Martín Perucca: “사기 예방은 조직의 가치 제안을 강화한다”

마르틴 페루카(Martín Perucca)는 20년 넘게 사기(fraud)와 자금세탁 방지에 집중해 온 전문가다. 아르헨티나와 중남미 전역에서 그는 이 분야의 대표적인 목소리로 꼽힌다. 단지 풍부한 경험 때문만이 아니라, 그가 반복해서 강조하는 한 가지 메시지 덕분이기도 하다.

바로 “보안은 비용이 아니라, 가치 제안(Value Proposition)이 되어야 한다”는 것이다.

그는 이렇게 말한다. “이건 수익이 나는 투자입니다. 가장 회의적인 CFO도 설득할 수 있죠.”

그의 관점은 단순한 규제 준수(compliance)를 훌쩍 넘어선다. 사람과 조직을 보호하는 것, 그리고 진짜 ‘예방 문화’를 만드는 일은 며칠, 몇 달로 되는 게 아니라 수년에 걸쳐 쌓이는 작업이라는 점을 늘 강조한다. 이 사고방식은 오늘날 우리가 컴플라이언스를 바라보는 방식을 근본적으로 되묻는다.

Q: 컨설팅, 교육, 금융 서비스 현장 경험까지 모두 갖고 계신데요. 어떻게 사기·보안 영역에 집중하게 되셨나요? 지금 당신을 움직이게 하는 문제는 무엇인가요?

A: 제 커리어는 아르헨티나 코르도바에 있는 한 금융기관의 여신 심사 부서에서 시작했습니다. 그런데 곧 사기 이슈에 점점 더 강한 관심을 갖게 되었죠. 사기를 찾아내는 감각이 있다는 걸 알게 됐고, 하나를 미리 막을 때마다 두 가지 보람을 느꼈습니다. 조직의 손실을 줄였다는 점 하나, 그리고 누군가의 신원이 도용당하는 일을 막았다는 점 하나입니다.

이게 2000년대 초반 이야기입니다. 당시 문서 위조는 굉장히 단순했어요. 스티커를 붙인 가짜 서류, 아주 기초적인 수준이었죠. 그럼에도 저는 비교적 이른 시점에 깨달았습니다. 사기 예방은 단지 회사의 금전적 손실을 줄이는 데 그치지 않고, 지역 사회 전체에 가치를 더하는 일이라는 것을요. 그 목적의식은 지금도 제 커리어의 중심에 있습니다. 단순한 직업을 넘어, ‘공공의 선’에 기여하고 있다는 느낌이 저를 계속 움직이게 합니다.

Q: 컴플라이언스를 주요 축으로 하는 Mooy를 공동 창업하셨죠. 오늘날 기업에게 규제 준수는 어느 정도의 비중을 갖고 있나요?

A: 규제는 이유가 있어서 존재합니다. 그리고 “지켜야 하나 말아야 하나”는 선택지가 아니죠. 조직은 적응해야 합니다.

하지만 실제로 저는 새 규제가 나온 이후에야 호출되는 경우가 많습니다. “새 규정이 나왔어요. 사기 예방 전략을 설계해 주세요.” 이런 식입니다. 그럴 때 저는 대화를 조금 바꾸려 합니다. 컴플라이언스 자체는 협상 대상이 아닙니다. 하지만 사기 예방은 회사의 가치 제안을 직접적으로 강화합니다. 이 관점으로 접근하면, 규정 준수는 자연스럽게 따라옵니다.

Q: 만약 보안을 가치 제안의 중심에 둔다면, 일반적인 온보딩이나 거래 프로세스에서는 무엇이 달라져야 할까요?

A: 보안은 고객과의 관계가 시작되는 순간부터 녹아 있어야 합니다. 계좌 개설, 상품 신청, 온보딩 전체 과정이 그렇죠.

식별–확인–검증을 아우르는 ‘엔드 투 엔드(end-to-end) 전략’이 필요합니다. 이 모든 일을 하나의 툴로 해결할 수 있는 경우는 없습니다.

