요즘 금융권을 취재하다 보면 “강하게라도 잡아야 한다”와 “지나치게 조이면 숨이 막힌다”는 말이 동시에 들린다. 이재명 대통령 정부가 금융소비자 보호를 앞세워 금융사 규제 강화를 검토하면서다.

핵심은 두 가지다. 첫째, 전산마비나 대규모 해킹 같은 중대 보안사고가 터지면 징벌적 과징금을 물린다는 것. 둘째, 회계 오류나 내부통제 실패가 확인되면 임원 성과급을 환수 하도록 제도를 손보자는 것이다.

최근 SGI서울보증 랜섬웨어 마비 이후 금융당국이 ‘중대 보안사고에 징벌적 과징금’을 공식화했고, 점검과 모의 해킹, 정보보호책임자(CISO) 권한 강화도 함께 예고했다. 취지는 명확하다. 사고가 나면 회사가 ‘값비싼 대가’를 치르게 만들어, 사고가 나기 전에 보안과 통제에 더 투자하도록 유도하겠다는 것이다.     

그런데 강한 한 방만으로는 시장의 행동이 잘 바뀌지 않는다. 해외는 대체로 세 박자로 움직였다. 제재를 강하게 하는 것만이 아니라, 이사회와 경영진의 책임 구조를 명확히 하고, 내부고발·집단소송 같은 집행 장치로 실제 작동하게 만든다. 정부는 지금 금융업계에서 징벌적 과징금을 검토하는 분위기인데, 균형이 맞지 않으면 ‘강한 규제’를 해도 정작 사고는 반복되는, 힘 빠지는 결과가 나온다.

해외 사례를 보자. 미국은 2022년부터 상장사가 회계 오류로 재무제표를 고칠 경우, 과거 3개 연도의 임원 인센티브를 의무적으로 환수하도록 규정을 확정했다. 뉴욕증권거래소와 나스닥은 2023년부터 각사에 환수정책 도입·공시를 요구했고, 지키지 않으면 상장 자격에도 문제가 생길 수 있도록 만들었다. 제재 수위를 높였다기보다 보상체계 설계를 바꿔, 임원이 성과급을 받기 전부터 “잘못되면 돌려줘야 한다”는 전제를 깔아 둔 셈이다. 그래서 실효성이 높다.    

유럽연합(EU)은 보너스 나눠주기, 삭감, 환수를 아예 건전성 규정 안에 묶어 놓았다. 유럽은행감독청(EBA) 가이드라인은 이사회 감독, 위험관리, 내부통제와 보상정책을 한 틀 안에서 움직이도록 세세히 제시한다. 요지는 간단하다. ‘보상과 리스크, 거버넌스’가 함께 돌아가야 실제로 행동이 바뀐다는 것이다.  

영국은 한 발 더 나가서, ‘고위 임원 책임제’로 누가 어떤 책임을 지는지 책임지도를 문서화했다. 사고가 나면 ‘어느 임원이 무엇을 놓쳤는지’가 곧바로 드러난다. 영국 정부는 올해 들어 제도 운영의 불필요한 부담을 줄이려는 손질을 논의하면서도, 개인 책임의 원칙은 그대로 유지하겠다고 못 박았다. 성장과 책임을 동시에 잡겠다는 뜻이다.    

집행 장치도 중요하다. 미국 증권거래위원회(SEC) 내부고발 제도는 실제 보상을 지급하고, 그 사실을 공개한다. 내부자가 초기에 위험 신호를 밖으로 꺼낼 유인을 만든다. 올해도 수백만 달러 규모의 보상 사례가 이어졌다. 

EU는 2019년 내부고발자 보호 지침으로 보복 금지와 안전한 신고창구를 각국에 의무화했고, 2020년 대표소송 지침으로 소비자 피해의 집단적 구제를 위한 기본 틀을 만들었다. 즉 내부 신고에서 당국 조사로, 이는 다시 집단소송으로 이어졌다. 기업은 “걸리면 크게 물게 된다”를 체감하고, 이사회는 임원 보상정책과 내부통제를 스스로 강화했다.    

