SR7. 700억 원대 우리은행 횡령 사건의 교훈
“기업 리스크 관리는 비용이 아닌 투자”
부정 징후 탐지할 상시 모니터링 절실
Article at a Glance
기업 내부자에 의한 부정 사고의 적발이 늦어지면서 사고 피해 금액도 커지는 추세다. 기업의 신뢰를 잃어버리는 데 따른 무형의 손실은 훨씬 더 크다. 부정 사고를 사전에 방지하려면 어떻게 해야 할까? 우리은행 직원의 700억 원대 횡령 케이스가 주는 교훈은 다음과 같다.
1. 동일 업무의 장기 근로자에 대한 관리 감독을 강화해야 한다. 대형 사고는 평판이 좋아 전혀 의심을 받지 않던 직원으로부터 발생한다.
2. 부정 위험 평가를 통해 사고 위험이 큰 영역을 중점으로 통제 역량을 집중시키는 표적 관리를 강화해야 한다.
3. 다차원적인 데이터와 선진 기법을 활용해 부정 징후를 탐지하는 상시 모니터링 시스템을 고도화해야 한다.
4. 내부 통제를 투자가 아닌 비용, 최소주의와 형식주의 관점에서 바라보는 경영진의 인식이 바뀌어야 한다.
2022년 4월, 우리은행의 직원 한 명이 가족과 공모해 700억 원대의 횡령을 저지른 사실이 밝혀졌다. 자금 관리가 핵심인 금융회사에서, 그것도 8년에 걸쳐 거액의 횡령이 벌어졌는데도 첫 횡령 이후 사건이 발각되기까지 10년 동안 아무도 알아채지 못했다는 사실은 경영계에 큰 충격을 줬다. 금융회사의 내부 통제에 심각한 허점이 있음이 드러난 것이다.
금융감독원 조사 결과 이번 횡령 사건은 크게 여덟 차례에 걸쳐 진행됐는데 지난 9월30일 서울중앙지법은 그중 세 차례에 걸쳐 614억 원에 달하는 횡령 사건을 저지른 A 씨와 공범인 그의 동생에게 각각 징역 13년, 10년을 선고했다. 이 세 차례의 사건은 시간이 지날수록 액수가 커지고 수법이 진화한 것이 특징이다. 만일 횡령이 처음 벌어졌을 때 내부 통제 장치가 제대로 작동했더라면 사건이 더 커지는 것을 막을 수 있지 않았을까 하는 안타까움이 남는다.
이는 비단 우리은행만의 문제가 아니다. 금융감독원에 따르면 2022년 상반기에 발생한 금융권 전체의 횡령 관련 사고 금액은 747억 원(28건)으로 2021년 연간 사고 금액 180억 원(47건) 대비 4배가량 증가했다. 사고 건수는 감소하고 있지만 금액 규모는 급격히 증가하는 추세다.
사실 기업 경영상 외부 혹은 내부로부터 부정행위(fraud)의 발생 가능성은 항상 존재하며 가능성을 원천적으로 차단하는 것은 불가능하다. 하지만 사전에 부정 위험을 선제적으로 탐지하고 관리하는 내부 통제 시스템을 철저히 갖추면 부정행위와 더불어 그에 따른 조직의 피해도 크게 줄일 수 있다. 이번 사건은 횡령에 따른 재산상의 손해도 손해지만 그보다도 기업의 신뢰를 심각하게 훼손한 무형의 손실이 훨씬 더 컸다.
최근 국내외 경기 침체의 여파로 기업 구조 조정, 소득 감소 등 경제적 압박이 커지면서 기업에서 부정이 발생할 개연성이 높아지고 있다. 또 경영 환경의 변화에 따른 거래의 복잡성으로 인해 내부 통제의 어려움도 커지고 있다. 선제적인 부정 예방과 탐지의 노력이 더욱 요구되는 시점이다.
이번 글에서는 우리은행 횡령 사건에 관해 지난 9월 법원이 내놓은 1심 판결문과 금융감독원 보도 자료 등의 내용을 토대로 횡령의 발생 원인과 내부 통제의 문제를 정리하고 그로부터 개선 방안을 도출하고자 한다.
1. 횡령은 어떻게 가능했나?
- 셀프 결재에서 문서 위조까지
이번 횡령 사건은 크게 2012년과 2015년, 2018년 세 차례에 걸쳐 벌어졌다. 2012년 첫 번째 횡령 당시 본점 기업개선부의 서무로 근무한 A 씨는 업무와 관련된 통장과 도장을 보관하고 관리했다. 그가 관리하던 통장 중에는 2011년 이란 가전 업체 ‘엔텍합’이 ‘대우일렉트로닉스’ 인수를 위해 지급한 계약금 578억 원도 있었다. 최종 계약이 무산되면서 대우일렉트로닉스 채권단과 엔텍합 간에 계약금을 두고 소송이 벌어지던 와중이었다. 동생의 사업 자금 조달과 채무 변제를 위해 A 씨는 당시 소송으로 인해 계약금 중 일부를 ‘법원 공탁금’으로 내야 한다는 명목으로 본점 영업부에 가서 173억3000만 원을 자기앞수표로 출금했다. 본인이 통장과 도장을 모두 관리하고 있었기에 인출 과정에서 어떤 제약도 없었다. 그는 본인의 계좌로 입금하면 금감원이나 금융정보분석원(FIU)에서 횡령을 의심할 수 있다는 판단하에 동생 명의 계좌에 전액을 입금하는 치밀함도 보였다.
