기업법무 칼럼
컴플라이언스 체계의 부재, 기업이 치르는 대가 법률사무소 정로 | 기업법무센터
I. 컴플라이언스란 무엇인가
들어가며
2024년 한 해 동안 공정거래위원회가 부과한 과징금 총액은 수천억 원에 달했습니다. 금융감독원의 제재 건수는 해마다 증가 추세이고, 중대재해처벌법 시행 이후 경영책임자의 형사 입건 사례는 꾸준히 늘고 있습니다. 개인정보보호위원회의 과징금 처분은 이제 대기업만의 이야기가 아닙니다.
이 모든 사례의 배경에는 공통된 키워드가 있습니다. 바로 컴플라이언스, 즉 법령 준수 체계의 부재 또는 형해화입니다.
컴플라이언스는 한때 대형 금융기관이나 상장 대기업의 전유물로 여겨졌습니다. 중소·중견기업은 규모도 작고, 규제 당국의 시선도 덜 닿는다는 인식이 팽배했습니다. 그러나 현실은 달라졌습니다. 규제의 그물은 촘촘해졌고, 집행의 칼날은 기업 규모를 가리지 않습니다. 컴플라이언스 체계를 갖추지 않은 기업이 감당해야 하는 법적·재무적·평판적 리스크는 이제 기업 존립을 위협하는 수준에 이르렀습니다.
기업 컴플라이언스 체계의 부재가 어떤 법적 결과를 초래하는지, 그리고 실효적인 체계를 갖추기 위해 무엇이 필요한지를 실무적 관점에서 고찰합니다.
I. 컴플라이언스란 무엇인가
컴플라이언스(Compliance)를 단순히 '법을 지키는 것'으로 이해하는 기업들이 많습니다. 그러나 이는 컴플라이언스의 본질을 절반만 이해한 것입니다.
컴플라이언스란 기업이 적용받는 법령, 규정, 내부 정책, 윤리 기준을 체계적으로 식별하고, 이를 준수하기 위한 내부 통제 시스템을 구축·운영·감독하는 일련의 경영 활동을 의미합니다. 단순히 위반하지 않는 소극적 의미를 넘어, 위반이 발생하지 않도록 사전에 예방하고 위반 징후를 조기에 포착하는 능동적 체계를 의미합니다.
실효적인 컴플라이언스 체계는 크게 세 가지 축으로 구성됩니다. 첫째는 리스크 식별 및 평가로, 기업이 직면한 법적 리스크의 종류와 중요도를 파악하는 것입니다. 둘째는 내부 통제 시스템으로, 리스크를 예방·탐지·대응하기 위한 정책, 절차, 교육 체계를 의미합니다. 셋째는 모니터링 및 개선으로, 시스템이 실제로 작동하는지를 지속적으로 점검하고 환경 변화에 맞게 업데이트하는 활동입니다.
이 세 가지 축이 유기적으로 작동할 때 비로소 컴플라이언스 체계가 기업을 실질적으로 보호합니다.
II. 컴플라이언스 체계 부재가 초래하는 법적 책임
기업 컴플라이언스 체계를 갖추지 않았을 때 현실에서 발생하는 법적 책임의 유형을 구체적으로 살펴보겠습니다.
1. 형사 책임 - 경영자 개인의 문제가 된다
많은 경영자들이 간과하는 사실이 있습니다. 임직원의 법령 위반 행위는 회사뿐 아니라 경영책임자 개인의 형사 책임으로 이어질 수 있다는 점입니다.
중대재해처벌법은 사업장에서 중대산업재해가 발생한 경우, 안전보건 관리 체계를 갖추지 않은 경영책임자를 1년 이상의 징역 또는 10억 원 이하의 벌금에 처합니다. 이 법은 개인 사업자 및 상시 근로자 50인 이상 기업에 이미 적용되고 있으며, 근로자의 사망이 아닌 부상이나 질병의 경우에도 요건을 충족하면 처벌 대상이 됩니다.
공정거래법, 하도급법, 약사법, 개인정보보호법 등 주요 경제 법령에도 양벌규정이 적용됩니다. 임직원이 위반 행위를 저질렀을 때, 법인과 함께 경영자 개인도 처벌받는 구조입니다. 단, 경영자가 위반 행위를 방지하기 위한 상당한 주의와 감독을 게을리하지 않았다는 것을 입증하면 면책될 수 있습니다. 이 면책 요건을 충족시키는 것이 바로 컴플라이언스 체계입니다.
컴플라이언스 체계가 없는 기업의 경영자는 임직원의 잘못에 대해 방패막이가 없습니다. 체계가 있는 기업의 경영자는 "나는 위반 행위를 방지하기 위한 합리적 조치를 다했다"는 항변이 가능합니다. 컴플라이언스가 경영자 개인을 보호하는 방패가 되는 이유입니다.
