내부통제자 처벌은 현실 고려하지 않은 미봉책?

방창완 편집국장 bang@ciociso.com

앞으로 금융사고 발생시 내부통제를 총괄하는 감사도 행위자와 같은 수준의 징계를 한다는 금융당국의 발표에 금융 CISO들이 현실적인 문제를 고려하지 않은 일률적인 처사라는 불편한 심기를 내놓고 있다.
금융감독원은 지난해부터 계속 터진 사고에 대응하기 위해 ‘검사 제재업무 혁신 방안’과 ‘인허가 업무 처리 절차 개선방안’을 마련하면서, 이 같은 강경조치를 내놨다. 이번 조치의 내용을 보면, 사고 발생시 감사 등 내부 통제자에 대한 책임을 강화한다는 것이다. 특히 위법, 부당행위의 반복발생의 경우, 내부 통제자에 대해서도 행위자에 준하는 수준으로 징계를 내린다는 것이다. 이와 관련해서 금융권 CISO는 “업계를 살릴려는 의지가 없는 일방적인 처사”라고 개탄했다.
물론 보안의 심각성을 따져 이 같은 강경조치를 내놓은 것에 대해 이해를 못하는 바는 아니지만, 이런 식의 처사는 업계모두가 ‘생존논리’로 갈 수밖에 없다는 견해이다. 결국 일이 아닌 눈치를 보면서 업무를 처리해야하는 수동적인 대응방식만을 따르게 된다는 것이다. 더욱이나 보안은 각사의 처한 입장에 따라 방법론을 마련해야 하는데, 일부 금융기업의 대응논리를 따라가는 입장이 될 수 밖에 없다는 것이다.
더욱 심각한 것은 보안을 적절하게 통제해야하는 관리자의 심리를 위축시켜 선순환적인 ‘선제적 보안관리’를 저해할 우려가 크다는 것이다. 업계의 다른 CISO는 “어쩌면 이것은 공무원 감사직이라는 직위의 자리보전을 위한 생색내기용 관리방식”이라는 비아냥섞인 의견도 내놓았다. 한 측에서는 현재 검찰까지 뛰어든 마당에 금융당국도 자체적으로 해결할 수 있는 여력이 없다는 것을 반증하는 것이라고 말했다.
이처럼 실적을 내기 위해서는 규제라는 극단적인 방망이를 통해 해결하려는 ‘탁상공론식 논리’라는 것이다. 금융업계의 한 CIO는 “과거에도 사고에 대한 강도는 높았지만, 최소한의 룰을 지키면 면책을 받을 수 있는 길이 있었다. 하지만 지금처럼 ‘무관용’이 입에 붙은 마당에서는 소극적인 대응을 할 수 밖에 없다”고 말했다.
이에 따라 보안 관리를 맡고 있는 CISO 및 임원들이 소신을 갖고 일하기가 더욱 어려워질 것이라는 의견이다. 증권사의 한 CIO는 “규제의 강도가 높아지고, 비현실적인 조항들이 들어오게 되면 서로 추이를 지켜보면서 시스템을 컨닝하는 데 급급할 우려가 있다. 대형사는 대형사 간에, 중소형사는 중소형사간에 같은 수준으로 보안 인프라를 맞춰갈 우려가 있으며, 이는 ‘스탠다드화’가 될 여지가 있다”고 말했다.
업계에서는 앞으로의 분위기가 테크놀로지 리더십이나 자기 일처럼 진행하는 업무환경이 사라지고, 최소한의 기본만을 유지하게 되어, 향후 미래보안에 부정적인 영향을 끼칠 수 있다는 점을 우려하고 있다. 결국 금융권에서 미래보안 안전망을 확보하기 위해서는 정책의 유연성을 통해 관리 방법의 다양성을 인정하고, 현실적인 수준에서 제재 조치를 세분화 할 수 있는 지혜가 필요한 시점이라고 입을 모으고 있다.