그런데 이후 3년여간 A 씨는 범행을 들키기는커녕 심지어 과장으로 승진하며 같은 계좌를 계속 관리했다. 2015년 두 번째 횡령 때는 통장과 도장을 다른 직원이 관리하고 있었기에 상사의 허락이 필요했다. A 씨는 상사에게 ‘신탁예치금 전환’ 목적으로 출금해야 한다며 148억1000만 원을 수표로 출금해 같은 방식으로 빼돌렸다. 하지만 이번에는 출금 5일 후 상사가 출금에 대한 추가 보고를 요구했다. 그러자 A 씨는 근거를 만들기 위해 문서를 조작하기에 이른다. 자신의 컴퓨터에서 “기존 법원예치금(173억3000만 원)과 148억1000만 원을 신탁예치했음을 확인한다”는 내용의 문서를 만들어 출력한 뒤 기존에 갖고 있던 해당 신탁업체 대표이사 명의의 문서 사본의 제목, 본문, 전화란에 풀로 붙인 다음 복사해 위조문서를 만들었다. 조잡한 방식의 위조였지만 아무도 의심하지 않았다.
그 이후에도 2년 넘게 A 씨는 승승장구하며 2017년 차장으로 승진해 같은 업무를 이어갔다. 세 번째 횡령을 저지르기에 앞서 승진 후 부서가 바뀌면 횡령 사실이 드러날 것을 우려한 그는 ‘금융위원장’ 명의의 공문서까지 위조한다. 위조 방식은 앞서와 똑같았다. 본인이 ‘비공식 TFT의 일원으로 2급 기밀을 취급하므로 2018년 말까지 인사이동, 업무 변동이 없도록 요청한다’는 내용의 문서를 프린트해 기존에 보관하고 있던 금융위원장 명의 문서 사본의 본문, 날짜란에 풀칠해 복사했다. 그리고 2018년 해당 계좌의 마지막 남은 잔액 293억1000만 원을 전부 빼돌렸다. 이번에도 이전과 마찬가지 방식으로 상급자에게 ‘잔액을 캠코에 이관해야 한다’는 내용의 캠코 사장 명의의 문서를 위조하고 상급자에게 보고했다. 이번에 빼돌린 돈을 입금하기 위해 A 씨의 동생은 ‘대우일렉트로닉스’의 앞 글자를 딴 유한회사를 만들기까지 했다.
이처럼 2012년부터 세 차례에 걸쳐 이뤄진 A 씨의 범행은 2022년 우리은행이 엔텍합에 계약금을 돌려주기 위해 계약금 상태를 확인하면서 10년 만에 적발됐다. 그동안 엔텍합 측이 계약금을 돌려달라며 한국 정부를 상대로 ‘투자자-국가 간 소송(ISD)’을 제기해 2019년 말 최종 승소했지만 국제사회의 대이란 제재 탓에 계약금 계좌가 동결된 상태였다. 그런데 2022년 미국 재무부의 허가로 계약금 송금이 가능해지면서 뒤늦게 돈이 사라진 사실이 발견된 것이다. 그동안 A 씨와 동생은 횡령 자금의 절반 가까이를 이미 옵션거래로 잃었으며 일부는 해외에 설립한 페이퍼컴퍼니로 빼돌렸다. 이에 법원은 금융기관 직원으로서 가져야 할 윤리 의식을 저버리고 여러 문서를 위조하는 등의 불량한 방식으로 범죄를 저질러 회사 시스템 자체에 대한 신뢰를 위협한 A 씨에게 징역 13년, A 씨의 동생에게 징역 10년의 중형을 선고했다.
2. 무엇이 횡령을 유발했나?
- 부정의 ‘기회’와 그것을 실현시킨 ‘역량’
조직의 신뢰를 받는 화이트칼라 직종의 종사자들이 횡령죄를 저지르게 되는 이유는 무엇일까? 이를 설명하기 위해 범죄학자 도널드 R.크레시는 실제 횡령죄로 수감 중인 범죄자 200명을 대상으로 면접 조사한 결과를 바탕으로 ‘부정의 삼각형(Fraud Triangle)’ 이론을 내놨다. 그에 따르면 경제적 어려움, 회사에 대한 불만 등의 ‘동기(Incentive)’, 내부 통제의 공백 등에서 비롯한 부정을 저지를 수 있는 ‘기회(Opportunity)’, 행위자가 부정행위를 스스로 ‘합리화(Rationalization)’하는 태도 등의 3가지 요인이 부정을 유발한다.
