"내부통제"에 대한 통합검색 결과
통합검색(42)
경제(28)
검색결과 총 42건
‘엔화 반값 거래’ 사고…금감원, 토스뱅크 현장점검 착수 금융당국이 엔화 환전 과정에서 ‘반값 거래’ 오류가 발생한 토스뱅크에 대해 현장 점검에 나선다.금융권에 따르면 금융감독원은 11일 토스뱅크를 대상으로 환전 오류 발생 원인과 거래 규모, 피해 상황 등을 확인하기 위한 현장 점검에 착수한다.이번 점검은 전날 토스뱅크 앱에서 발생한 환율 시스템 오류 때문이다. 7분간 ‘엔화 반값’ 환율 적용사고는 전날 오후 7시 29분부터 약 7분 동안 발생했다.해당 시간 동안 엔화 환전 시 100엔당 약 472원 수준의 환율이 적용됐다. 당시 정상 환율은 약 934원 수준이었다.이 때문에 자동 매수 주문이 체결되거나 환율 급락 알림을 보고 접속한 일부 이용자들이 낮은 가격에 엔화를 매수한 것으로 알려졌다.토스뱅크는 오류를 확인한 직후 엔화 환전 거래를 일시 중단했고, 약 2시간 뒤인 오후 9시경 서비스를 정상화했다.현재 금융권에서는 이번 오류로 인한 손실 규모가 약 100억 원대에 이를 것으로 추산하고 있다. 거래 취소 여부 쟁점금융당국과 토스뱅크는 오류 원인을 파악한 뒤 거래 취소 여부와 고객 보상 방안을 검토할 예정이다.과거 사례에서는 명백한 환율 오류일 경우 거래 취소가 적용된 사례가 있다.지난해 하나은행에서 베트남동 환율이 정상 가격의 10분의 1 수준으로 잘못 고시된 사고가 발생했을 때는 전자금융거래법 규정에 따라 거래가 취소됐다.다만 이번 사고처럼 환율이 절반 수준으로 잘못 표시된 경우에도 같은 조항을 적용할 수 있는지는 법적 검토가 필요하다는 의견이 나온다.금융권 관계자는 “10분의 1 수준은 명백한 오류지만 절반 수준의 환율은 법적으로 거래 취소 요건에 해당하는지 판단이 필요하다”며 “거래 취소 여부와 별도로 고객 보상 방안도 함께 논의될 가능성이 있다”고 말했다. 잇따르는 금융 시스템 오류금융권에서는 최근 시스템 오류 사고가 잇따르면서 관리 강화 필요성이 제기되고 있다.지난 2022년에는 토스증권 환전 서비스에서도 환율이 약 25분 동안 잘못 적용되는 사고가 발생한 바 있다.또 지난달에는 가상자산 거래소 빗썸이 이벤트 보상 지급 과정에서 단위를 잘못 입력해 수십만 개의 비트코인을 오지급하는 ‘유령 코인’ 사고도 발생했다.잇따른 오류 사고로 금융 서비스 시스템 안정성과 내부 통제 장치를 강화해야 한다는 지적이 금융권 안팎에서 나오고 있다. 
2026.03.11
빗썸, 직원 실수로 비트코인 62만개 오지급…금융당국 현장검사 착수 국내 가상자산 거래소 빗썸에서 직원 입력 실수로 대규모 비트코인이 잘못 지급되는 사고가 발생했다. 이벤트 당첨금을 지급하는 과정에서 단위 입력 오류가 발생하면서, 원화 대신 비트코인이 대량 입금되는 초유의 상황이 벌어졌다. 랜덤박스 이벤트 입력 오류, 62만개 비트코인 오지급7일 빗썸에 따르면, 전날 오후 7시께 진행된 ‘랜덤박스’ 이벤트에서 1인당 2천~5만원 상당의 당첨금을 지급하려다 단위를 잘못 입력했다. 이 과정에서 보유 포인트로 이벤트에 참여한 이용자 695명 가운데 랜덤박스를 개봉한 249명에게 총 62만원을 지급하려던 것이 62만개의 비트코인으로 잘못 처리됐다.당시 비트코인 1개 가격이 약 9천800만원 수준이었던 점을 고려하면, 1인당 평균 2천490개, 약 2천440억원 상당이 입금된 셈이다. 거래·출금 차단까지 40분…일시적 가격 급락빗썸은 사고 발생 20분 뒤인 오후 7시20분 오지급 사실을 인지했고, 7시35분부터 거래와 출금을 순차적으로 차단해 7시40분 조치를 마쳤다. 다만 이 과정에서 일부 이용자가 지급받은 비트코인을 즉시 매도하면서, 같은 날 오후 7시30분께 빗썸 내 비트코인 가격이 8천111만원까지 급락하는 상황이 발생했다. 회수율 99% 넘어…미회수분 약 125개회사 측은 오지급된 비트코인 가운데 99.7%에 해당하는 61만8천212개를 즉시 회수했다고 밝혔다. 이미 매도된 1천788개 가운데서도 93%를 추가로 회수했으며, 현재 남아 있는 미회수분은 약 125개 수준이다. 이날 오전 기준 비트코인 시세를 적용하면 약 133억원 규모다. 외부 거래소나 개인 지갑으로의 전송 사례는 확인되지 않았다. ‘유령 비트코인’ 논란 제기…회사 “보유 자산으로 정산”일각에서는 빗썸이 실제 보관 중인 수량을 넘어서는 비트코인을 지급했다는 점을 들어 ‘유령 비트코인’ 논란을 제기했다. 빗썸이 위탁 보관 중인 비트코인은 지난해 3분기 말 기준 4만2천619개로, 이번 오지급 수량과 큰 차이를 보이기 때문이다.이에 대해 회사 측은 고객 화면에 표시된 자산 수량과 지갑 내 보관 수량을 엄격한 회계 관리로 일치시키고 있으며, 이번 사고로 매도된 비트코인은 회사 보유 자산을 활용해 정산할 계획이라고 설명했다. 금융당국 현장검사 예고빗썸은 이날 새벽 사과문을 통해 고객 불편에 대해 유감을 표명하고, 시장 가격이 단시간 내 정상화됐으며 연쇄 청산을 막는 시스템도 정상 작동했다고 밝혔다. 외부 해킹이나 보안 침해와 무관하다는 점도 강조했다.금융당국은 사고 경위와 내부 통제 체계, 오지급 자산 회수 가능성 등을 확인하기 위해 현장검사에 나설 예정이다.