2. 행정 제재 - 영업의 근간을 흔든다
행정 제재는 기업의 영업 활동에 직접적인 타격을 줍니다. 과징금, 영업 정지, 허가·등록 취소 등이 대표적입니다. 공정거래 분야에서는 담합, 불공정거래 행위, 거래상 지위 남용 등에 대해 관련 매출액의 일정 비율을 과징금으로 부과합니다. 중소기업이라도 담합에 가담했다면 수억 원에서 수십억 원의 과징금을 피할 수 없습니다. 최근 공정거래위원회는 중견·중소기업에 대한 조사와 제재를 확대하는 추세입니다.
개인정보 분야에서는 개인정보보호법 위반에 대해 위반 행위와 관련한 매출액의 최대 3%를 과징금으로 부과할 수 있습니다. 단순한 보안 조치 미흡으로도 수억 원의 과징금이 부과된 사례가 있습니다. 고객 정보를 다루는 모든 기업이 적용 대상입니다. 금융업, 건설업, 의료업, 식품업 등 허가·등록 업종에서는 법령 위반이 영업 정지나 허가 취소로 이어질 수 있습니다. 사업의 존립 자체가 위협받는 가장 강력한 제재입니다.
3. 민사 책임 - 손해배상의 규모가 커졌다
컴플라이언스 체계 부재로 발생한 피해에 대해 제3자나 주주로부터 민사 손해배상 청구를 받을 수 있습니다.
징벌적 손해배상 제도가 확대 적용되고 있다는 점에 주목해야 합니다. 하도급법, 개인정보보호법, 부정경쟁방지법, 제조물책임법 등에 징벌적 손해배상 조항이 도입되어 고의·중과실 위반의 경우 실제 손해의 3배에서 5배까지 배상 책임이 발생할 수 있습니다. 과거에는 실제 손해만 배상하면 됐지만, 이제는 그 몇 배를 물어야 하는 상황이 된 것입니다.
이사의 선관주의 의무 위반에 기반한 주주 대표소송도 증가 추세입니다. 컴플라이언스 체계를 갖추지 않아 회사에 손해를 끼쳤다면, 이사 개인이 주주들로부터 직접 배상 청구를 받을 수 있습니다.
4. 평판 리스크 - 수치화되지 않는 가장 큰 손실
법적 책임과 별개로, 컴플라이언스 위반이 기업 평판에 미치는 타격은 재무적 손실을 훨씬 초과할 수 있습니다.
ESG 경영이 글로벌 투자 기준으로 자리 잡으면서, 컴플라이언스 수준은 기업 가치 평가의 핵심 지표가 되었습니다. 법령 위반 이력이 있는 기업은 대형 거래처로부터 거래 배제 통보를 받거나, 입찰에서 불이익을 받고, 투자 유치에서 결정적 장애 요인이 됩니다. 특히 해외 기업과의 거래나 글로벌 공급망 편입을 목표로 하는 중소·중견기업에게 컴플라이언스 체계 유무는 이제 거래 성사의 선결 조건이 되고 있습니다.
III. 실효적 컴플라이언스 체계의 구성 요소
형식적 체계와 실효적 체계는 다릅니다. 서류만 갖춰진 컴플라이언스 프로그램은 규제 당국의 조사나 법원의 판단에서 면책 근거로 인정받기 어렵습니다. 실효적 체계가 되기 위한 핵심 요소를 검토합니다.
경영진의 의지와 톤 앤 탑(Tone at the Top)
컴플라이언스는 담당 부서의 업무가 아닙니다. 경영자가 법령 준수를 경영의 최우선 가치로 선언하고, 이를 실제 의사결정에서 일관되게 실천할 때 조직 전체에 컴플라이언스 문화가 형성됩니다. 경영자가 단기 이익을 위해 법적 경계선을 묵인하는 조직에서는 어떤 정책도 실효성을 가지지 못합니다.
리스크 기반 접근(Risk-Based Approach)
모든 법령을 동일한 강도로 관리하는 것은 비효율적입니다. 기업의 업종, 규모, 거래 구조에 따라 높은 리스크를 내포하는 영역을 우선 식별하고, 그에 집중된 통제 시스템을 갖추는 것이 현실적입니다. 제조업이라면 중대재해처벌법과 환경법, IT 기업이라면 개인정보보호법과 저작권법, 유통·건설업이라면 하도급법이 핵심 관리 대상이 됩니다.