다시 한국으로 돌아와 보자. 방향은 맞다. 징벌적 과징금, CISO(최고정보책임자) 권한 강화, 통합관제 구축은 지금 당장 필요한 일이다. 다만 세부 설계가 남았다. 예를 들어 과징금을 매출 비율로만 매기면, 사고의 성격과 피해 정도가 잘 반영되지 않을 수 있다.

피해 고객 수, 서비스 중단 시간, 유출된 정보의 민감도, 시스템 복잡도, 복구 역량 같은 리스크 지표를 반영해 가중치를 주는 방식이 필요하다. 또 사고가 나면 타임라인 공개와 사후 평가를 의무화하고, 반복사고에는 가중처벌을 명문화해야 한다. 그래야 회사가 ‘벌금 내고 끝’이 아니라, 지속적으로 개선하게 된다. 

보수 환수 도입은 “도입한다 vs 안 한다”의 문제가 아니다. 실제로 작동하느냐가 문제다. 미국이 상장규정과 공시의무로 실효성을 끌어올렸듯, 우리도 상장 적격성과 연동하고, 보상정책 표준 양식과 분쟁 해결 절차까지 한 묶음으로 설계해야 한다. 그래야 임원들이 의사결정할 때부터 “잘못되면 환수된다”를 진지하게 고려한다.   

소비자 피해 구제의 집단소송도 마찬가지다. 도입 자체가 아니라 균형 있는 설계가 핵심이다. 유럽은 함부로 소송을 남발하는 것을 막는 장치와 신속 구제책을 함께 마련했다. 예컨대, 적격단체 인증, 법원 허가 절차, 합의 승인제 같은 안전판이 있다. 한국도 이런 장치를 정교하게 갖춰야 기업이 예측 가능한 비용 속에서 선제 보상과 개선에 나서고, 피해자는 실질 보상을 기대할 수 있다. 최근 국정기획위가 변호사단체와 만나 징벌적 손해배상·집단소송 확대를 논의한 것도 이 같은 틀을 짜겠다는 신호로 볼 수 있다.    

금융당국이 지금 필요한 건 ‘원칙’이란 말보다 숫자와 날짜로 딱 잘라 적힌 보상 규칙이다. 어느 수준의 회계 오류나 내부통제 실패에서 임원 성과급을 얼마까지 돌려받는지, 언제부터 적용되는지 표로 공개하면 회사도 임원도 더 이상 헷갈리지 않는다. 동시에 평소와 사고 때 누가 무엇을 맡는지 한눈에 보이는 책임표를 만들어 이사회가 공식 승인하게 해야 한다. 내부 신고 창구도 믿을 수 있어야 한다.

익명은 확실히 보장하고, 신고했다고 불이익을 주지 못하게 하며, 어떤 보상을 받을 수 있는지·접수 뒤 며칠 안에 답변이 가는지·처리에 최대 얼마나 걸리는지를 밖에서도 확인할 수 있게 공개해야 한다. 

분쟁 해결 속도도 높여야 한다. 금융분쟁조정에서 집단소송으로 넘어가는 통로를 열고, 회사와 피해자가 합의하면 법원이 이를 신속히 승인해 효력이 발생하도록 절차를 손보는 게 바람직하다. 핵심은 규제를 더 세게 하는 데 있지 않다. 평소에 제도가 원활하게 돌아가게 만드는 데 있다. 그렇게 해야 사고가 줄고, 피해도 줄어든다.

규제의 목표는 숨 막히게 조이는 게 아니라 사고를 줄이고 피해를 최소화하는 것이다. 그 목표에 맞춰 실제로 돌아가는 시스템을 만드는 것, 그것이 지금 정부가 꼭 잡아야 할 포인트다. 

가령, 임원 성과급 환수 사유와 과징금 계산 기준을 미리 공개해 누구나 알 수 있게 하고, 사고가 나면 즉시 알려 정해진 기한 안에 원인과 재발 방지 대책을 내도록 해야 한다. 같은 사고가 반복되면 제재를 더 무겁게 하고 선제 대응을 했을 땐 감경 기준 적용도 필요하다. 이렇게 해야 금융사는 어디에 투자해야 위험이 줄어드는지 가늠할 수 있고, 당국은 흔들림 없는 같은 잣대로 집행할 수 있을 것이다.

[스트레이트뉴스 조성진 기자]