2026.02.07
‘퇴직연금 20년 만의 대수술’…전 사업장 의무화·기금형 도입 노사정 합의 앞으로 모든 사업장에 퇴직연금 도입이 단계적으로 의무화되고, 수익률 제고를 위한 새로운 운용 방식으로 ‘기금형 퇴직연금’이 본격 도입된다. 제도 도입 20여 년 만에 퇴직연금의 구조적 개선 방향에 대해 노사가 처음으로 공식 합의에 도달했다.‘퇴직연금 기능 강화를 위한 노사정 TF’는 6일 서울 여의도 켄싱턴호텔에서 이 같은 내용을 담은 공동선언문을 발표했다. TF에는 고용노동부를 비롯해 한국노동조합총연맹, 전국민주노동조합총연맹, 한국경영자총협회, 중소기업중앙회, 청년·전문가 등이 참여했다. 전 사업장 퇴직연금 의무화…단계적 시행노사정은 퇴직연금이 근로자의 노후소득 보장이라는 본래 목적을 제대로 수행하려면, 퇴직급여 수급권 보호와 제도 선택권 확대가 필요하다는 데 인식을 같이했다. 이에 따라 모든 사업장에 퇴직연금 도입(퇴직급여의 사외적립)을 의무화하되, 사업장 규모와 여건을 고려해 단계적으로 시행하기로 합의했다.구체적인 시행 단계와 시기는 영세·중소기업 실태조사 이후 결정된다. 현재 퇴직연금 도입률은 2024년 기준 26.5%에 불과하다. 300인 이상 사업장은 92.1%로 높은 반면, 5인 미만 사업장은 10.6%에 그친다.중도 인출이나 일시금 수령 등 근로자의 선택권은 현행 제도와 동일하게 유지된다. 과태료 부과나 중도 인출 제한 등은 이번 합의에 포함되지 않았다. 노사정은 사외적립 의무화가 중소·영세 사업장에 부담이 될 수 있다는 점을 인정하고, 정부의 재정·행정적 지원이 병행돼야 한다는 점도 명시했다. 기금형 퇴직연금 도입…계약형과 병행이번 합의의 또 다른 축은 ‘기금형 퇴직연금’의 본격 도입이다. 기금형은 특정 운용 주체가 사용자 납입금을 모아 공동 기금으로 운용하는 방식으로, 규모의 경제를 통해 수익률을 높일 수 있다는 평가를 받는다.실제로 근로복지공단이 중소기업 근로자를 대상으로 운영 중인 기금형 퇴직연금 ‘푸른씨앗’은 3년여간 누적 수익률 26.98%를 기록했다. 반면, 2005년 이후 국내 퇴직연금의 연평균 수익률은 2.07%에 그쳤다.노사정은 기존 계약형 제도와 기금형을 병행 운영할 수 있도록 하고, 하나의 사업장에서도 두 방식을 동시에 도입할 수 있도록 했다. 기금형은 확정기여형(DC형)에 우선 적용되며, 금융기관 개방형·연합형 신규 도입과 함께 공공기관 개방형 확대가 추진된다. ‘가입자 이익 최우선’ 수탁자 책임 명시공동선언문에는 퇴직연금이 근로자의 노후 급여인 만큼, 기금 운용 주체는 오직 가입자의 이익만을 위해 기금을 운용해야 한다는 ‘수탁자 책임’ 원칙도 담겼다. 이해상충 방지, 투명한 지배구조, 내부통제, 정부의 관리·감독 강화가 필수 요소로 제시됐다.노동부는 이 문구가 퇴직연금을 정부 정책 목적 등 다른 용도로 활용할 수 없다는 의미를 포함한다고 설명했다. 향후 1년 미만 근무 노동자 등 사각지대 해소 방안은 노사정 사회적 협의체를 통해 추가 논의하기로 했다.김영훈 노동부 장관은 “이번 공동선언은 퇴직연금 제도 도입 이후 20여 년간 풀지 못했던 핵심 과제에 대해 노사정이 처음으로 사회적 합의에 이른 것”이라며 “합의 사항이 제도로 구현될 수 있도록 관련 법 개정과 후속 조치를 적극 지원하겠다”고 밝혔다.