내부 신고 채널의 실질적 운영
임직원이 위반 행위나 의심 정황을 익명으로 신고할 수 있는 채널이 실질적으로 운영되어야 합니다. 신고자에 대한 불이익 처우가 금지되어 있음을 명확히 하고, 신고 내용이 실제로 처리되고 있음을 조직이 체감할 수 있어야 합니다. 신고 채널이 있어도 실제로 작동하지 않는다면 규제 당국은 이를 형식적 체계로 봅니다.
정기적 교육과 업데이트
법령은 변합니다. 2~3년 전에 만든 컴플라이언스 정책이 현행 법령에 맞지 않는 경우가 많습니다. 정기적인 법령 동향 모니터링, 임직원 교육, 정책 업데이트가 체계적으로 이루어져야 합니다. 특히 신규 임직원과 고위험 직무 담당자에 대한 교육은 빠짐없이 실시되어야 합니다.
독립적인 모니터링과 감사
컴플라이언스 체계가 실제로 작동하는지를 확인하는 독립적 점검 기능이 필요합니다. 내부 감사 기능이 취약한 중소·중견기업의 경우, 외부 법률 전문가를 통한 정기적 컴플라이언스 진단이 현실적인 대안이 됩니다.
IV. 컴플라이언스는 비용인가, 투자인가
컴플라이언스 체계 구축에는 시간과 비용이 필요합니다. 많은 중소·중견기업 경영자들이 이를 부담으로 인식하는 것은 사실입니다. 그러나 이 문제를 비용의 관점이 아니라 리스크 관리의 관점에서 바라볼 필요가 있습니다.
단 한 건의 중대재해처벌법 위반으로 경영자가 징역형에 처해지고 수억 원의 벌금이 부과된다면, 그보다 훨씬 적은 비용으로 갖출 수 있는 안전보건 체계가 얼마나 값진 투자인지를 깨닫게 됩니다. 개인정보 유출 한 건으로 수십억 원의 과징금과 집단 손해배상 소송에 직면하기 전에, 적절한 보안 체계를 갖추는 것이 합리적 선택임은 자명합니다.
기업 컴플라이언스 체계는 기업이 장기적으로 지속 가능한 방식으로 성장하기 위한 인프라입니다. 단기적 비용이 아니라, 미래의 훨씬 큰 손실을 막는 전략적 투자로 바라보아야 합니다.
V. 법률사무소 정로의 컴플라이언스 서비스
법률사무소 정로는 기업의 규모와 업종에 맞는 실효적 컴플라이언스 체계 구축을 지원합니다. 계약서 작성 및 검토, 인사노무, 민·형사, 경영권 분쟁, 컴플라이언스 관리를 아우르는 통합 기업법무 서비스를 통해 귀사의 법적 리스크를 선제적으로 관리합니다.
FAQ
컴플라이언스 체계는 대기업만 갖춰야 하는 것 아닌가요?
A. 그렇지 않습니다. 이것이 가장 흔한 오해입니다. 중대재해처벌법은 상시 근로자 50인 이상 사업장에 이미 전면 적용되고 있고, 개인정보보호법·하도급법·공정거래법은 기업 규모를 불문하고 적용됩니다. 규제 당국의 조사와 제재 역시 중소·중견기업을 가리지 않습니다. 오히려 내부 법무 인력이 없는 중소·중견기업일수록 법령 위반 리스크에 더 취약합니다. 대기업은 위반이 적발되더라도 전담 법무팀이 즉시 대응하지만, 중소기업은 첫 조사부터 무방비 상태로 노출되는 경우가 많습니다. 규모가 작을수록 컴플라이언스 체계의 필요성은 오히려 더 크다고 할 수 있습니다.
컴플라이언스 체계가 없으면 어떤 처벌을 받게 되나요?
A. 위반 법령에 따라 다르지만, 크게 세 가지 차원의 책임이 동시에 발생할 수 있습니다. 형사 책임으로는 경영자 개인의 징역형·벌금형, 법인에 대한 벌금형이 부과됩니다. 중대재해처벌법 위반은 경영책임자에게 1년 이상의 징역이 선고될 수 있고, 공정거래법·개인정보보호법 위반은 3년에서 5년 이하의 징역에 처해질 수 있습니다. 행정 제재로는 과징금, 영업 정지, 허가·등록 취소 처분이 내려집니다. 허가업종의 경우 영업 정지 하나로 사업 전체가 멈춰 서는 상황이 발생합니다. 민사 책임으로는 피해자 또는 주주로부터 손해배상 청구를 받습니다. 특히 징벌적 손해배상이 적용되는 영역에서는 실제 손해의 3배에서 5배까지 배상해야 할 수 있습니다. 세 가지가 동시에 진행되는 경우, 기업이 감당해야 할 총비용은 예방에 필요했던 비용의 수십 배를 상회하는 것이 일반적입니다.