이번 횡령 사건에서는 부실한 내부 통제 관행이라는 ‘기회’ 요인의 영향이 컸다. 통장과 직인의 관리자가 분리돼 있지 않고, 수기 결재 문서에 대한 검증이 이뤄지지 않는 등 자금 인출과 관련된 증빙과 결재 절차 등이 미비하다는 점이 횡령의 기회가 됐다. 기존 공문서 사본에 풀로 덧붙여 복사하는 식의 조잡한 위조 방식이 통할 정도였다. 본점 영업점에서 거액의 자금이 인출되는 과정에서 별도의 확인 혹은 검증 절차가 없었던 것도 문제다. 자금 인출 시 거쳐야 하는 기안-직인 날인-지급 시스템이 상호 연계돼 있지 않은 탓에 거래 실재성의 확인 없이 자금이 인출될 수 있었다. 특히 이번 사건과 관련된 계좌는 소송으로 인해 계약금이 묶여 거래가 사실상 중지돼 있었다. 이런 동결 계좌가 갑자기 해제된 경우에 대한 별도의 확인 등 알람 조치가 없었다는 것도 아쉬운 부분이다.
여러 가지 부실한 내부 통제 관행도 문제였지만 무엇보다 이번 사건에서 주목할 점은 A 씨가 그런 내부 통제의 사각지대를 파악하고 횡령에 활용할 수 있는 위치에 있었다는 점이다. 데이비드 울프(David T. Wolfe)와 다나 허만슨(Dana R. Hermanson)은 부정의 삼각형 이론의 3가지 요인 중에서 ‘기회’를 실행으로 옮길 수 있는 부정행위자의 역량(Capability)을 네 번째 중요한 부정 유발 요인으로 꼽으며 부정의 다이아몬드(Fraud Diamond) 이론(그림1)을 제시했다. 이 이론의 핵심은 아무리 기회 요인이 존재한다고 하더라도 결국 그것을 잘 활용할 수 있는 직위(position) 및 직능(function)에 있거나 내부 통제의 약점을 활용할 지능(intelligence)과 창의력(creativity), 이기심(ego) 등을 가진 사람이 부정을 저지른다는 것이다. 특히 장기간 대규모로 이뤄지는 횡령에서 ‘역량’은 굉장히 중요한 역할을 한다.1
A 씨가 이런 범죄를 기획할 수 있었던 이유도 같은 부서에서 10년 가까이 같은 업무를 하면서 해당 계좌에 관한 업무를 자세히 파악하고 있었기 때문이다. 심지어 그는 8년에 걸친 횡령 기간, 같은 업무를 하면서 과장과 차장으로 승진했으며, 2015년 말에는 해당 업무를 잘 수행했다는 취지로 금융위원장의 표창을 받기까지 했다.2 한마디로 부실한 내부 통제도 문제지만 A 씨였기 때문에 오랜 업무적 평판을 바탕으로 느슨해진 외부의 감시망을 이용해 장기간에 걸쳐 횡령을 저지를 수 있었던 것이다.
3. 횡령 사고, 어떻게 막을까?
- 선제적 부정 위험 관리 체계의 필요성
끊이지 않는 내부자에 의한 횡령 사고, 어떻게 막을 수 있을까? 최근 금융 사고는 이번 우리은행 케이스와 마찬가지로 사고의 발생 직후 사후 적발까지 시간이 오래 걸리며 그에 따라 사고 금액도 커지는 경향을 보인다.
금융감독원에 따르면 2017년부터 2022년 6월까지 은행에서 벌어진 금전 사고 207건이 적발되기까지 걸린 시간은 평균 18.3개월이었다. 그런데 사고 금액이 10억 원 이상인 26건의 거액 금융 사고의 경우 적발되기까지 걸린 시간이 무려 37.7개월로 2배 이상 길었다. 이런 사고를 은행이 자체적으로 적발한 비중은 전체의 42%였는데 10억 원 이상 거액 금융 사고의 경우 자체 감사에서 적발한 비중은 15.4%에 불과했다. 이런 통계는 외부 감독기관의 수검으로 거액의 횡령 사건을 적발하는 데는 한계가 있으며 회사 자체적으로 감사 및 내부 통제 역량을 키울 필요성이 크다는 점을 보여준다.
