[이코노미스트 정동진 기자] 국내 증권업계에서는 대규모 전산 장애나 금융사고가 터질 때마다 유사한 패턴이 반복된다. 사고 수습과 피해 보상 논의가 끝나면 감독당국은 강도 높은 제재를 예고하고 책임자 처벌에 집중한다. 하지만 법적 근거의 모호성을 둘러싼 논란은 끊이지 않고, 근본적인 재발 방지책 마련으로는 이어지지 못하는 사후약방문식 대응에 그친다.  
 
뉴욕·런던·도쿄 등 글로벌 금융 중심지의 대응은 사뭇 다르다. 금융 선진국에서의 내부통제 실패는 단순히 여론의 질타나 정치적 논란의 대상이 아니다. 처벌 수위는 법적 프레임워크에 따라 명확하게 규정되고, 그 대가는 개인과 조직 모두에게 천문학적인 벌금과 법적 책임으로 돌아온다. 

이는 금융사고를 바라보는 근본적인 시각 차이에서 비롯된다. 글로벌 규제 당국은 복잡한 금융 시스템에서 모든 사고를 완벽히 막는 것은 불가능하다고 전제한다. 대신 기업과 경영진이 사고를 예방하기 위해 합리적인 노력을 다했는지를 집요하게 파고든다. 즉 글로벌 스탠더드는 ‘어떻게 하면 사고를 막고, 사고 발생 시 피해를 최소화하도록 구조화할 것인가’라는 사전적 리스크 관리 모델에 초점을 맞추고 있다.

미국, ‘실패 비용’ 기업에 전가
 
미국 규제 모델의 핵심은 ‘실패 비용의 외부화’다. 시스템 실패로 인한 사회적 비용을 기업에 천문학적인 벌금으로 되돌려줘 기업 스스로 위험을 관리하도록 강제하는 방식이다. 그 초석은 1934년 증권거래법에 명시된 감독자 책임(Supervisor Liability) 원칙이다. 이 원칙은 위법 행위가 발생했을 때 회사가 견고한 감독 시스템을 사전에 구축하고 합리적으로 운영했음을 입증하지 못하면 최고경영진까지 책임을 지도록 규정한다.   

이러한 철학은 자율규제기구인 금융산업규제기구(FINRA)의 구체적인 규정들(Rule 3110·3120·3130)과 증권거래위원회(SEC)의 시스템 규정준수 및 무결성 규정(Regulation SCI)을 통해 구체화된다. FINRA는 ▲서면화된 감독 절차 ▲위험 기반의 점검 시스템 ▲CEO의 연간 내부통제 인증 등을 구체적으로 요구한다. 

지난 2020년 3월 주식거래 앱 로빈후드(Robinhood)의 시스템 중단 사태에 대한 제재가 대표적이다. 2021년 FINRA는 해당 문제에 대해 7000만달러(약 966억원)의 제재금을 부과했다.

FINRA의 조사는 단순한 서버 다운을 넘어 로빈후드의 사업 모델 전반에 걸친 감독 실패를 겨냥했다. 구체적으로 ▲부적격 투자자에게 위험성 높은 옵션 거래를 허용한 부실 심사 ▲고객 계좌의 현금 잔고나 마진콜(추가 증거금 요구) 상황에 대해 부정확한 정보를 제공한 행위 ▲시스템 중단 사태에 대응할 수 없는 형식적인 사업 연속성 계획(BCP) 등이 모두 위반 사항으로 지적됐다.

주목할 점은 제재의 내용이다. 약 7000만달러 중 5700만달러는 벌금이었다. 나머지 1260만 달러는 피해를 본 고객에 대한 직접적인 배상으로 명령됐다. 이는 기업에 징벌적 제재를 가하는 동시에 투자자가 복잡한 소송 없이도 직접적인 피해를 구제받을 수 있는 길을 열어준다는 점에서 미국 모델의 강력함을 보여준다.

미국 SEC의 최근 행보 역시 이러한 기조를 명확히 보여준다. SEC는 2023~2024년 걸쳐 임직원들이 개인 스마트폰의 왓츠앱(WhatsApp) 등 승인되지 않은 채널을 통해 업무 관련 소통을 한 오프채널 통신 기록을 보존하지 못한 수십 개의 증권사에 대해 총 6억달러(약 8280억원)가 넘는 막대한 벌금을 부과했다. 이는 기술적 실패나 정보 보안의 허점이 단순한 기록 보관 규정 위반을 넘어 기업의 공시 의무 및 내부통제와 직결되는 중대한 법적 리스크임을 분명히 했다.

영국·일본, 책임 명확화·산업 전반 대응
 
영국 금융 당국 역시 2008년 글로벌 금융위기 이후 고위 경영진 및 인증 제도(SMCR)라는 칼을 빼 들었다. 이 제도의 목표는 누가 무엇에 대해 책임지는가를 명확하게 문서화해 문제가 발생했을 때 누구도 책임을 회피할 수 없도록 만드는 것이었다.   

이에 따르면 금융사는 책임 기술서와 책임 지도를 통해 모든 핵심 업무에 대한 책임 소재와 보고 체계를 명확하게 규정하고 감독 당국에 제출해야 한다. 고위 경영진은 자신의 책임 영역에서 규제 위반이 발생하지 않도록 합리적인 조치를 취했음을 입증해야 한다.   

SMCR이 어떻게 작동하는지를 가장 극적으로 보여준 사례는 2018년 TSB 은행의 IT 시스템 이전 실패 사건이다. 이 사건은 기관에 대한 거액의 벌금(약 890억원)뿐 아니라 프로젝트를 책임졌던 전직 최고정보책임자(CIO) 카를로스 아바르카에게 개인적으로 8만파운드(약 1억5000만원)의 벌금을 부과하는 것으로 이어졌다.   

한편 일본의 내부통제 시스템은 거액의 징벌적 벌금보다는 행정 지도에 초점을 맞추고 있다. 이러한 방침은 2025년 5월 해커들이 온라인 증권 계좌를 탈취해 5000억엔 이상의 불법 거래를 감행한 사건에서 잘 드러났다. 해커들은 피싱 공격으로 탈취한 로그인 정보로 계좌에 접근한 후, 기존 주식을 매도한 자금으로 소형주를 집중 매수해 펌프 앤 덤프 수법으로 주가를 인위적으로 부양시킨 뒤 이를 매도했다.

일본 금융청은 특정 기업을 처벌하기보다는 산업 전체의 방어 수준 강화에 주력했다. 이를 위해 즉시 경보를 발령하고 다중 인증(MFA) 도입을 의무화했으며, 서비스 중단까지 검토하는 강력한 조치를 취했다. 또한 증권사들에게 피해 고객 보상을 지시해 주요 증권사 10곳이 보상 방침을 발표했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지