2026.02.06
신한카드 가맹점 대표 개인정보 19만건 유출...휴대전화번호 중심, 카드·계좌·주민번호 유출은 없어 신한카드 가 가맹점 대표자의 휴대전화번호 등을 포함한 개인정보 약 19만건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 23일 밝혔다.신한카드에 따르면 유출된 정보는 가맹점 대표자의 휴대전화번호 18만1천585건, 휴대전화번호와 성명 8천120건, 휴대전화번호·성명·생년·성별 2천310건, 휴대전화번호·성명·생년월일 73건 등으로, 총 19만2천88건에 이른다. 해당 정보는 신규 카드 모집 등의 과정에서 외부로 유출된 것으로 파악됐다. 신용정보·주민번호 유출은 확인 안 돼신한카드는 현재까지 조사 결과 주민등록번호를 포함한 고위험 개인정보와 카드번호, 계좌번호 등 신용정보 유출 정황은 확인되지 않았다고 설명했다. 가맹점 대표자 외 일반 고객 정보 유출과도 관련이 없다고 덧붙였다.이번 사고는 해킹 등 외부 침입이 원인이 아니라 일부 내부 직원이 신규 카드 모집 과정에서 저지른 일탈로 드러났다. 신한카드는 이로 인해 유출 정보가 다른 경로로 추가 확산할 가능성은 크지 않다고 밝혔다. 공익 제보로 드러난 유출이번 개인정보 유출은 공익 제보자가 가맹점 대표자의 개인정보 외부 유출 증거를 개보위에 신고하면서 확인됐다. 개보위는 지난달 12일 신한카드에 관련 자료 제출을 요청했고, 신한카드는 다음 날부터 제보 자료와 내부 자료를 대조하며 사실관계 확인에 착수했다. 사과문 게시·개별 안내 진행신한카드는 현재까지의 조사 결과를 홈페이지에 공지하고 사과문을 게시했다. 아울러 유출 대상 가맹점 대표자들에게 개별 안내를 진행하고 있으며, 본인의 정보 포함 여부를 확인할 수 있는 전용 조회 페이지도 운영 중이다.
2025.12.23
쿠팡, 청문회 앞두고 대표 교체 초강수…대륜·SJKP “본사 책임 규명은 이제부터” 쿠팡이 개인정보 유출 사태와 관련한 국회 청문회를 일주일 앞두고 대표 교체라는 초강수를 던지며 조직 수습에 나섰다. 박대준 대표의 사임과 미국 본사 쿠팡Inc의 해롤드 로저스 최고관리책임자(CAO) 임시대표 선임은 사태 초기 대응 실패와 지배구조 논란이 겹친 상황에서 모회사가 직접 전면에 나섰음을 의미한다. 경찰은 이틀째 강제수사로 압수수색을 이어가고 있고, 민관합동조사단의 조사도 진행 중이다. 여기에 오는 17일 예정된 국회 과방위 청문회에서는 김범석 쿠팡Inc 이사회 의장과 실무를 총괄하는 주요 임원들이 줄줄이 증인으로 채택되며 사태는 정치·사회적 책임 공방으로 확산됐다. 쿠팡은 비상체제에 돌입했고 대표 교체 이후 청문회 증인 명단에도 변동 가능성이 제기된다. 로저스 신임 대표는 미국에 체류 중이나 출석 요구 시 청문회 참석 의사를 밝힌 것으로 알려졌다. 내부에서는 로저스 대표가 김 의장과 긴밀히 소통해온 핵심 참모로, 기존보다 구체적이고 책임 있는 답변이 가능할 것이라는 전망도 나온다. 반면, 본사 인사를 전면에 배치한 만큼 김범석 의장의 출석 가능성은 오히려 낮아졌다는 분석도 있다. 한국에서 지배구조·대관조직·사후 대처 논란이 이어지는 가운데, 이번 대표 교체는 미국에서 진행 중인 법적 대응과도 맞물린다. 현재 쿠팡Inc는 한국 법무법인(유한) 대륜의 미국 현지 법인 로펌 SJKP가 제기하는 뉴욕 연방법원 집단소송(Class Action)의 직접 피고가 될 전망이다. 미국 소송 본격화…법무법인(유한) 대륜 & SJKP 대륜과 SJKP은 12월 9일(현지시간) 뉴욕 맨해튼에서 기자회견을 열고 쿠팡Inc를 상대로 징벌적 손해배상을 요구하는 집단소송을 제기하겠다고 밝힌 바 있다. 이는 한국에서 진행 중인 손해배상 소송과는 성격이 다르다.한국이 ‘피해자 보상’ 중심이라면, 미국은 상장사의 지배구조와 정보보안 의무 실패를 직접 묻는 구조다.김국일 법무법인(유한) 대륜 경영총괄대표는 “이번 사건의 핵심은 본사가 보안 의사결정·시스템 관리 과정에서 어떤 역할을 했는지 규명하는 것”이라며 법적 책임의 중심은 미국 본사에 있다고 강조했다. 미국 소송에서 가장 강력한 무기는 디스커버리(증거개시) 절차다. SJKP의 탈 허쉬버그 변호사는 “쿠팡 본사가 단순한 지주회사인지, 실제로 IT 인프라와 보안 의사결정을 통제했는지를 확인하는 단계”라며 향후 제출을 요구할 자료로 내부 이메일·메신저 기록, 서버 접속 로그 및 보안 예산 기록, 인사 시스템·내부 통제 구조, 이사회 회의록 및 경영진 보고 자료 등을 언급했다. 대륜과 SJKP는 “한국 수사기관이 접근하기 어려운 본사 내부 자료를 확보하는 것이 이번 사건의 스모킹 건에 해당한다”고 설명했다. 이는 청문회 발언과 별개로 미국 법원의 강제력을 통해 본사 책임을 규명하는 절차가 본격화됨을 의미한다.쿠팡Inc는 영국 파페치(Farfetch) 인수 이후 북미·유럽 사용자 정보를 보유하고 있으며, 한국에서는 R.LUX 브랜드로 럭셔리 플랫폼을 운영 중이다. SJKP는 “이들 정보 역시 유출됐을 가능성이 크다”며 해외 피해자 확보에 착수했다. 이번 사건은 단순히 한국 사용자 3천370만명 피해에 그치지 않고 글로벌 데이터 유출 사건으로 확대될 가능성이 있다.소장 제출 시점은 연내를 목표로 하고 있으며, 전략적 검토를 위해 시기를 조율 중이다. 대표 교체와 미국 소송, 서로 다른 방향에서 본사를 향해 압박한국에서는 청문회와 수사, 여론이 김범석 의장을 압박하고 있다. 미국에서는 대륜·SJKP가 본사의 지배구조와 위험관리 실패를 정면으로 겨누고 있다.대륜과 SJKP는 한국의 논란과 미국 소송의 방향성이 서로 다르지만 “모두 본사의 경영 판단 및 내부 통제 실패로 연결된다”는 점을 강조한다.따라서 대표 교체·청문회 증언·국내외 소송은 서로 독립적이면서도 동시에 본사 책임을 좁혀가는 구조로 작동할 전망이다.쿠팡은 “개인정보 유출로 깊은 심려를 끼쳐 죄송하다”며 보안 강화와 재발 방지 의지를 밝혔다. 그러나 청문회·수사·미국 소송이라는 삼중 압박 속에서, 대표 교체만으로 신뢰 회복이 가능할지는 불확실하다는 지적도 제기된다.
