[뉴스토마토 이지유 기자] 금융권 내부통제 사고가 직원 개인의 일탈을 넘어 외주업체와 재위탁사, 영업점 관리 부실로 이어지는 등 좀처럼 잡힐 기미가 보이지 않습니다. 금융사들이 책무구조도 도입과 내부통제 기준 강화에 나서고 있지만, 현장 일선과 위탁 업무망에서는 여전히 사고가 반복되는데요. 내부통제 관리 범위는 넓어졌지만 통제 체계는 이를 따라가지 못한다는 지적이 나옵니다.
기업은행 전경. (사진=기업은행)
내부통제 사고, 외주업체 관리 부실까지 확대
9일 금융권에 따르면 금융권 내부통제 사고가 직원 개인의 일탈부터 외주업체 관리 실패, 영업점 감독 부실까지 다양화하고 있습니다.
최근 IBK기업은행에서는 한 영업점 팀장의 겸직 및 이해충돌 위반 사례가 감사 과정에서 적발됐습니다. 해당 직원은 은행장의 허가 없이 유튜브 채널을 운영하며 외부 수익을 올리고 필명으로 책을 출간해 인세를 받은 것으로 확인됐습니다.
중소기업은행법과 은행 내부 규정은 임직원의 무단 겸직과 영리 목적의 외부 활동을 제한하고 있습니다. 하지만 해당 직원은 장기간 외부 활동을 이어온 것으로 조사됐습니다.
특히 자신의 유튜브 채널 운영 과정에서 은행 내부 자료를 활용하고 임직원과 고객을 대상으로 제공되는 경제 전망 자료 등을 콘텐츠 제작에 활용한 사실도 확인됐습니다. 내부 업무 수행을 위해 제공된 자료가 개인 채널 운영과 홍보 수단으로 사용된 것입니다.
이해충돌 문제도 드러났습니다. 해당 팀장은 배우자가 임원으로 재직했던 회사 등 사적 이해관계가 있는 거래 업체에 대해 사전 신고나 직무 회피 절차를 거치지 않고 대출 취급과 신용카드 한도 확대 업무에 관여했습니다.
더 큰 문제는 이러한 위반 행위가 특정 시점이나 한 개 영업점에서 끝난 것이 아니라는 점입니다. 해당 직원이 여러 영업점을 이동하는 과정에서도 관련 거래가 이어졌지만 관리 책임자인 지점장들이 이를 발견하지 못했습니다. 결국 개인의 규정 위반뿐 아니라 영업점 단위의 관리·감독 체계가 제대로 작동하지 않았다는 비판이 나오고 있습니다.
우리은행에서 발생한 개인정보 유출 사고 역시 외부 위탁 관리의 허점을 보여주는 사례입니다. 우리은행은 대체불가토큰(NFT) 플랫폼 구축 과정에서 외주 개발업체가 보관하던 고객 개인정보 1만7551건이 유출됐다고 밝혔습니다. 유출된 정보는 이용자 닉네임과 온라인상 개인 식별값인 연계정보(CI)입니다. 우리은행은 해당 정보만으로 특정 개인을 직접 확인하기는 어렵고, 현재까지 2차 피해 사례도 확인되지 않았다고 설명했습니다.
금융권에서는 CI가 장기간 변경되지 않는 식별정보라는 점에서 추가 개인정보와 결합될 경우 명의도용이나 금융사기 등에 활용될 가능성을 우려하고 있습니다. 해당 사고는 금융사가 직접 관리하는 영역뿐 아니라 외주·위탁 영역까지 내부통제 범위를 확대해야 한다는 점을 보여줬는데요. 우리은행은 프로젝트 종료 후 업체로부터 정보 파기 확인을 받았지만 실제로는 일부 직원이 해당 정보를 보관하고 있었던 것으로 드러났습니다.
위탁사·외주업체 접근도 점검해야
카드업계에서도 개인정보 관리 문제는 반복되고 있습니다. 신한카드 일부 영업소 직원들이 2022년 3월부터 올해 5월까지 사내 시스템을 통해 가맹점 대표자 약 19만건의 개인정보를 무단 유출한 사실이 드러났는데요. 금감원은 해당 사고가 단순 개인 일탈이 아닌 카드 모집 실적 중심의 영업 관행과 회사 차원의 내부통제 부실에서 비롯됐는지 점검하고 제재 수위를 검토하고 있습니다.
우리카드에서는 카드모집인이 가맹점 대표자 개인정보를 외부로 유출하는 사고가 발생한 바 있는데요. 개인정보 유출 경로가 내부 직원, 위탁업체, 외부 침입 등 다양한 형태로 나타나면서 금융권 전반의 정보보호 체계를 다시 점검해야 한다는 목소리가 커지고 있습니다.
전문가들은 반복되는 금융사고를 단순한 개인 비위 문제로만 볼 수 없다고 지적합니다. 금융사의 업무 영역이 확대되고 거래 구조가 복잡해진 만큼 내부통제 역시 조직 전체 차원의 시스템으로 작동해야 한다는 설명입니다.
특히 제3자 위탁 리스크는 금융권 내부통제의 새로운 사각지대로 부상하고 있습니다. 금융사들이 디지털 전환 과정에서 플랫폼 구축, 앱 개발, 데이터 처리, 보안 운영 등을 외부 업체에 맡기고 있지만, 위탁 이후 실제 정보가 어디에 보관되고 누가 접근하는지까지 상시 점검하는 체계는 충분하지 않다는 평가가 나옵니다.
금융사가 관리해야 할 대상은 자사 임직원뿐 아니라 외부 개발업체, 카드 모집인, 지역 영업점, 재위탁사까지 넓어지고 있는 셈인데요. 앞으로 내부통제의 초점이 내부 임직원 관리에서 확장된 업무망 관리로 확대가 불가피해 보입니다.
금융당국 역시 금융회사가 업무를 외부에 위탁했더라도 정보보호와 내부통제 책임까지 넘길 수는 없다는 데 초점을 맞추고 있습니다. 특히 최고경영자와 담당 임원의 책임 범위를 명확히 하는 책무구조도가 시행되고 있는 만큼, 사고 발생 이후 실무자 개인의 일탈로 책임을 전가하기보다는 관리 책임자가 위험 요인을 사전에 파악하고 적절한 통제 장치를 마련했는지를 따져야 한다는 입장입니다.
금융당국 관계자는 "임직원의 이해충돌 여부를 사전에 확인하고 외부 위탁업체의 정보 관리 실태를 지속적으로 점검하며 영업점 관리자의 책임 범위를 명확히 하는 체계를 지속해서 주문하는 상황"이라고 말했습니다.
직원의 비위 행위가 여러 내부 채널을 거치는 동안 발견되지 않고, 장기간 개인정보 조회가 반복되거나 프로젝트 종료 이후에도 외주업체에 고객 정보가 남아 있다면 이를 탐지하고 차단하는 관리 체계가 작동했는지를 따져야 한다는 설명입니다.
금융권 관계자는 "금융사의 업무 구조가 복잡해지면서 본사 직원만 관리하는 기존 내부통제 방식에는 한계가 있다"며 "위탁업체와 재위탁사까지 포함해 누가 정보에 접근하고 어떻게 사용하는지를 상시적으로 확인할 수 있는 체계를 갖추는 것이 중요하다"고 말했습니다.
신한카드 본사 전경. (사진=뉴시스)
이지유 기자 emailgpt12@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지