우선 동일 업무를 하는 장기 근로자에 대한 관리 감독을 강화할 필요가 있다. 이를 위해 금감원은 순환 보직과 명령 휴가제3 의 실효성을 높이기로 했다. 이번 사건의 경우 A 씨는 10년 이상 동일 업체 관련 업무를 장기 관리했으며 그동안 한 번도 명령 휴가 대상에 선정되지 않았다. 앞으로 은행들은 순환 근무 대상 직원 중 본점 5년, 영업점 3년 이상의 장기 근무자의 비율을 현재 10%대에서 5% 이하로 관리하고, 현재 부서장 재량으로 가능했던 장기 근무 승인 권한을 인사 담당 임원으로 상향하기로 했다. 또 그동안 각종 예외를 들어 사실상 형식적으로 운영돼 온 명령 휴가 제도의 대상자를 확대하고 장기 근무자를 반드시 포함시키기로 했다.
다음으로 사고 위험이 큰 영역을 중심으로 통제 역량을 집중시키는 표적 리스크 관리를 강화해야 한다. 사실상 경영 환경이 빠르게 변화하는 가운데 기업이 모든 업무를 같은 수준으로 관리하는 것은 불가능하며 비효율적이다. 부정 위험의 체계적인 평가를 통해 사고가 자주 발생하는 곳을 위주로 상시 모니터링과 불시 감사를 강화할 필요가 있다. 이번 사건의 경우 A 씨는 기업 구조 조정 과정에서 발생한 공동 자금의 경우 은행과 채권단의 검증 절차가 미비하다는 점을 악용했다. 기업은 그 밖의 계좌 혹은 업무에서도 유사한 성격의 사고가 발생할 위험이 있는지를 파악하고 효과적인 관리 방안을 보강할 필요가 있다. 박현출 삼일PwC 파트너는 “모든 부정 위험을 제거하고자 하는 것은 비용 대비 효과 측면에서 적절하지 않으며 주요 부정 위험을 고려한 관리 체계를 설계해야 한다”며 “조직에서 발생할 수 있는 부정 위험을 평가하고 개연성 높은 부정 사고의 징후를 포착하는 상시 모니터링 체계 및 시스템을 갖춰야 한다”고 말했다.
부정 사고를 사전에 예측하는 것은 굉장히 어려운 일이다. 그럼에도 불구하고 부정행위의 사후 적발이 늦어지면서 그로 인한 피해의 심각성이 더 커진다는 점을 감안해 선행 혹은 동행적 관점에서 부정 징후를 탐지하려는 노력 또한 필요하다. 현재 국내 금융회사들이 이상 거래 탐지시스템(FDS)을 갖추고 있지만 대부분이 개별 거래 건 데이터를 중심으로, 단순한 룰(rule) 기반의 기법으로 운영돼 예외 및 이상 징후를 탐지하는 데 한계가 있다. 박현출 파트너는 “글로벌 금융회사들은 거래 내역뿐 아니라 거래를 일으키는 행위자인 임직원 관련, 예컨대 직위, 역할, 행태 관련 정보를 다차원적으로 분석하는데 그 기법 또한 인공지능(AI)과 모델링 등으로 고도화하고 있다”며 “계약서와 e메일 등 각종 텍스트와 회의 내용 등의 보이스 같은 비정형 정보까지 수집, 분석해 사고 징후 탐지에 활용하기도 한다”고 설명했다.
마지막으로, CEO를 포함한 경영진의 내부 통제에 대한 인식이 바뀌어야 근본적인 변화가 가능할 것이다. 경영진이 수익성 중심의 경영에 집중하다 보면 내부 통제가 상대적으로 우선순위에서 밀리기 쉽다. 흔히 내부 통제에 투입되는 인력, 경비 등이 투자가 아닌 비용으로만 인식되는 이유다. 내부 통제를 두고 각종 법률에서 정하는 요건만 충족하면 된다는 식의 최소주의와 형식주의적인 인식도 팽배하다. 조직원 또한 영업 실적 및 업무상 편의를 빌미로 내부 통제 관련 법규 준수에 소홀하거나 사건이 발생하면 적극 해결하기보다 봉합하는 데 급급한 경우가 많다. 내부 통제의 조직 문화는 결국 경영진의 인식 변화에서 출발한다. 내부 통제란 조직의 구성원을 못 믿어서 감시하는 것이 아니다. 구성원이 제반 업무 처리와 행위와 관련해 기준과 절차를 잘 지켰는지의 합리적 의심을 통해 장래 발생 가능한 리스크를 줄이고 기업의 목표를 달성하기 위한 것이다. 우리은행의 이번 케이스는 업무 과정에서 내부 통제에 관한 ‘합리적 의심’이 이뤄지지 않았으며 사후적으로도 거래의 완결성을 확인하는 절차까지 없었다는 점에서 내부 통제에 크나큰 결함을 드러냈다. 2022년에 우리은행 외에도 다양한 횡령 사건이 언론 지면을 장식했다. 이러한 불행한 사건들을 반면교사 삼아 모든 기업이 조직의 부정 위험 관리 체계 전반을 철저히 돌아봐야 할 때다.