2025.12.10
대륜 미국 현지 법인 로펌 SJKP, 美서 쿠팡 본사 상대 집단소송 제기 쿠팡 개인정보 유출 사태가 미국 법정으로 확대된다. 한국 법무법인(유한) 대륜의 미국 현지 법인인 로펌 SJKP가 뉴욕에서 기자회견을 열고, 쿠팡의 미국 본사인 ‘쿠팡 아이엔씨(Inc.)’를 상대로 징벌적 손해배상 집단소송을 제기한다고 밝혔다. 개인정보 유출 피해 배상에 초점을 둔 한국 소송과 달리, 미국 소송은 상장사 공시의무와 지배구조 책임을 정면으로 다루게 된다. 한국은 ‘피해 보상’, 미국은 ‘상장사 책임’으로 구분김국일 법무법인(유한) 대륜 경영총괄대표는 이번 소송의 핵심을 “미국 상장사의 지배구조 실패와 정보보안 관리 의무 위반 여부”라고 설명했다. 그는 쿠팡 본사의 기업 구조와 의사결정 체계가 이번 유출 사태에서 어떤 역할을 했는지 규명하겠다는 입장이다. 현재 한국 소송에 참여한 약 200명이 미국 소송에도 동시 참여하고 있으며, 향후 미국 거주 소비자도 원고단에 포함될 예정이다. 본사 의사결정 추적…‘증거개시’가 핵심 무기SJKP 측 변호사 탈 허쉬버그는 “쿠팡 본사가 단순한 지주 형태를 넘어 IT 인프라 투자와 정보보안 의사결정을 관리했는지 그 인과관계를 확인하는 것이 목적”이라고 밝혔다. 미국 소송에서는 광범위한 증거개시 제도가 활용된다. 이를 통해 내부 이메일, 서버 보안 관련 기록, 보안 예산 의사결정 자료 등 본사 책임을 입증할 수 있는 자료 제출을 요구할 계획이다. 미국 시민도 원고 참여 가능…피해 범위 ‘글로벌’이번 소송은 한국 이용자 중심의 배상 구조에서 확장된다. 쿠팡 서비스를 이용한 미국 내 소비자도 원고단에 포함될 수 있어 피해 인정 범위가 글로벌 단위로 확대된다. SJKP는 연내 미국 뉴욕 연방법원에 소장을 제출하는 것을 목표로 하고 있다. T모바일·에퀴팩스 사례…징벌적 배상 전망 고조미국은 개인정보 유출에 대한 징벌적 배상이 강력하게 작동하는 시장이다. T모바일은 2021년 개인정보 유출 사건 이후 3억5천만 달러의 합의금을 내고, 보안 투자에 1억5천만 달러를 추가 투입했다. 에퀴팩스는 미국 성인 절반 이상의 신용정보를 유출해 가장 높은 수준의 합의금 7억 달러를 지급했다. 김 대표는 이와 같은 선례를 언급하며 쿠팡 본사의 지배구조와 위험관리 의무 위반을 근거로 책임을 묻겠다는 계획을 밝혔다. 플랫폼 시대, 지배구조 책임 논쟁으로 확산이번 소송은 단순한 해킹 피해 소송을 넘어 플랫폼 기업의 글로벌 지배구조 책임을 어디에 둘 것인지 묻는 사례가 될 가능성이 높다. 특히 미국 본사가 한국 법인의 의사결정과 보안 전략을 얼마나 통제했는지에 따라 책임 범위가 결정될 수 있어, 향후 국내외 플랫폼 기업에게 영향을 미칠 규범적 판단이 예상된다. 업계에서는 미국 현지 로펌과 한국 법무법인 간 추가 협업이 이어질 수 있다는 전망도 내놓고 있다. < 쿠팡 개인정보 유출 사건 ‘SJKP LLP’ 집단 소송 기자회견 질의응답 > Q1. 한국 소송을 신청한 피해자가 미국 소송을 병행하면 별도 비용이 발생하는가?A. 발생하지 않는다. 한국 소송을 위임하면 미국 소송도 자동으로 병행되며, 착수금·추가 비용 모두 없다. 미국 시민권자가 SJKP 홈페이지 또는 한국 법무법인(유한) 대륜을 통해 미국 소송만 신청하는 경우 역시 전액 무료다. 이번 사건은 한국 로펌이 주도해 뉴욕에서 제기하는 첫 사례이며, 피해자 비용 부담 없이 단계별로 진행된다. Q2. 한국 손해배상액은 소액이다. 미국 징벌적 손해배상 규모는 어느 정도인가?A. 한국 판결금은 피해가치에 비해 낮다. 미국은 소송 제기자뿐 아니라 피해 사실이 입증된 모든 피해자에게 배상이 이뤄지며 규모가 한국과 비교하기 어렵다. 특히 징벌적 손해배상은 기업 운영 방식 전체에 경종을 울리는 제도로, 악의성·중대 과실이 인정되면 매우 큰 금액이 선고될 수 있다. Q3. 피해 발생지는 한국인데 미국 모회사를 상대로 소송이 가능한가?A. 가능하다. 쿠팡 주식회사의 지분은 100% 미국 델라웨어 법인 Coupang Inc.가 보유한다. 서버 관리, 인사 시스템, 내부 통제의 최종 책임은 모회사에 있다. 