. 하지만 현재의 레그테크는 당국이 요구하는 수준의 규제를 준수, 이를 보고하는 데 초점이 맞춰져 있다. 금융사의 내부사고까지 사전에 예방할 정도는 아니라는 게 공통적인 견해. 다만 기술의 고도화를 통해 업무방식을 바꿀 수 있을거란 기대는 있다.

이준희 법무법인 율촌 파트너 변호사는 "내부통제 관점에서 상급자 승인 체계, 결제라인, 명령휴가제를 통한 수시 감사 등 관리적 방안이 주를 이루고 있고, 보조적인 수단으로 디지털포렌식 기술을 이용한 내부감사 등을 도입한 사례가 있으나 본질적인 사고 방지 사례라 보기는 어렵다"며 "내부통제와 컴플라이언스의 고도화를 통한 사고 방지 차원에서 레그테크의 신속한 도입과 연구 발전 방안을 검토해 볼 법 하다"고 말했다.

레그테크와 컴플라이언스의 차이 / 신영빈 기자
레그테크와 컴플라이언스의 차이 / 신영빈 기자
기술적으로 금융사 내부사고를 사전에 차단, 예방하기 위해선 선결조건이 있다. 우선 이상거래에서 위험행위를 찾아낼 수 있는 빅데이터 구축이다. 레그테크 고도화가 필요한 이유이기도 하다.

장항배 중앙대 산업보안학과 교수는 "9시에 출근하던 직원이 6시에 출근하는 건, 이상행위지만 위험행위는 아니다. 하지만 은행계좌에서 돈을 인출, 특정 직원이 만든 차명 계좌에 들어가는 건 위험행위다. 이러한 것을 구분해 내야 한다"며 "최근 금융사 횡령도 이러한 이상행위 알림을 현장에서 차단한 것으로 안다. 충분한 데이터를 통해 위험행위를 탐지하는 방향으로 기술이 전환돼야 한다"고 강조했다.

아무래도 규제와 관련된 기술이다 보니 결국 감독당국이 이에 대한 가이드라인을 만들어야 할 것이라고 관계자들은 입을 모은다. 레그테크만 해도 컴플라이언스 전반에 걸쳐 금융 금융당국과 커뮤니케이션 하는 시스템이다보니 보고할 것과, 하지 않아도 될 것 등을 당국이 정리해줘야 한다.

금융감독원의 한 고위 관계자는 "실무부서에서 레그테크는 물론, 금융당국의 규제를 기술적으로 진행할 수 있는 섭테크(Supervision+Tech) 관련 연구도 진행 중에 있다"며 "아직 연구하는 단계라서 보완이 필요해 완벽하다 할 수는 없지만 가이드라인을 만들기 위해 노력 중"이라고 말했다.

손희동 기자 sonny@chosunbiz.com


관련기사