금감원 "책무구조도, 아직도 형식 점검" … 은행 내부통제 인프라 재정비 주문

금융감독원이 은행권 내부통제의 ‘현장 작동성’을 정면으로 점검했다. 책무구조도가 도입됐지만 임원·대표이사의 내부통제 활동이 형식적 점검에 그치거나 내규·전산시스템 등 인프라가 충분히 갖춰지지 않은 사례가 확인됐다는 취지다.

금감원은 23일 서울 여의도 본원에서 은행권 내부통제 담당자 등 180여명이 참석한 ‘2025년 하반기 은행권 내부통제 워크숍’을 열고 책무구조도 조기 안착, IT보안 내부통제 강화, 사전예방적 소비자보호 체계 전환을 핵심 과제로 제시했다.

박충현 은행담당 부원장보는 모두발언에서 책무구조도 운영실태 점검 결과를 공개하며 "임원과 대표이사의 내부통제 활동이 형식적 점검에 머물거나 내규·전산시스템 등 인프라 구축이 미흡한 사례가 있었다"고 밝혔다. 그는 "대표이사의 총괄 관리의무가 유기적으로 이행되도록 준법감시인이 지원·조정 역할을 해야 한다"고 강조했다.

IT보안 분야에서는 “망분리 규제만으로는 한계가 있다”는 문제의식이 공유됐다. 금감원은 보안·전산 사고가 금융 신뢰를 훼손하고 경제적 손실로 이어질 수 있다고 보고, 금융회사가 금융인프라를 ‘제로베이스’ 관점에서 재점검할 필요가 있다고 당부했다. 금감원 역시 보안사고 사례 전파, 내부통제 강화 유도, 재해복구 대책 적정성 점검 등 IT보안 관리 강화를 예고했다.

워크숍 특강에서 금융보안원은 IT환경 복잡화와 공격기법 고도화로 현행 규제(망분리) 중심 보안이 한계를 보이고 있다고 언급했다. 이어 경영진 책임문화 정착, 이사회 내 보안 논의 확대, 정보보호최고책임자(CISO) 위상 격상, 보안수준 진단 프레임워크 마련, 사이버 복원력 확보 등을 내부통제 강화 방안으로 제시했다. 금융보안원은 2025년 중 프레임워크 초안 개발과 시범테스트를 진행하고 2026년 중 최종본을 작성·배포할 계획이다. 

소비자보호 분야에서는 ‘사후 대응’이 아니라 ‘사전 예방’으로의 전환이 과제로 제시됐다. 금감원은 반복되는 금융상품 불완전판매를 막기 위해 금융소비자 보호 중심의 사전예방적 내부통제 체계를 구축해야 한다고 밝혔다. 금융상품 생애주기별 책임과 역할을 명확히 하고, 민원 등 이상징후를 신속히 포착해 적시에 보고·조치하는 체계를 갖추는 한편, KPI(성과평가체계) 등 성과보상체계에 소비자보호를 저해하는 요소가 없는지 점검해 달라고 주문했다. 

가상계좌 재판매 관련 내부통제 취약점도 공유됐다. 2025년 9월말 기준 은행권은 총 33개 PG사와 계약을 맺고 있으며, 2025년 1~9월 발급된 가상계좌 180억8000좌 중 재판매는 6억6000좌로 3.6%에 불과했다. 반면 지급정지 가상계좌 5223좌 중 3937좌(72.5%)가 재판매 계좌에서 발생한 것으로 집계됐다. 하위가맹점 정보를 활용한 이상거래 점검 시스템을 갖춘 은행은 2곳에 그쳤고, 다수 은행이 이상거래 예방조치보다 사고신고에 대한 사실확인 위주로 대응하고 있다는 점도 지적됐다. 금감원은 자체 모니터링 시스템 개발 등 점검에서 드러난 미흡사항에 대한 각 은행의 개선계획 이행현황을 2026년 중 점검할 예정이라고 밝혔다.

대표이사 총괄 관리의무 이행과 관련해서는 “체계 구축보다 보고서 취합에 치중한다”는 지적이 이어졌다. 금감원은 현장점검 결과 조직·점검·보고체계와 이를 뒷받침할 매뉴얼·전산 인프라를 제대로 구축하지 못한 채 방대한 점검결과를 취합·보고하는 데 집중하는 사례가 확인됐다고 밝혔다. 임원에게 업무를 위임하더라도 위임받은 조직과 업무가 불명확하거나 대표이사가 무엇을, 어떻게 점검할지 명확히 규정하지 못하는 문제도 함께 제기됐다.

금감원은 대표이사 총괄 관리의무 수행을 위한 4대 기본원칙을 제시하고, 지배구조법 제30조의4에 규정된 대표이사 8대 총괄 관리의무를 근거로 이행원칙과 모범사례를 전파했다고 밝혔다.