지난 4월 6일 삼성증권의 한 직원은 우리사주조합의 주당 배당 금액 입력 필드에 1000원 대신에 1000주를 입력했다. 그 결과, 28억의 현금배당 대신에 112조원 어치의 유가증권이 내부직원에게 배당되는 대형사고가 발생되었다. 이 금액은 삼성증권 시가총액의 30배를 넘어서는 금액이고, 법으로 허용된 발행 가능 주식의 23.6배라고 한다. 몇몇 직원은 있지도 않은 유령주식 501만3000주를 공매도 하였다. 이로 인하여 삼성증권은 수백억원의 재무적 손실은 물론, 기업 신인도에 치명적인 손상을 입게 되었다.
일부 미디어에서는 이 사건을 보고 “전산상 심각한 오류가 드러났다”고 촌평하였다. 그러나, 이러한 말은 문제 발생의 본질을 호도한다. IT는 잘못된 데이터 입력도 논리적으로 문제가 없다면 사전에 짜인 프로그램대로 완벽하게 일을 처리한다. 입력값이 1000원이던, 1000주이던 컴퓨터 로직 상에서는 오류가 없었기 때문에 처리된 것이다. 그러므로, 위의 표현은 전산이라는 단어 대신에 “프로세스 상의 심각한 오류가 드러났다”고 말하는 것이 옳은 표현이다.
혹자는 문제의 원인이 중앙화된 시스템 때문이고, 블록체인과 같은 탈중앙화된 시스템이 해결책일 수 있다는 의견도 제시한다. 그러나, 시스템이 중앙화되어 있건, 탈 중앙화되어 있건, 보안성이 높건 대안은 되지 못한다. 데이터의 물리적 처리 위치와 자료보안이 유령주식의 배당 프로세스를 통제하는 솔루션이 아니기 때문이다. 결론적으로 금번 유령주식 이슈는 물리적 시스템의 구조 문제가 아니라, 적정한 프로세스 거버넌스에 답이 있다.
행정학에서 시작된 거버넌스 개념은 키(방향타)를 조정한다는 라틴어 gubernare에서 유래했다. 국가정책 방향을 거버넌스 한다는 의미가 지금은 기업과 조직의 좋은 관리, 투명한 관리와 동의어가 되었다. 행정학에서 시작된 거버넌스 개념이 기업 거버넌스에 영향을 주게 되고, 기업활동에서 차지하는 전산자원의 중요성이 높아 짐에 따라 2000년대 초반부터 IT 거버넌스의 학문도 각광을 받게 되었다. 학계에서 기업 거버넌스와 IT 거버넌스의 인과관계를 설명하는 레퍼런스로 자주 인용되는 모델은 Henderson과 Venkatraman의 전략적 연계 모델(Strategic Alignment Model)이다. 이 모델은 기업 전략과 IT 구현의 연계를 전략적 적합(fit)으로 설명하고 있으나, 전략과 IT 구현 사이에 존재하는 프로세스 거버넌스에 대한 설명이 약하다는 비판을 받고 있다.
프로세스 거버넌스의 접근은 두가지로 나뉜다. 하나는 전략적 접근이고, 다른 하나는 한계규칙(baseline)적 접근이다. 전자는 기업의 가치증진과 관련이 있고, 후자는 기업의 위험관리와 관련된다. 먼저 전략적 접근을 살펴 보자. 기업전략은 기업이 활동하는 사회에 존재하는 다양한 이해관계자(고객, 공급자, 직원, 주주, 이사회, 투자가, 공공기관, 커뮤니티 등)의 기대사항을 분석하는 것으로 시작한다. 그 다음에 이해관계자의 기대에 잘 부응하는 부가가치 프로세스를 설계한다. 프로세스는 수많은 단위 활동의 흐름으로 수행된다. 전산환경하에서 연속된 단위 활동은 모니터 화면과 데이터 처리로직으로 실현된다. 프로그램 개발자는 활동주체 간에 주고 받는 데이터의 속성과 처리 로직을 “요구사항정의서”라는 문서로 만들고 이에 따라 프로그램을 개발하게 된다. 문제는 이러한 가치 지향적 전략적 연계가 장차 발생가능한 위험을 평가하고 회피하는 관점을 놓치기 쉽다는데 있다. 그 때문에 위험관리를 위한 베이스라인 설정을 위한 또다른 프로세스 거버넌스가 병행되어야 한다.
위험관리는 비즈니스 룰(business Rule)의 설정에서 시작한다. 비즈니스 프로세스를 투명하게 하는 것이 핵심이다. 기업의 경영활동을 구속하는 한계규칙은 운동경기의 파울라인과 같다. 파울이 되는 규칙을 정밀하게 분석하여 룰북(Rule book 혹은 Rule set)을 만들고, 이를 외부 전문가에게 평가를 받아야 한다. 발생되어서는 안되는 한계규칙의 체계화 작업이다. 이러한 룰들은 상호 배반적인 상황이 발생되기도 하는데, 룰 사이의 우선순위 분석이 포함되어야 함은 물론이다. 담당자는 항시 변화되는 정책과 법규를 지속적으로 모니터링하여 룰셋의 신선도를 유지하여야 한다. 이러한 룰북에서 우리사주배당 룰에 대한 한계규칙이 명확히 정의되었고, 이를 개발자가 IT 시스템에 적정하게 구현하였다면 삼성증권의 대형사고는 일어나지 않았을 것이다.
경영학에서 거버넌스(governance)와 관리(management)는 비교적 엄격하게 구분된다. 관리자의 책임은 “성공적 실행 책임(responsibility for action)”이다. 반면에 거버넌스는 “본원적 가치 책임(accountability for rational)”으로 “왜 이것을 해야하고, 왜 중요한지” 이해관계자(stakeholder)에게 설명하여야 하는 책임이다. 관리는 아웃소싱으로 양도할 수 있지만, 거버넌스는 절대로 양도할 수 없는 책임이다. 그러므로, 거버넌스의 책임은 이사회멤버와 최고경영자에게 귀속된다는 학자들의 주장이 많다. 회사가 지켜야 할 베이스라인 룰북을 만들고, 이를 프로세스에 적합(fit)하게 만드는 궁극적인 책임은 그들에게 있다. 이번 사건에 대한 학습으로 향후 대기업의 이사회멤버가 프로세스 거버넌스 체제의 도입과 조직 구성에 좀더 에너지를 기울일 것을 기대해 본다. <끝>
ZDNET 칼럼 전체글 보기