배미정 기자 soya1116@donga.com
이규열 기자 kylee@donga.com
기업 내부자에 의한 부정 사고의 적발이 늦어지면서 사고 피해 금액도 커지는 추세다. 기업의 신뢰를 잃어버리는 데 따른 무형의 손실은 훨씬 더 크다. 부정 사고를 사전에 방지하려면 어떻게 해야 할까? 우리은행 직원의 700억 원대 횡령 케이스가 주는 교훈은 다음과 같다.
1. 동일 업무의 장기 근로자에 대한 관리 감독을 강화해야 한다. 대형 사고는 평판이 좋아 전혀 의심을 받지 않던 직원으로부터 발생한다.
2. 부정 위험 평가를 통해 사고 위험이 큰 영역을 중점으로 통제 역량을 집중시키는 표적 관리를 강화해야 한다.
3. 다차원적인 데이터와 선진 기법을 활용해 부정 징후를 탐지하는 상시 모니터링 시스템을 고도화해야 한다.
4. 내부 통제를 투자가 아닌 비용, 최소주의와 형식주의 관점에서 바라보는 경영진의 인식이 바뀌어야 한다.
2022년 4월, 우리은행의 직원 한 명이 가족과 공모해 700억 원대의 횡령을 저지른 사실이 밝혀졌다. 자금 관리가 핵심인 금융회사에서, 그것도 8년에 걸쳐 거액의 횡령이 벌어졌는데도 첫 횡령 이후 사건이 발각되기까지 10년 동안 아무도 알아채지 못했다는 사실은 경영계에 큰 충격을 줬다. 금융회사의 내부 통제에 심각한 허점이 있음이 드러난 것이다.
금융감독원 조사 결과 이번 횡령 사건은 크게 여덟 차례에 걸쳐 진행됐는데 지난 9월30일 서울중앙지법은 그중 세 차례에 걸쳐 614억 원에 달하는 횡령 사건을 저지른 A 씨와 공범인 그의 동생에게 각각 징역 13년, 10년을 선고했다. 이 세 차례의 사건은 시간이 지날수록 액수가 커지고 수법이 진화한 것이 특징이다. 만일 횡령이 처음 벌어졌을 때 내부 통제 장치가 제대로 작동했더라면 사건이 더 커지는 것을 막을 수 있지 않았을까 하는 안타까움이 남는다.
이는 비단 우리은행만의 문제가 아니다. 금융감독원에 따르면 2022년 상반기에 발생한 금융권 전체의 횡령 관련 사고 금액은 747억 원(28건)으로 2021년 연간 사고 금액 180억 원(47건) 대비 4배가량 증가했다. 사고 건수는 감소하고 있지만 금액 규모는 급격히 증가하는 추세다.
사실 기업 경영상 외부 혹은 내부로부터 부정행위(fraud)의 발생 가능성은 항상 존재하며 가능성을 원천적으로 차단하는 것은 불가능하다. 하지만 사전에 부정 위험을 선제적으로 탐지하고 관리하는 내부 통제 시스템을 철저히 갖추면 부정행위와 더불어 그에 따른 조직의 피해도 크게 줄일 수 있다. 이번 사건은 횡령에 따른 재산상의 손해도 손해지만 그보다도 기업의 신뢰를 심각하게 훼손한 무형의 손실이 훨씬 더 컸다.
최근 국내외 경기 침체의 여파로 기업 구조 조정, 소득 감소 등 경제적 압박이 커지면서 기업에서 부정이 발생할 개연성이 높아지고 있다. 또 경영 환경의 변화에 따른 거래의 복잡성으로 인해 내부 통제의 어려움도 커지고 있다. 선제적인 부정 예방과 탐지의 노력이 더욱 요구되는 시점이다.
이번 글에서는 우리은행 횡령 사건에 관해 지난 9월 법원이 내놓은 1심 판결문과 금융감독원 보도 자료 등의 내용을 토대로 횡령의 발생 원인과 내부 통제의 문제를 정리하고 그로부터 개선 방안을 도출하고자 한다.
1. 횡령은 어떻게 가능했나?
- 셀프 결재에서 문서 위조까지
이번 횡령 사건은 크게 2012년과 2015년, 2018년 세 차례에 걸쳐 벌어졌다. 2012년 첫 번째 횡령 당시 본점 기업개선부의 서무로 근무한 A 씨는 업무와 관련된 통장과 도장을 보관하고 관리했다. 그가 관리하던 통장 중에는 2011년 이란 가전 업체 ‘엔텍합’이 ‘대우일렉트로닉스’ 인수를 위해 지급한 계약금 578억 원도 있었다. 최종 계약이 무산되면서 대우일렉트로닉스 채권단과 엔텍합 간에 계약금을 두고 소송이 벌어지던 와중이었다. 동생의 사업 자금 조달과 채무 변제를 위해 A 씨는 당시 소송으로 인해 계약금 중 일부를 ‘법원 공탁금’으로 내야 한다는 명목으로 본점 영업부에 가서 173억3000만 원을 자기앞수표로 출금했다. 본인이 통장과 도장을 모두 관리하고 있었기에 인출 과정에서 어떤 제약도 없었다. 그는 본인의 계좌로 입금하면 금감원이나 금융정보분석원(FIU)에서 횡령을 의심할 수 있다는 판단하에 동생 명의 계좌에 전액을 입금하는 치밀함도 보였다.