한국에서 피해가 발생했더라도 보안 시스템을 설계·관리한 본사의 의무 위반에 대해 직접 책임을 묻는다. Q4. 이번 집단소송의 핵심 법적 근거는 무엇인가?A. 첫째, 데이터 감시·내부 통제 시스템의 미비다. 둘째, 사고 이후 본사 차원의 인정·복구 조치가 없었다는 점이다. 단순 유출뿐 아니라 사후 대처 과정에서의 경영진 판단 실패(failure of business judgment & fiduciary duty)도 주요 쟁점이다. 이 부분을 집중적으로 다룰 것이다. Q5. 공시의무 위반도 의심되는데, 왜 소비자 소송을 먼저 제기하나?A. 전략적 판단이다. 델라웨어 법원은 전통적으로 기업에 우호적이라 주주 소송의 문턱이 높다. 따라서 소비자 피해를 중심으로 뉴욕 등에서 먼저 관할을 확보한 뒤, 소송 진행 과정에서 주주 피해까지 확장하는 전략을 택했다. Q6. 미국 및 해외 피해자 상황은 어떠한가?A. 쿠팡 모회사는 영국 파페치(Farfetch) 등을 인수하며 북미·유럽 사용자 정보를 보유하고 있고 한국에서는 R.LUX 브랜드로 영업 중이다. 시스템 연동 과정에서 이들 정보도 유출됐을 가능성이 크다. 현재 해외 피해자를 확보하고 있으며 이를 소장에 포함할 계획이다. Q7. 한국 형사 고소와 미국 민사 소송은 어떻게 연결되는가?A. 한국은 국내 유출과 소비자 피해에 초점이 맞춰지지만, 미국은 본사의 관리·감독 책임, 즉 글로벌 거버넌스 실패를 다룬다. 쿠팡의 의사결정 주체는 미국 본사이며 보안·리스크 투자 권한도 미국에 있다. 미국 거주 피해자 보호를 위한 별도 절차도 필요해 두 소송은 상호 보완적이다. Q8. 한국 소비자가 미국 소송에 참여하려면 한국 소송을 반드시 해야 하나?A. 필수는 아니다. 미국 법원은 국적이 아니라 ‘누가 원인을 제공했는가’를 본다. 한국 거주자도 원고 적격성이 있다. 다만 한국 소송을 통해 구체적 피해 입증 자료를 확보하는 것이 전략적으로 유리해 양국 병행을 권한다. 미국 단독 소송은 미국 시민권자 등 특수 사안일 때만 적용한다. Q9. 동일 피해자인데 한국과 미국 양쪽에서 소송할 실익은 무엇인가?A. 핵심은 미국의 디스커버리(Discovery) 절차다. 한국 수사기관은 미국 본사의 내부 시스템 자료에 접근하기 어렵다. 하지만 미국 소송이 시작되면 이사회 회의록, 보안 투자 내역, 내부 보고 체계 등 핵심 자료를 강제로 제출시킬 수 있다. 이번 사건의 ‘스모킹 건’을 확보하는 유일한 경로다. Q10. 소장 제출 시점은 언제인가?A. 법적 최소 요건인 원고 40명은 이미 충족했고 현재 200명 이상 확보했다. 당장 제출 가능하지만 글로벌 피해자 모집 확대와 전략 보안 등을 이유로 시기를 조율 중이다. 목표는 연내 제출이다. Q11. 전체 배상 규모가 7억 달러라면 1인당 보상액은 낮지 않은가?A. 그런 구조가 아니다. 미국 집단소송 합의금은 전체 피해자가 아닌 소송 참여자(Class members) 기준으로 산정·분배된다. 과거 AT&T 정보 유출 사건에서는 1인당 약 60만 원 수준의 배상 사례도 있었다. 이번 사건의 규모는 아직 확정되지 않았지만 한국 소송보다 높은 수준이 예상된다. Q12. 미국 본사가 한국 서버에 접근 가능하다는 사실이 확인되었는가?A. 본사가 한국 시스템을 관리하고 있다는 정황은 파악했다. 그러나 이를 뒷받침할 결정적 자료(서버 로그 등)를 확보하려면 미국 디스커버리 절차가 필요하다. 이 때문에 미국 소송 제기가 필수적이다. Q13. 미국 법원이 관할권을 갖는 근거는 무엇인가?A. 사건이 초국경적(multinational)이다. 본사는 미국, 플랫폼은 한국, 보안 개발업체는 중국에 있다. 가해 주체와 데이터 관리 체계가 여러 국가에 걸쳐 있어 단일 국가 법원이 처리하기 어렵다. 미국 연방 법원의 포괄적 판단이 타당하다는 논리다. Q14. 소장에 포함될 혐의(Cause of Action)는 무엇인가?A. ①데이터 유출(Data Breach), ②소비자 보호법 위반(Consumer Protection), ③보안 의무 위반(Security Duty)이다. 주주 대상 공시 의무 위반도 존재하지만 우선은 소비자 피해에 집중하고, 이후 상황에 따라 혐의를 추가하거나 병합(MDL)하는 전략을 검토한다.
