삼성증권이 희대의 배당사고를 내면서 증권사 IT시스템의 설계 구조에도 관심이 쏠리고 있다. 삼성증권이 밝힌 것처럼 직원의 실수였다는 점을 감안해도 100조원이 넘는 규모의 거래가 이뤄지는 상황에서 어떻게 전산상 통제 기능이 제대로 작동하지 않을 수 있었는지 투자자들은 물론 IT업계에서도 의구심을 제기한다.
8일 IT업계에 따르면 통상 은행, 증권사 등 금융회사 IT시스템은 금융당국이나 회사 내부에서 정한 일정 기준을 상회하는 거래나 중요도가 높은 결제 업무 등이 이뤄질 때 담당 직원 외 중간 책임자의 승인 절차를 구축한다. 중간 관리 체계를 시스템상 마련해 직원 한 사람이 실수를 하더라도 사고를 원천적으로 막거나 피해 여파를 최소화하기 위해서다.
예컨대 시중 은행 지점의 경우 창구 직원의 단말에서 내방 고객이 내부 규정된 일정 규모를 넘는 금액을 거래하려고 할 경우 책임자급 승인이 필요하다는 신호를 화면에 띄운다. 책임자가 승인을 해야만 거래가 최종적으로 이뤄진다.
시스템구축(SI) 업계 관계자는 "금융회사마다 중간 승인 단계를 거쳐야 하는 거래 종류나 규모에 대한 기준이 다르지만, 일반적으로 많이 발생하지 않았고 통념을 뛰어넘는 액수의 거래 요청이나 결제를 요구할 경우 중간 승인 절차를 넣는 경우가 많다"고 설명했다.
특히 배당금의 경우 일반 주식과 섞일 경우 사고 발생 소지가 높아 더 철저한 관리가 이뤄진다. '배당금 지급 시스템'과 '우리사주 관리 시스템'을 별도 분리하는 것이 일반적이다. IT업계 관계자는 "시스템을 분리 관리하면 우리사주조합 보유 주식 수가 관리되기 때문에 이번처럼 총 주식 수의 몇배가 되는 주식이 입고되는 것 자체가 불가능하다"고 말했다. 삼성증권 직원은 1주당 1000원을 배당해야 할 것을 보유 1주당 1000주씩 잘못 입고하면서 우리사주 조합에 총 28억주 가량이 들어갔다. 지난해 말 기준 우리사주조합 보유 주식 수는 283만1620주다.
IT업계 관계자는 "금융회사가 원하는 컴플라이언스(법규준수) 기준을 제시하면 SI업체들은 이를 충족한 시스템을 만들어 주는 역할만 한다"며 "시스템에 얼마나 촘촘하게 통제기준을 적용할 지는 해당 금융회사의 판단"이라고 말했다.
이번 배당 사고와 관련해 금융감독원은 사고수습이 마무리되는 대로 삼성증권의 전산시스템과 인적통제 과정에 문제가 있었는지 조사한다는 계획이다.