그런데 이후 3년여간 A 씨는 범행을 들키기는커녕 심지어 과장으로 승진하며 같은 계좌를 계속 관리했다. 2015년 두 번째 횡령 때는 통장과 도장을 다른 직원이 관리하고 있었기에 상사의 허락이 필요했다. A 씨는 상사에게 ‘신탁예치금 전환’ 목적으로 출금해야 한다며 148억1000만 원을 수표로 출금해 같은 방식으로 빼돌렸다. 하지만 이번에는 출금 5일 후 상사가 출금에 대한 추가 보고를 요구했다. 그러자 A 씨는 근거를 만들기 위해 문서를 조작하기에 이른다. 자신의 컴퓨터에서 “기존 법원예치금(173억3000만 원)과 148억1000만 원을 신탁예치했음을 확인한다”는 내용의 문서를 만들어 출력한 뒤 기존에 갖고 있던 해당 신탁업체 대표이사 명의의 문서 사본의 제목, 본문, 전화란에 풀로 붙인 다음 복사해 위조문서를 만들었다. 조잡한 방식의 위조였지만 아무도 의심하지 않았다.
그 이후에도 2년 넘게 A 씨는 승승장구하며 2017년 차장으로 승진해 같은 업무를 이어갔다. 세 번째 횡령을 저지르기에 앞서 승진 후 부서가 바뀌면 횡령 사실이 드러날 것을 우려한 그는 ‘금융위원장’ 명의의 공문서까지 위조한다. 위조 방식은 앞서와 똑같았다. 본인이 ‘비공식 TFT의 일원으로 2급 기밀을 취급하므로 2018년 말까지 인사이동, 업무 변동이 없도록 요청한다’는 내용의 문서를 프린트해 기존에 보관하고 있던 금융위원장 명의 문서 사본의 본문, 날짜란에 풀칠해 복사했다. 그리고 2018년 해당 계좌의 마지막 남은 잔액 293억1000만 원을 전부 빼돌렸다. 이번에도 이전과 마찬가지 방식으로 상급자에게 ‘잔액을 캠코에 이관해야 한다’는 내용의 캠코 사장 명의의 문서를 위조하고 상급자에게 보고했다. 이번에 빼돌린 돈을 입금하기 위해 A 씨의 동생은 ‘대우일렉트로닉스’의 앞 글자를 딴 유한회사를 만들기까지 했다.
이처럼 2012년부터 세 차례에 걸쳐 이뤄진 A 씨의 범행은 2022년 우리은행이 엔텍합에 계약금을 돌려주기 위해 계약금 상태를 확인하면서 10년 만에 적발됐다. 그동안 엔텍합 측이 계약금을 돌려달라며 한국 정부를 상대로 ‘투자자-국가 간 소송(ISD)’을 제기해 2019년 말 최종 승소했지만 국제사회의 대이란 제재 탓에 계약금 계좌가 동결된 상태였다. 그런데 2022년 미국 재무부의 허가로 계약금 송금이 가능해지면서 뒤늦게 돈이 사라진 사실이 발견된 것이다. 그동안 A 씨와 동생은 횡령 자금의 절반 가까이를 이미 옵션거래로 잃었으며 일부는 해외에 설립한 페이퍼컴퍼니로 빼돌렸다. 이에 법원은 금융기관 직원으로서 가져야 할 윤리 의식을 저버리고 여러 문서를 위조하는 등의 불량한 방식으로 범죄를 저질러 회사 시스템 자체에 대한 신뢰를 위협한 A 씨에게 징역 13년, A 씨의 동생에게 징역 10년의 중형을 선고했다.
2. 무엇이 횡령을 유발했나?
- 부정의 ‘기회’와 그것을 실현시킨 ‘역량’
조직의 신뢰를 받는 화이트칼라 직종의 종사자들이 횡령죄를 저지르게 되는 이유는 무엇일까? 이를 설명하기 위해 범죄학자 도널드 R.크레시는 실제 횡령죄로 수감 중인 범죄자 200명을 대상으로 면접 조사한 결과를 바탕으로 ‘부정의 삼각형(Fraud Triangle)’ 이론을 내놨다. 그에 따르면 경제적 어려움, 회사에 대한 불만 등의 ‘동기(Incentive)’, 내부 통제의 공백 등에서 비롯한 부정을 저지를 수 있는 ‘기회(Opportunity)’, 행위자가 부정행위를 스스로 ‘합리화(Rationalization)’하는 태도 등의 3가지 요인이 부정을 유발한다.
