금융지주와 주요 시중은행을 대상으로 한 책무구조도 제도가 시행된 지 1년이 다 되어 가고 있지만, 여전히 '1호 제재' 사례는 등장하지 않고 있다. 올해에만 IBK기업은행의 800억 원대 부당대출 등 굵직한 사고가 이어졌지만, 사고 발생 시점이 제도 시행 이전이거나 적용 요건이 불명확하다는 이유로 제재는 비껴갔다.

첫 제재는 횡령·배임 등 전통적 금융사고가 아니라, 전산장애·사이버 침해·개인정보 유출 같은 IT 기반 사고에서 나올 가능성이 높다는 전망이다. 최근 대형 플랫폼·가상자산 거래소를 겨냥한 해킹이 잇따르면서, 금융권 역시 '안전지대'가 아니라는 인식이 빠르게 확산하고 있다.

30일 국회 및 금융당국에 따르면, 2020년부터 올해 5월까지 최근 5년간 금융권(은행·저축은행·손보·생보·카드·증권)에서 발생한 전산장애 사고는 총 1763건으로 집계됐다. 연도별로 2020년 238건, 2021년 289건, 2022년 327건, 2023년 347건, 2024년 392건으로 꾸준한 증가세다.

특히 증권업계의 피해 규모가 압도적인 것으로 나타났다. 같은 기간 증권업계에서 전산장애로 발생한 고객 피해액은 263억 원으로, 업권 전체 피해의 약 89%를 차지했다. 증권사 특성상 모바일·홈트레이딩 시스템(MTS·HTS)에 장애가 발생하면 수만 명의 투자자에게 동시 타격이 발생해 피해가 기하급수적으로 커진다는 설명이다.

올해에도 키움증권을 중심으로 전산 리스크가 시장 이슈로 부상했다. 미국 뉴욕증시 급락 시기와 국내 주요 정치 이벤트가 겹친 날 잇따라 주문 지연·접속 장애가 발생하면서, 서학개미와 국내 투자자 민원이 동시에 폭증했다. 이찬진 금융감독원장이 이례적으로 키움증권을 직접 찾아 소비자보호와 IT 리스크 관리를 강조한 것도 이런 흐름과 무관하지 않다는 평가다.

IT 리스크는 최근 산업권의 최대 화두이기도 하다. 최근 몇 년 사이 대형 이커머스·플랫폼 기업에서 고객 개인정보 유출 사고가 반복됐고, 지난 27일에는 국내 대형 가상자산 거래소 업비트에서 약 445억 원 규모의 암호자산 탈취 사건이 발생했다. 쿠팡 역시 최근 4500여 명의 개인정보 유출 사고로 논란을 빚은 바 있다.

한 금융권 관계자는 "통신·유통·빅테크 모두 뚫리고 있는데 고객 자산·거래정보를 동시에 보유한 금융회사는 더 위험하다"라며 "해킹이나 장애가 발생할 경우 단순한 기술 이슈가 아니라 내부통제·지배구조 문제로 직결될 수 있다"고 말했다.

컨설팅업계의 시각도 이와 맞닿아 있다.

한 컨설팅펌 관계자는 "금융사 내부에서 가장 예민한 영역은 이제 횡령이 아니라 IT와 보안"이라며 "책무구조도가 요구하는 '업무운영·위험관리'의 80%가 사실상 IT 시스템 운영으로 귀결되기 때문에, 첫 제재가 나온다면 IT쪽에서 나올 가능성이 크다고 보고 있다"라고 말했다.

감독당국의 최근 기조도 이런 방향성을 뒷받침한다. 금감원은 지난해부터 전산장애 통계를 별도 공시하며, 대형 사고 발생 시 CEO 간담회·현장점검을 병행하는 '패키지 대응'을 정례화하고 있다. 

지난 2월 제정된 '금융회사 IT 감사에 관한 모범규준'에는 이사회가 IT 전략·예산·외주 관리까지 직접 점검하도록 규정해, 사실상 CIO(최고정보책임자)·CISO(정보보호책임자) 역할을 내부통제 축으로 편입하는 내용이 담겼다. 전산장애와 사이버 침해를 더 이상 전산부서의 '기술 문제'로 치부하지 않겠다는 의미다.

컨설팅 시장에서도 변화가 뚜렷하다. 초창기 책무구조도 컨설팅은 주로 영업점 대출 사고, 불공정거래, 불완전판매 등 영업 중심 사고를 정리하는 작업에 초점이 맞춰졌지만, 최근 프로젝트에서는 전산장애·사이버 침해 시 책임 라인과 보고 체계를 따로 명시하는 사례가 늘고 있다는 설명이다.

한 업계 관계자는 "횡령도 큰 문제인 것은 맞지만 '직원 개인의 일탈'로 포장할 여지는 있다"라며 "하지만 대형 전산장애나 정보유출은 설계·운영·점검까지 전 과정이 조직 책임이기 때문에, 감독당국 입장에선 책무구조도를 그대로 들이대기 좋은 케이스"라고 말했다.

금융권에서는 결국 첫 제재가 향후 금융사 내부통제 체계 재편의 분수령이 될 것이라고 내다보고 있다. 첫 제재가 IT 사고에서 발생할 경우, 소비자보호 조직과 더불어 CIO(최고정보책임자) 조직이 내부 지배구조의 핵심으로 부상할 가능성이 크다는 평가다.

한 시중은행 관계자는 "만약 책무구조도 1호 제재가 전산장애나 정보유출에서 나온다면, 금융회사는 지금보다 훨씬 촘촘한 IT 운영·보안 체계를 요구받게 될 것"이라며 "특히 장애 발생 시 '누가 언제 어떤 결정을 내렸는지' 입증해야 하기 때문에, 보고 라인을 명확히 재정비하는 작업이 불가피해질 것"이라고 말했다.