최근 발생하고 있는 대형 금융사고와 반복되는 위법 행위는 내부통제 시스템의 심각한 허점을 보여주고 있다. 금융권의 내부통제 부실 문제는 경영진에 대한 견제 기능 약화, 느슨한 조직문화, 그리고 준법감시 체계의 미흡 등 복합적인 요인이 작용한 결과로 분석된다. 이런 문제들이 복합적으로 작용하면서 금융사의 내부통제 부실을 심화시키고 있다. <알파경제>는 국내 주요 금융사를 대상 '과거 겪었던 내부통제 실패 사례'를 중심으로 무엇이 반복되고 있는지, 왜 문제가 되풀이 되는지 등을 구조적으로 진단하고, 해법을 제시하는 연중 기획기사를 준비하게 됐다. [편집자주]
① iM뱅크 계좌 사고가 드러낸 내부통제의 민낯
② 제한적 책임 – 제재 이후에도 남은 내부통제의 공백
③ 인가의 문턱은 충분히 높았나 – 시중은행 전환을 둘러싼 의문
④ 시중은행 iM뱅크에 요구되는 내부통제의 재건 조건
 |
| 강정훈 iM뱅크 은행장. (사진=연합뉴스) |
[알파경제=김지현 기자] iM뱅크의 계좌 사고는 제재와 인가를 거치며 절차적으로는 마무리된 사건처럼 보인다. 그러나 1회부터 3회까지의 과정을 따라오면, 이 사건을 단순한 과거형으로 정리하기 어렵다는 점이 분명해진다.
계좌 개설이라는 가장 기초적인 통제 영역에서 발생한 사고, 실무자 중심으로 수렴된 제재 구조, 그리고 그 상태에서 이뤄진 시중은행 전환까지. 이 일련의 흐름은 하나의 질문으로 수렴된다.
iM뱅크의 내부통제는 시중은행이라는 지위에 걸맞은 수준으로 실제 재구축됐는가.
시중은행 전환 이후에도 내부통제 체계의 취약성을 드러내는 사례들이 이어졌다는 점은 이 질문을 현재진행형으로 만든다.
지난해 금융당국 검사에서는 금융사고 예방대책 관련 내부통제 기준 미준수로 과태료가 부과됐고, 해외 법인 운영 과정에서의 부적절한 비용 집행 문제와 정보보호·보안 통제 취약성 역시 지적 대상이 됐다.
대형 소비자 피해로 확산되지는 않았지만, 시중은행 전환 이후에도 내부통제 전반의 긴장도가 충분히 높아졌다고 보기는 어렵다.
문제는 사고가 있었느냐가 아니다. 사고 이후 내부통제의 '작동 방식과 책임 구조의 질'이 달라졌느냐다.
제도가 바뀌고 조직도가 개편되었더라도, 통제가 여전히 사후 점검과 내규 정리에 머문다면 재발 가능성은 남는다.
황병우 DGB금융지주 회장과 강정훈 행장이 이끄는 시중은행 전환 이후의 iM뱅크는 '사고를 수습한 은행'이 아니라, '사고 이후 더 높은 기준으로 검증받아야 하는 은행'이라는 새로운 기준 앞에 서 있다.
 |
| 강정훈 iM뱅크 은행장. (사진=iM뱅크) |
◇ 경영진이 책임지지 않으면 내부통제는 작동하지 않는다
내부통제의 첫 조건은 책임의 명확화다.
내부통제 사고가 발생했을 때 책임이 실무선에서 정리되거나, 사후 판단에 따라 유동적으로 배분된다면 통제는 구조가 아니라 우연에 기대게 된다.
계좌 사고가 가능했던 이유 역시, 통제 실패의 최종 책임이 사전에 누구에게 귀속되는지 명확하지 않았던 구조와 무관하지 않다.
금융당국은 지난 2024년 금융회사지배구조법 개정을 통해 '책무구조도' 제도를 도입했다.
이 제도의 핵심 취지는 내부통제 사고 발생 시, 경영진이 '보고를 받지 못했다'거나 '구체적 위반을 인지하지 못했다'는 이유로 책임에서 벗어나는 관행을 차단하는 데 있다.
책무구조도는 각 내부통제 영역에 대해 설계·운영·점검 책임을 사전에 임원 단위로 명확히 배분하고, 사고 발생 시 책임 귀속을 사후 해석이 아닌 제도적으로 고정하기 위한 장치다.
iM뱅크 역시 이 제도의 적용 대상이다. 황병우 회장을 비롯한 경영진은 이제 내부통제 사고가 발생할 경우, 문제가 어느 단계에서 발생했는지뿐 아니라 그 단계의 관리·감독 책임이 누구에게 있었는지를 명확히 설명할 수 있어야 한다.