이번 횡령 사건에서는 부실한 내부 통제 관행이라는 ‘기회’ 요인의 영향이 컸다. 통장과 직인의 관리자가 분리돼 있지 않고, 수기 결재 문서에 대한 검증이 이뤄지지 않는 등 자금 인출과 관련된 증빙과 결재 절차 등이 미비하다는 점이 횡령의 기회가 됐다. 기존 공문서 사본에 풀로 덧붙여 복사하는 식의 조잡한 위조 방식이 통할 정도였다. 본점 영업점에서 거액의 자금이 인출되는 과정에서 별도의 확인 혹은 검증 절차가 없었던 것도 문제다. 자금 인출 시 거쳐야 하는 기안-직인 날인-지급 시스템이 상호 연계돼 있지 않은 탓에 거래 실재성의 확인 없이 자금이 인출될 수 있었다. 특히 이번 사건과 관련된 계좌는 소송으로 인해 계약금이 묶여 거래가 사실상 중지돼 있었다. 이런 동결 계좌가 갑자기 해제된 경우에 대한 별도의 확인 등 알람 조치가 없었다는 것도 아쉬운 부분이다.
여러 가지 부실한 내부 통제 관행도 문제였지만 무엇보다 이번 사건에서 주목할 점은 A 씨가 그런 내부 통제의 사각지대를 파악하고 횡령에 활용할 수 있는 위치에 있었다는 점이다. 데이비드 울프(David T. Wolfe)와 다나 허만슨(Dana R. Hermanson)은 부정의 삼각형 이론의 3가지 요인 중에서 ‘기회’를 실행으로 옮길 수 있는 부정행위자의 역량(Capability)을 네 번째 중요한 부정 유발 요인으로 꼽으며 부정의 다이아몬드(Fraud Diamond) 이론(그림1)을 제시했다. 이 이론의 핵심은 아무리 기회 요인이 존재한다고 하더라도 결국 그것을 잘 활용할 수 있는 직위(position) 및 직능(function)에 있거나 내부 통제의 약점을 활용할 지능(intelligence)과 창의력(creativity), 이기심(ego) 등을 가진 사람이 부정을 저지른다는 것이다. 특히 장기간 대규모로 이뤄지는 횡령에서 ‘역량’은 굉장히 중요한 역할을 한다.1
닫기A 씨가 이런 범죄를 기획할 수 있었던 이유도 같은 부서에서 10년 가까이 같은 업무를 하면서 해당 계좌에 관한 업무를 자세히 파악하고 있었기 때문이다. 심지어 그는 8년에 걸친 횡령 기간, 같은 업무를 하면서 과장과 차장으로 승진했으며, 2015년 말에는 해당 업무를 잘 수행했다는 취지로 금융위원장의 표창을 받기까지 했다.2 한마디로 부실한 내부 통제도 문제지만 A 씨였기 때문에 오랜 업무적 평판을 바탕으로 느슨해진 외부의 감시망을 이용해 장기간에 걸쳐 횡령을 저지를 수 있었던 것이다.
3. 횡령 사고, 어떻게 막을까?
- 선제적 부정 위험 관리 체계의 필요성
끊이지 않는 내부자에 의한 횡령 사고, 어떻게 막을 수 있을까? 최근 금융 사고는 이번 우리은행 케이스와 마찬가지로 사고의 발생 직후 사후 적발까지 시간이 오래 걸리며 그에 따라 사고 금액도 커지는 경향을 보인다.
금융감독원에 따르면 2017년부터 2022년 6월까지 은행에서 벌어진 금전 사고 207건이 적발되기까지 걸린 시간은 평균 18.3개월이었다. 그런데 사고 금액이 10억 원 이상인 26건의 거액 금융 사고의 경우 적발되기까지 걸린 시간이 무려 37.7개월로 2배 이상 길었다. 이런 사고를 은행이 자체적으로 적발한 비중은 전체의 42%였는데 10억 원 이상 거액 금융 사고의 경우 자체 감사에서 적발한 비중은 15.4%에 불과했다. 이런 통계는 외부 감독기관의 수검으로 거액의 횡령 사건을 적발하는 데는 한계가 있으며 회사 자체적으로 감사 및 내부 통제 역량을 키울 필요성이 크다는 점을 보여준다.
우선 동일 업무를 하는 장기 근로자에 대한 관리 감독을 강화할 필요가 있다. 이를 위해 금감원은 순환 보직과 명령 휴가제3 의 실효성을 높이기로 했다. 이번 사건의 경우 A 씨는 10년 이상 동일 업체 관련 업무를 장기 관리했으며 그동안 한 번도 명령 휴가 대상에 선정되지 않았다. 앞으로 은행들은 순환 근무 대상 직원 중 본점 5년, 영업점 3년 이상의 장기 근무자의 비율을 현재 10%대에서 5% 이하로 관리하고, 현재 부서장 재량으로 가능했던 장기 근무 승인 권한을 인사 담당 임원으로 상향하기로 했다. 또 그동안 각종 예외를 들어 사실상 형식적으로 운영돼 온 명령 휴가 제도의 대상자를 확대하고 장기 근무자를 반드시 포함시키기로 했다.
