행복마루, 협력업체 샅샅이 조사
일감 몰아주기·정보 유출 등 임직원 각종 비리 찾아내

현대카드 컨설팅 성공 이후 은행·식품회사 등 '러브콜' 쇄도
"로펌이 기업 감사 대안될 것"
조근호 변호사가 행복마루컨설팅 직원들의 업무 방식에 대해 설명하고 있다. 김병일 기자

조근호 변호사가 행복마루컨설팅 직원들의 업무 방식에 대해 설명하고 있다. 김병일 기자

“우리 회사 감사 좀 해 주시겠습니까?”

정태영 현대카드 사장이 ‘SOS’를 쳐왔다. 조근호 변호사가 법무연수원장을 마지막으로 검찰에서 퇴임한 지 사흘 만인 2011년 8월5일이었다. “사내 비리행위는 없는지, 정보유출 가능성은 없는지 점검하고 싶은데 도와달라”는 요청이었다.

사내 감사부서가 따로 있지만 현업부서→사내감사팀→외부전문가로 이어지는 ‘3선 방어’ 원칙에 따라 마지막 방어라인을 조 변호사에게 맡기는 것이 효과적이라고 정 사장이 판단한 것이다. 마침 조 변호사도 퇴직 후 뭘 해야 할지 고민하던 참이어서 선뜻 응했다. 그리곤 검찰 출신 회계사, 전직 수사관, 내부감사 전문가 및 포렌식 전문가들을 섭외했다. 두 달 뒤 행복마루 컨설팅이 탄생했다. 행복마루는 현대카드와 1년 계약을 맺고 내부감사, 정보유출 조사, 외부 부정제보 채널 제공 등 다양한 서비스를 제공하기 시작했다.

우선 기업 내 임직원 비리 조사에 착수했다. 기존 감사기법으로는 잡아내지 못했던 비리들이 포렌식 등의 수사기법을 도입하자 드러나기 시작했다.

현대카드에서 수백만건의 개인정보를 위탁받아 처리하는 협력업체들의 개인정보 관리 실태도 포렌식 기법으로 점검했다. 조 변호사는 “K사의 경우 지난 4년간 250개 협력업체의 컴퓨터 1000여대를 열어봤다”고 말했다. 점검 결과를 토대로 협력업체 성적표를 매겨 하위 3개 업체는 계약을 해지하고, 상위 3개 업체는 단가를 더 높여주도록 회사에 권유했다.

의뢰 기업의 자체 정보 보안도 문제였다. 대부분 보안시스템을 깔아놓으면 충분할 거라고 생각했다. 또 외부 해커의 공격을 방어하는 데 집중했지 내부 임직원에 의한 유출에는 상대적으로 소홀했다. 조 변호사는 “암호화되지 않은 파일들이 수두룩했고, 출력통제 시스템을 무력화하기 위해 주민등록번호 일부를 영문자로 바꿔 놓는 등 직원들의 도덕적 해이도 만만찮았다”고 지적했다.

조 변호사에 따르면 검찰 수사와 마찬가지로 부정 적발에는 제보가 가장 효과적이다. 그래서 사내 홈페이지에 부정행위 제보자가 안심하고 비리를 제보할 수 있는 외부 부정제보 채널, PITO(호루라기의 스페인어)를 만들어주고 있다.

현대카드에 대한 성공적인 감사컨설팅이 입소문을 타고 퍼지면서 일감이 몰려 들었다. D화학 그룹은 임직원 비리 조사를 의뢰했고, K은행은 정보보안 상시 진단을 맡겼다. S식품회사 회장으로부터는 ‘밀어내기’ 상시 모니터링 시스템을 만들어 달라는 부탁을 받았다. 행복마루는 S사의 주문데이터를 분석, 포렌식 기법으로 조사한 뒤 핫라인을 개설해 비리 제보 시스템을 만들어 주었다.

정 사장의 요청으로 시작한 행복마루는 현재 20개 기업에 감사 서비스를 제공하고 있고, 5개 기업에 직원들이 상주하고 있다. 4명으로 출발한 회사는 어느덧 22명으로 불어났다.

조 변호사에 따르면 미국은 엔론사태 이후 회계감사만으로 기업 비리를 막는 데 한계가 있다고 판단해 기업 업무감사를 외부 컨설팅사에 맡기고 있다. 이 시장이 급성장해 46억달러에 달한다고 한다. 조 변호사는 “각종 위험에 노출돼 있는 기업의 특성상 최고경영자(CEO)는 기업 관리에 대해 늘 고민한다”며 “그동안 회계감사나 자체 감사 이외에 별다른 대안이 없었지만 앞으로 로펌들이 기업을 위해 다양한 대안을 마련해 줄 수 있을 것”이라고 말했다.

■ 포렌식

개인용 컴퓨터나 회사 서버 등에 남겨진 디지털 정보 등을 수집·분석해 범죄 흔적이 된 증거를 찾아내는 수사기법이다.

김병일 기자 kbi@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지