2025.12.09
[데스크 칼럼] 사내연애까지 잡아낸다고? ... GRC(거버넌스·리스크·컴플라이언스) 글로벌 비위 신고 산업 성장과 로펌의 변화 지난 10월 16일, 세계 최대 식품기업 네슬레가 2년 안에 전 세계 직원 1만6천 명을 줄이겠다고 밝혔다. 필리프 나브라틸 최고경영자(CEO)는 비용 절감 목표를 30억 스위스프랑(약 5조3천억 원)으로 상향 조정하며, 인사·회계·IT를 본사 중심으로 통합하고 공유 서비스와 자동화를 강화하겠다고 발표했다. 사실, 겉으로는 효율화를 위한 구조조정이지만 그 배경에는 조직 신뢰 회복, 윤리경영이라는 더 큰 과제가 숨어있다. 지난 9월 초 직속 부하 직원과의 부적절한 사내연애가 회사의 행동강령(Code of Business Conduct)을 위반했다는 이유로 로랑 플렉스 전 CEO을 전격 해임했다. 이어 2주만에 파울 불케 회장까지 조기 퇴진이 결정되었다. 해당 사안은 익명 제보 채널을 통해 접수된 내부 신고를 계기로 조사가 시작되었다. 보수적 기업문화로 알려진 네슬레가 보여준 것은 GRC 시스템을 통한 빠른 조사와 명확한 절차, 그리고 투명한 기록이었다. 익명 제보는 자동으로 GRC시스템에 등록되고, ‘중대한 사건’으로 분류되어 즉시 조사 단계로 전환됐다. 조사 전 과정은 이사회에 보고되고 표결을 거쳐 인사 조치가 이뤄졌다. 모든 결정의 근거와 책임은 GRC 시스템에서 진행되었고, 기록되었다. 네슬레의 비위신고 핫라인은 네덜란드 스피크업(SpeakUp)이 맡고 있다. 지난해 처리한 네슬레 관련 신고는 약 3천 건에 달했고, 그중 20%가 사실로 확인돼 100명이 넘는 직원이 회사를 떠났다.월스트리트저널(WSJ)은 이러한 비위신고·리스크 관리 산업의 글로벌 시장 규모가 현재 180억 달러(약 25조 원)에 이르렀다고 전하고 있다. 내벡스(Navex), EQS, 스피크업 같은 전문 업체들이 시장을 주도하고 있다. GRC와 기업 보안의 결합 미국에서는 2002년, 유럽에서는 2019년부터 상장기업의 신고 핫라인 운영이 의무화됐다. HR 어큐어티 조사에 따르면 임직원 1천 명 이상인 미국 기업의 90% 이상이 내부 신고 채널을 갖추고 있으며, 시장점유율 50%를 차지하는 내벡스(Navex)는 1만3천여 고객사를 보유하고 있다.이제 GRC는 윤리관리 시스템을 넘어 보안·데이터·AI 리스크까지 아우르는 기업의 핵심 인프라로 자리 잡고 있다. AI는 규정 위반과 보안 리스크를 조기에 감지하며, GRC는 그 투명성과 윤리성을 관리한다.워런 버핏은 “좋은 시스템은 1천쪽짜리 가이드북보다 낫다”며, 시스템의 목적은 통제가 아닌 문화를 지키는 일이라고 말했다.이제 기업의 하루는 다르다. 출근과 동시에 윤리 서약과 보안 점검이 시스템에 뜨고, 회의에서는 성과보다 리스크가 먼저 보고된다. 윤리와 기술이 맞물린 GRC의 톱니바퀴가 조직을 움직이고 있다. 법률시장의 대응이 흐름 속에서 로펌의 역할도 빠르게 바뀌고 있다. 국내외 주요 로펌들은 GRC 자문팀을 신설하며, 규제 대응·리스크 진단·내부 통제 설계를 아우르는 통합 자문을 제공하고 있다.변호사는 더 이상 사건이 발생한 뒤 법 조문을 해석하고 해결하는 전문가에 머물지 않는다. 데이터를 읽고 시스템을 설계하며, 조직의 ‘신뢰 프로토콜’을 관리하는 파트너로 역할이 확장되고 있다. 특히 글로벌 메가 로펌들은 ‘사건 이후 대응’에서 ‘사전 예방’으로 중심을 옮기고 있다. 일부 로펌은 AI를 리스크 관리 시스템에 연동해, 규제 변화와 내부 통제 문제를 실시간으로 감지하고 대응하는 체계를 갖추고 있다.예를 들어 Allen & Overy는 AI 계약 검토 시스템 ‘Harvey’를 도입해 리스크 탐지와 규제 문서 자동화를 실현했고, Sullivan & Cromwell은 AI 기반 리스크 분석팀을 운영해 각국의 규제 리스크를 조기 평가하고 있다.이러한 시도들은 GRC 자문과 직접 맞닿아 있으며, 법률 서비스가 기술·데이터·윤리 거버넌스를 포괄하는 형태로 진화하고 있음을 보여준다.법과 기술이 교차하는 지점에서 ‘GRC’는 새로운 법률 인프라로 자리 잡고 있다.우리나라 기업과 법률 시장 역시 이러한 변화에 대응해야 할 시점이다. 용어 설명 ; GRC(Governance·Risk·Compliance)기업이 조직의 지배구조(거버넌스), 위험관리(리스크), 규정준수(컴플라이언스)를 통합적으로 운영하기 위한 관리 체계다.윤리·보안·법규 등 다양한 리스크를 사전에 식별하고 대응함으로써 기업의 신뢰와 투명성을 높이는 것이 목적이다.최근에는 AI·데이터 보안·개인정보 보호까지 범위가 확장되며, 기업 경영의 핵심 인프라로 자리 잡고 있다.
