(사진=연합뉴스)

 

[mdtoday=양정의 기자] NH투자증권은 최근 몇 년간 디지털 전환을 통해 비대면 고객 비중을 70% 이상으로 확대하고 모바일 트레이딩 시스템(MTS) 거래액을 두 자릿수 성장률로 견인하는 등 뚜렷한 성과를 달성했다. 그러나 이러한 빠른 기술 발전은 내부통제의 물리적 한계를 드러내며 새로운 과제를 안겨주고 있다.

 

자동화된 알고리즘 추천 상품은 판매자의 설명 의무를 약화시키고 개별 고객의 위험 선호도를 완벽하게 반영하지 못하는 리스크 검증 공백을 야기한다. 비대면 계좌의 자금세탁방지(AML) 검증 과정은 데이터 기반의 실명 확인 및 거래 목적 검증에 의존해 이상 거래 탐지가 사후적으로 이루어지는 한계를 보인다. 또한, 클라우드 기반 협업 환경에서는 프로젝트 정보 접근 권한이 부서 간 중첩돼 누가 어떤 정보에 접근했는지에 대한 로그 추적이 지연되는 등 내부자 정보 접근 통제 또한 약화되고 있다. 이러한 디지털화는 내부통제의 경계를 모호하게 만들고 속도와 정확성 사이의 간극을 벌리는 구조적 모순을 심화시키고 있다.

금융회사 지배구조법 개정으로 2025년부터 이사회의 내부통제 기준 실효성 점검이 의무화되었으며, 금융감독원은 임직원 이해상충 방지, 내부정보 관리 강화, 사전 리스크 평가 의무화 등을 포함한 '내부통제 모범규준'을 제시했다. NH투자증권 역시 이에 발맞춰 이사회 산하 내부통제위원회와 리스크관리위원회를 이원화하고 사장 직속 준법감시본부를 확대하는 조직 개편을 단행했다. 하지만, 이러한 제도적 강화에도 불구하고 실질적인 실행력 확보에는 여전히 어려움이 따른다. 위원회 보고가 정기 회의 중심으로 이루어져 실시간 감시 기능이 약하고, 사장 직속 준법감시 부서는 보고 권한은 있으나, 인사권 및 평가권에서의 독립성이 불완전하다는 지적이 제기된다.

 

(사진=NH투자증권 제공)

 

NH투자증권은 글로벌 시장 진출 확대를 위해 해외 투자은행(IB)과의 크로스보더 자산운용을 강화하고 있으나, 내부통제 체계는 여전히 국내 기준에 머물러 있다. 해외 거래의 사전 리스크 평가 모델은 현지 규제나 제3자 리스크를 충분히 반영하지 못하며, 해외 자회사 간 정보 공유 제한으로 그룹 차원의 통합 컴플라이언스 모니터링이 미흡한 상황이다. JP모건, UBS 등 글로벌 투자은행들이 인공지능(AI)을 활용한 실시간 데이터 기반 통제 시스템을 운영하며 내부자 이상 패턴을 즉각 탐지하는 것과 달리, NH투자증권은 여전히 사후 점검 중심의 정기 감사 시스템에 의존하고 있어 글로벌 스탠더드와의 격차가 두드러진다.

NH투자증권 내부에서는 "통제가 영업에 지장을 준다"는 인식이 여전히 지배적이다. 성과 중심의 조직문화 속에서 리스크관리 부서의 제동은 '비협조'로 해석되는 경향이 있으며, IB와 자산관리(WM) 부문 간 정보 공유 제한은 책임 전가로 이어지는 사례를 반복시킨다. 내부통제가 '안전장치'가 아닌 '속도 제한 장치'로 인식되는 현실에서 제도적 강화만으로는 근본적인 문제 해결에 한계가 있다.

전 세계 주요 금융회사들이 '통제 시스템은 존재했으나 제대로 작동하지 않은' 유사한 함정에 빠지는 사례가 반복되고 있으며, 그 패턴은 놀라울 정도로 유사하다. 2011년 UBS 런던지점의 트레이더 쿠웨쿠 아데볼리는 내부 감시망을 피해 23억 달러 규모의 파생상품을 불법 거래했다. 당시 UBS는 자동감시 시스템을 갖추고 있었으나, 거래 발생 시 이를 거래소와 내부 리스크관리 시스템에 자동으로 보고하지 못하고 직원의 수동 입력 및 승인 절차에 의존했다. 이로 인해 감시 프로그램이 있었음에도 자동 경고 해제 권한이 실무 현장에 있었고, 리스크팀의 경고는 경영진에게 전달되지 못했다. 결국 UBS는 29억 달러의 손실을 떠안았으며, 영국 금융감독청은 이를 '내부통제 시스템이 아닌 문화의 실패'로 규정했다. 이는 통제의 실효성이 절차가 아닌 권한 배분에 달려 있음을 시사한다.

지난 2016년 미국 웰스파고에서는 실적 압박 속에서 직원들이 고객 동의 없이 수백만 개의 허위 계좌를 개설한 사실이 드러났다. 내부통제 부서는 이를 수년간 인지했으나, 성과 중심의 보상 체계가 문제 제기를 구조적으로 억눌렀다. 성과 지표가 '판매 개수'에 집중되어 내부통제와 이해 상충을 일으켰고, 내부 신고자는 인사상 불이익을 받아 문제 제보가 누락되는 결과를 초래했다. 이는 내부통제 실패의 근원이 '인센티브 구조'에 있음을 보여준다.

국내에서도 2020년 라임·옵티머스 펀드 판매 사태 이후 NH투자증권을 포함한 주요 증권사들이 대규모 제재를 받았다. 공통적으로 상품 구조를 제대로 이해하지 못한 채 '본사 승인'에 의존해 판매했으며, 사전 리스크 심사 및 상품 실사 절차가 형식적으로 운영됐다. 또한, "고객이 원했다"는 이유로 내부 경고를 무시하고, 사후 점검은 사건 발생 후에야 작동했다. 이후 내부통제위원회 신설, 리스크 부서 확대 등 제도 개선을 시행했으나, 조직 내 권한 구조 자체가 바뀌지 않아 실효성 확보에 실패했다. 통제 조직을 늘리는 것보다 그 조직이 실제 '결정권'을 갖게 하는 것이 중요하다는 점이 드러났다. 이는 NH투자증권의 정보 접근 통제와 유사하게, 보고 라인의 중복 및 지연이 통제 무력화의 주요 원인임을 보여준다.

성공적으로 체질을 바꾼 사례들은 공통적으로 '사건 중심 대응'이 아닌 '시스템 중심 대응'으로 전환했다. JP모건체이스는 모든 트레이딩 로그 실시간 모니터링과 AI 기반 이상거래 자동보고로 내부자 거래를 30%나 감소했고, 싱가포르 DBS은행 역시 준법감시 부문을 CEO 직속화하고 'Culture Audit'을 도입해 내부통제 위반율을 5년간 60% 감소했다. 이러한 이유로 임원매매금지, 시스템 등록 관리 등 제도적 조치 이외에도 문화적 전환과 데이터 기반 통제로 나아갈 필요성이 제기된다.

 

메디컬투데이 양정의 기자([email protected])

• 

[저작권자ⓒ 메디컬투데이. 무단전재-재배포 금지]