최재근 J&K법률사무소 변호사는 "책무구조도가 도입됐다는 사실만으로 내부통제가 강화됐다고 보기는 어렵다"며 "제도가 실질적 견제 장치로 작동하려면, 첫 번째 적용 사례에서 경영진 책임이 명확히 물어지는 선례가 만들어져야 한다"고 지적했다.
 |
| iM뱅크가 2026년 상반기 경영전략회의를 개최했다. (사진=iM뱅크) |
◇ 성과 구조가 바뀌지 않으면 문화는 반복된다
내부통제 실패의 근본 원인은 종종 '문화'라는 말로 요약된다. 그러나 문화는 추상적인 개념이 아니다. 대부분의 경우 문화는 성과 평가와 보상 구조가 만들어낸 결과다.
iM뱅크 계좌 사고 역시 영업 편의와 실적 압박이 내부통제보다 앞설 수 있었던 환경에서 발생했다는 점에서, 성과 구조의 문제를 피해 갈 수 없다.
시중은행으로 전환한 이후에도 성과 지표가 단기 실적 중심으로 유지된다면, 내부통제는 다시 후순위로 밀릴 가능성이 크다.
규정을 지킨 직원보다 실적을 낸 직원이 더 높은 평가를 받는 구조에서는, 내부통제는 선언에 머무를 수밖에 없다.
내부통제가 작동하려면, '위험한 성과'가 아니라 '안전한 포기'가 평가받는 구조가 필요하다.
해외 주요 은행들은 대형 내부통제 실패 이후, 성과급 이연과 환수, 내부통제 위반 시 자동 불이익 부과 등 제도를 통해 문화 변화를 강제했다. 이는 윤리 교육이나 캠페인보다 훨씬 직접적인 효과를 냈다.
정의정 한국투자연합회 대표는 "성과급 이연과 환수 제도는 임직원이 단기 실적보다 장기적 리스크 관리에 무게를 두도록 유인 구조를 바꾸는 핵심 장치"라며 "iM뱅크가 시중은행이라는 새로운 지위에 걸맞은 내부통제를 구축하려면, 성과 체계 자체를 재설계하는 것이 선행돼야 한다"고 강조했다.
 |
| 황병우 iM금융지주회장. (사진=iM뱅크) |
◇ 준법과 리스크는 '지원 부서'가 아니다
내부통제가 형식에 그치는 또 하나의 이유는, 준법과 리스크 조직의 위상이다.
많은 금융회사에서 이들 부서는 여전히 영업을 지원하거나 사후 점검을 담당하는 부서로 인식된다. 그러나 시중은행의 준법·리스크 조직은 영업의 파트너가 아니라, 영업을 멈출 수 있는 권한을 가진 견제 축이어야 한다.
iM뱅크 계좌 사고는 준법과 리스크 기능이 사전에 거래를 차단하지 못했다는 점에서, 이들 조직의 실질적 권한과 독립성에 의문을 남겼다.
문제가 발생한 뒤 보고하고 정리하는 역할에 머문다면, 내부통제는 항상 한 박자 늦게 움직일 수밖에 없다.
해외에서는 대형 사고 이후 준법·리스크 책임자가 CEO와 분리된 보고 라인을 설계하거나, 이사회에 직접 보고하도록 구조를 바꾸는 사례가 적지 않다. 이는 조직 내에서 통제가 영업과 동등한 무게를 갖도록 만들기 위한 장치다.
시중은행으로 전환한 iM뱅크 역시, 준법과 리스크 조직이 실질적인 '거부권'을 행사할 수 있는 구조를 마련하지 않는다면, 내부통제의 재건은 선언에 그칠 가능성이 높다.
 |
| DGB금융그룹은 5일 오후 대구 수성동 iM뱅크(대구은행) 본점에서 '그룹 새 기업이미지(CI) 선포식'을 열었다. (사진=연합뉴스) |
◇ 시중은행의 자격은 이제 증명되어야 한다
시중은행 전환 인가는 출발점이지, 면허의 종착점이 아니다. 오히려 인가 이후의 운영이 진짜 시험대다.
올해 1월 취임한 강정훈 iM뱅크 은행장은 시중은행 연착륙과 수도권 영업 확대를 최우선 과제로 내세웠다. iM뱅크는 2026년을 '금융 대전환' 원년으로 선포하며 AI 기반 디지털 혁신과 속도감 있는 경영을 강조하고 있다.
그러나 계좌 사고를 계기로 제기된 일련의 질문들은, iM뱅크가 과거의 문제를 얼마나 근본적으로 끊어냈는지를 먼저 묻고 있다.
부분적인 규정 보완이나 조직 개편만으로는 부족하다. 책임 구조, 성과 체계, 통제 권한, 전산 차단 장치까지 동시에 재설계되지 않는다면, 내부통제는 다시 취약해질 수 있다.
시중은행이라는 지위는 더 많은 기회를 주는 동시에, 더 많은 실패를 허용하지 않는다.
이길우 법무법인LKS 변호사는 "화려한 디지털 전략이나 공격적인 영업 확대 이전에, 기본적인 내부통제 체계가 제대로 작동하는지를 먼저 증명해야 한다"며 "iM뱅크의 내부통제 문제는 특정 사건의 평가를 넘어, 시중은행이라는 인가 제도의 기준을 다시 묻는 사례가 됐다"고 분석했다.
이제 남은 것은 실행이다. 시중은행의 자격은 증명되어야 한다.
알파경제 김지현 기자(ababe1978@alphabiz.co.kr)