2025.10.21
"개인정보 유출사고 반복 기업은 '징벌적 과징금'…노력 기업엔 인센티브" 정부가 SKT의 대규모 고객 유심(USIM) 정보 유출 사태를 계기로 같은 원인으로 개인정보 유출 사고가 반복되는 기업에는 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보보호를 위해 노력한 기업에는 인센티브가 주어진다. 개인정보보호위원회는 11일 '개인정보 안전관리 체계 강화 방안'을 발표했다. 이번 대책은 최근 SKT 고객정보 유출 사고에서 밝혀진 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다. 개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 '공격표면관리'를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다. 한편 평소부터 선제적 보호조치를 한 기업에는 과징금을 감경해주는 등 인센티브를 제공하고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다. 개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토한다. 기업 내부통제 강화를 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업에는 혜택을 부여한다. 전문 개인정보보호책임자(CPO) 지정 의무기관은 최소 1명 이상 개인정보보호 전담인력을 배치하도록 추진한다. 전문 CPO 지정 의무기관은 매출액 1500억원 이상, 100만명 이상의 개인정보를 처리하는 기업을 포함한다. 일반 기업과 상급종합병원, 대학, 주요 공공시스템 운영기관 등 700여 곳이다. 전체 정보화 예산의 10% 이상은 개인정보보호예산으로 확보한다. 예산 기준을 충족하면 인센티브를 주는 방식도 검토 중이다. 최고경영자(CEO)가 개인정보 보호와 위험 관리에 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 이사회 정기 보고, 직무 보장 등을 통해 실질적 권한을 행사하도록 한다. 양청삼 개인정보위 개인정보정책국장은 "CPO가 서비스의 코어망에 대해서도 폭넓게 접근할 수 있도록 하고, CPO 임명에 관해 일정한 절차를 두는 등 법률·시행령 개정을 추진하겠다"며 "CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서 해야 할 역할을 할 수 있게 하겠다"고 설명했다. 개인정보위는 CPO와 정보보호최고책임자(CISO) 겸직을 제한하는 것은 고려하고 있지 않다고 덧붙였다. 최장혁 개인정보위 부위원장은 "CISO하고 CPO의 업무를 딱 나누긴 어렵고 사실 두 분야가 힘을 합쳐야 되는 부분"이라며 "지금 상황에서 엄격하게 겸직 제한을 둘 이유는 없다고 생각한다"고 밝혔다. 공공부문에 의무화된 '개인정보 영향평가'도 민간에 적용하며, 클라우드 사업자·설루션 공급자 등 법적 사각지대 관리도 강화한다. 개인정보위는 같은 원인으로 반복 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입도 검토한다. 피해가 예상되면 실제 유출된 사람뿐만 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 과징금을 피해자 구제에 활용하는 방안도 추진한다. '개인정보 옴부즈만'을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업에는 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다. 개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다. 고학수 개인정보위원장은 "사업자들이 개인정보 보호를 위한 투자를 단순히 '불필요한 비용'으로 여기지 말고, 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식해야 한다"고 밝혔다.
2025.09.11
금융사고 급격히 증가…올해 5대 은행서 피해액 857억원↑ 반복되는 금융사고로 은행권이 골머리를 앓고 있다. 은행권이 내부통제를 강화하기 위한 대책을 매번 내놓고 있으나 사기에 휘말리거나 내부 직원 일탈로 인한 금융사고는 계속 늘어나는 추세다. 5대 은행 금융사고 피해액은 지난해부터 급증해 올해 들어 벌써 857억원을 넘은 것으로 나타났다. 은행들은 최근 내부통제 강화로 금융사고 적발 건수도 늘어난 측면이 있다면서 인공지능(AI) 기술을 활용해 이상 거래 탐지 시스템을 고도화하는 등 내부통제를 강화하겠다고 밝혔다. 12일 은행권에 따르면 5대 은행(KB국민·신한·하나·우리·NH농협)은 올해 13건의 금융사고를 공시했다. 피해 금액은 857억9900만원에 이른다. 하나은행에서는 5건의 금융사고가 발생했고 피해액도 488억4500만원으로 가장 많았다. 국민은행은 4건으로 110억9800만원, 농협은행은 2건으로 221억5100만원, 신한은행 2건으로 37억500만원 순이었다. 우리은행은 올해 사고 공시가 없었다. 