다음으로 사고 위험이 큰 영역을 중심으로 통제 역량을 집중시키는 표적 리스크 관리를 강화해야 한다. 사실상 경영 환경이 빠르게 변화하는 가운데 기업이 모든 업무를 같은 수준으로 관리하는 것은 불가능하며 비효율적이다. 부정 위험의 체계적인 평가를 통해 사고가 자주 발생하는 곳을 위주로 상시 모니터링과 불시 감사를 강화할 필요가 있다. 이번 사건의 경우 A 씨는 기업 구조 조정 과정에서 발생한 공동 자금의 경우 은행과 채권단의 검증 절차가 미비하다는 점을 악용했다. 기업은 그 밖의 계좌 혹은 업무에서도 유사한 성격의 사고가 발생할 위험이 있는지를 파악하고 효과적인 관리 방안을 보강할 필요가 있다. 박현출 삼일PwC 파트너는 “모든 부정 위험을 제거하고자 하는 것은 비용 대비 효과 측면에서 적절하지 않으며 주요 부정 위험을 고려한 관리 체계를 설계해야 한다”며 “조직에서 발생할 수 있는 부정 위험을 평가하고 개연성 높은 부정 사고의 징후를 포착하는 상시 모니터링 체계 및 시스템을 갖춰야 한다”고 말했다.
부정 사고를 사전에 예측하는 것은 굉장히 어려운 일이다. 그럼에도 불구하고 부정행위의 사후 적발이 늦어지면서 그로 인한 피해의 심각성이 더 커진다는 점을 감안해 선행 혹은 동행적 관점에서 부정 징후를 탐지하려는 노력 또한 필요하다. 현재 국내 금융회사들이 이상 거래 탐지시스템(FDS)을 갖추고 있지만 대부분이 개별 거래 건 데이터를 중심으로, 단순한 룰(rule) 기반의 기법으로 운영돼 예외 및 이상 징후를 탐지하는 데 한계가 있다. 박현출 파트너는 “글로벌 금융회사들은 거래 내역뿐 아니라 거래를 일으키는 행위자인 임직원 관련, 예컨대 직위, 역할, 행태 관련 정보를 다차원적으로 분석하는데 그 기법 또한 인공지능(AI)과 모델링 등으로 고도화하고 있다”며 “계약서와 e메일 등 각종 텍스트와 회의 내용 등의 보이스 같은 비정형 정보까지 수집, 분석해 사고 징후 탐지에 활용하기도 한다”고 설명했다.
마지막으로, CEO를 포함한 경영진의 내부 통제에 대한 인식이 바뀌어야 근본적인 변화가 가능할 것이다. 경영진이 수익성 중심의 경영에 집중하다 보면 내부 통제가 상대적으로 우선순위에서 밀리기 쉽다. 흔히 내부 통제에 투입되는 인력, 경비 등이 투자가 아닌 비용으로만 인식되는 이유다. 내부 통제를 두고 각종 법률에서 정하는 요건만 충족하면 된다는 식의 최소주의와 형식주의적인 인식도 팽배하다. 조직원 또한 영업 실적 및 업무상 편의를 빌미로 내부 통제 관련 법규 준수에 소홀하거나 사건이 발생하면 적극 해결하기보다 봉합하는 데 급급한 경우가 많다. 내부 통제의 조직 문화는 결국 경영진의 인식 변화에서 출발한다. 내부 통제란 조직의 구성원을 못 믿어서 감시하는 것이 아니다. 구성원이 제반 업무 처리와 행위와 관련해 기준과 절차를 잘 지켰는지의 합리적 의심을 통해 장래 발생 가능한 리스크를 줄이고 기업의 목표를 달성하기 위한 것이다. 우리은행의 이번 케이스는 업무 과정에서 내부 통제에 관한 ‘합리적 의심’이 이뤄지지 않았으며 사후적으로도 거래의 완결성을 확인하는 절차까지 없었다는 점에서 내부 통제에 크나큰 결함을 드러냈다. 2022년에 우리은행 외에도 다양한 횡령 사건이 언론 지면을 장식했다. 이러한 불행한 사건들을 반면교사 삼아 모든 기업이 조직의 부정 위험 관리 체계 전반을 철저히 돌아봐야 할 때다.
배미정 기자 soya1116@donga.com
이규열 기자 kylee@donga.com
-
배미정 | 동아일보 기자
soya1116@donga.com
이 필자의 다른 기사 보기
인기기사