은행권 금융사고는 지난해부터 급격히 증가했다. 5대 은행의 금융사고 건수를 확인해보면 2020년 51건에서 2023년 36건까지 줄었다가 지난해 86건으로 급증했다. 피해 금액은 2020년 약 59억원에서 2022년 약 822억으로 늘었다. 2022년 사고 건수는 40건으로 2020년보다 적었으나 우리은행에서 700억원대 직원 횡령 사고의 영향이 컸다. 2023년 피해액은 51억원으로 줄었지만 지난해에는 금융사고 건수가 증가하면서 1774억원까지 늘었다. 올해는 아직 상반기가 지나지 않았음에도 금융사고 13건, 피해액 857억9900만원으로 벌써 피해 금액이 지난해 1774억원의 절반을 넘어섰다. 공시된 금융사고(10억원 이상 금융사고) 기준인데, 공시하지 않은 금융사고도 더 있을 것으로 추정된다. 은행권에서는 최근 수년 새 내부통제가 강화되고, 임의 대출 규제가 과거 사례가 많이 적발되고 있다고 설명한다. 은행권 관계자는 "내부통제에 관한 관심도가 높아지면서 과거 취급됐던 대출들이 적발되는 경우가 있다"고 말했다. 은행들은 각기 내부통제 강화 대책을 세웠다. 국민은행은 고위험 부문(기업여신·자산관리·글로벌) 전담 인원을 새로 두고, 이들을 중심으로 영업점과 사업그룹 업무를 모니터링하며, 사고 발생 가능성이 높은 거래 점검을 강화한다. 또 올해 중 직원 속성 정보와 업무 행위 위험을 분석하는 AI 모형을 개발해 새로운 유형의 이상징후도 탐지할 수 있게 한다는 계획이다. 신한은행도 책무 구조도를 기반으로 내부통제 체계를 고도화했으며, AI 등 신기술을 활용해 내부통제 범위를 확대할 예정이다. 하나은행도 검사시스템 AI 모형을 고도화하고, 테마 검사 대상도 늘린다. 사고 사례를 분석해 업무 프로세스를 개선하고, 금융사고 예방 교육도 확대해 시행할 계획이다. 우리은행은 지난 1월 내부통제전문역 37명을 영업본부에 배치했고 2월부터는 이상 징후 검사 시스템을 도입했다. 기존 사고 사례 등을 분석해 영업점 업무 마감 이후 특정 이상 거래 징후를 탐지할 수 있는 행동 패턴 시나리오를 만들어, 모니터링을 통해 이상 거래를 탐지하는 구조다. 우리은행은 4월부터 본부 관리자급 이상 팀장은 휴가를 10일 이상 연속 사용하도록 하고, 업무수행 적정성, 부당행위 등 감사도 하고 있다. 농협은행은 올해 자점감사(영업점 자체 감사) 모니터링 조직을 신설해 고위험 거래 사후 점검 체계를 구축했다. '자점감사 모니터링반'은 영업점 자점감사 실시 결과 적정성을 점검하고, 고위험 사무소·고위험 거래 테마 점검을 한다.
2025.05.12
김성태 IBK기업은행장, 대국민 사과 및 IBK 쇄신 계획 발표 IBK기업은행(은행장 김성태)은 26일 기업은행 본점에서 확대간부회의를 열고 참석 간부들과 함께 전일 발표된 금감원 부당대출 감사 결과에 대해 국민 앞에 사과하고, ‘IBK 쇄신 계획’을 발표했다. 이날 회의는 전 임원과 함께 현장 영업을 담당하는 지역본부장, 여신심사를 담당하는 심사센터장, 내부통제 관련 부서장 등 IBK기업은행의 주요 간부 전원이 참석했다. 이 자리에서 김 행장은 “이번 일로 IBK에 실망했을 고객님과 국민께 진심으로 사과드린다”고 고개를 숙이며, 금융감독원의 감사 결과를 철저한 반성의 기회로 삼아, 빈틈없는 후속조치와 재발방지 대책 마련 등 신뢰 회복에 최선을 다할 것을 약속했다. 또 이러한 결과는 내부통제와 업무 프로세스의 빈틈, 시스템의 취약점과 함께 부당한 지시 등 불합리한 조직문화가 원인이라고 진단하고, 업무 프로세스, 내부통제, 조직문화 전반에 걸친 강도 높은 쇄신을 단행하기로 했다. 먼저, 사건 연루 직원에 대한 일벌백계와 함께, 부당대출 발생을 시스템적으로 차단하기 위한 임직원 친인척 정보 DB를 구축해 친인척을 통한 이해상충을 원천적으로 차단하고, 매 대출 시마다 담당직원과 심사역으로부터 ‘부당대출 방지 확인서’를 받아 이해상충을 선제적으로 회피하도록 하면서, ‘승인여신 점검 조직’을 신설해 영업과 심사업무 분리 원칙이 철저히 지켜지도록 할 예정이다. 또한, 내부통제를 무력화시키는 부당지시 관행을 완전히 뿌리 뽑기 위해 부당지시자를 엄벌하고, 이를 이행한 직원도 처벌해 적극적으로 부당지시 이행을 거부토록 제도화하면서, 외부에 위치한 독립적인 내부자신고 채널 신설, 내부고발자에 대한 불이익 원천 차단, 자진신고자 면책 조치 등도 조속히 추진하기로 했다. 내부통제와 더불어 조직문화에서도 무관용 엄벌주의를 정착시켜 온정주의를 일소해 나가고, 경영진의 일탈 및 내부통제 미흡에 대해서는 직무해임 등 중징계를 통해 의무와 책임을 강화해 나갈 예정이다. 더불어, 바람직한 조직문화 완성을 위한 금융윤리·내부통제 교육도 강화해 나갈 방침이다. IBK기업은행은 오늘 발표한 쇄신 계획이 일회성 선언에 그치지 않도록 ‘IBK쇄신위원회’를 구성해 신속하게 추진하고, 지속적으로 관리해 나가기로 했다. 김 행장은 “아무리 좋은 제도와 시스템이 있어도, 우리 스스로가 변화하고 실천하지 않으면 쇄신은 성공하기 어렵다”며, IBK 임직원 모두가 ‘곪은 곳을 송두리째 도려내어 완전히 새롭게 거듭난다’는 환부작신(換腐作新)의 자세로 업무에 임해 주기를 당부하고, 재발 방지 및 철저한 쇄신을 다시 한 번 강조했다.
2025.03.26