가장 중요한 것은 툴이 아니라 사람입니다. 잘 훈련된 팀, 명확한 정책과 프로세스, 그리고 그 정책을 운영할 수 있는 적절한 도구와 권한이 있어야 잠재적 사기를 관리하고 예방할 수 있습니다.

Onboarding(고객 가입·계좌 개설 단계)

• 생체인증(얼굴, 지문 또는 음성).
• 네거티브 리스트 / 감시 리스트(watchlist) 조회.
• 고객 데이터의 일관성 점검.
• 내부 고객 DB와의 교차 검증.
• 공공·공식 기록과의 대조·검증.

거래(Transactional) 구간

• 다양한 기술적 통제를 ‘오케스트레이션’하여, 리스크 기반(risk-based) 운영 전략 안에 녹여야 합니다. 이를 통해 다중 채널·다중 상품 환경에서 실시간 모니터링과 선제적(preventive) 대응이 가능해집니다.

여기에 꼭 덧붙이고 싶은 점이 하나 더 있습니다. 보안은 특정 부서의 일이 아니라, 모두의 책임이라는 사실입니다. 이사회에서부터 최일선 직원까지, 누구나 기여할 수 있습니다. 물론 책임을 공식적으로 지는 기능 조직은 필요합니다. 하지만 예방 문화는 항상 ‘톱다운’으로 형성됩니다.

이를 실현하기 위해서는 다음과 같은 요소들이 필요합니다.

• 직원의 업무가 어떤 영향을 내는지 연결해 주는 명확한 목적의식
• 모든 사람에게 똑같이 하는 교육이 아니라, 역할별 맞춤 교육
• 도구와 프로세스를 위한 전용 예산
• 책임과 한계를 분명히 규정한 윤리·행동 강령
• 익명성이 보장되고, 충분히 홍보되며, 장기적으로 유지되는 내부 신고 채널(whistleblower line)

무엇보다도, 리더십이 핵심입니다. 문화는 하룻밤 사이에 생겨나지 않습니다. 제 경험상, 최소 3년은 지나야 눈에 보이는 결과가 나오기 시작합니다. 이런 작업은 일관성을 가지고, 그리고 항상 ‘사람’을 중심에 두고 이뤄져야 합니다. 여기서 사람은 직원만이 아니라 고객도 포함합니다.

직원이 절차를 따르는 것이 단지 형식적인 일이 아니라 고객 경험과 조직의 평판을 보호하는 일이라는 점을 이해하는 순간, 그 직원의 몰입도와 책임감은 완전히 달라집니다.

Q: 여전히 컴플라이언스를 단순 체크리스트로 보는 회사들이 있습니다. 이런 마인드는 비즈니스에 어떤 비용을 안기나요?

A: 이를 회계상의 비용 항목으로만 바라본다면, 가치를 만들어 낼 기회를 놓치게 됩니다. 반대로, 가치 제안의 일부로 녹여 넣으면 그것은 투자로 바뀝니다.

저희가 하는 컨설팅에서는 항상 비즈니스 케이스를 만듭니다. 얼마나 많은 손실을 막을 수 있는지, 고객 경험과 포트폴리오에 어떤 영향을 미치는지 분석합니다. 숫자를 놓고 보면, 결과는 거의 항상 긍정적입니다.

ACFE에 따르면, 조직은 연 매출의 5%를 사기 때문에 잃는 것으로 추정됩니다. 이 수치만으로도 투자의 정당성이 충분합니다. 여기에 더해, 기술 솔루션의 투자 회수 기간은 보통 12~14개월 수준입니다.

그리고 **평판(reputation)**이 있습니다. 시장에 어떤 이미지로 남고 싶나요? 출시한 상품이 사기 이슈와 함께 언급되기 시작하면, 잃어버린 신뢰를 회복하는 데 드는 비용은 그 어떤 예방 투자보다도 훨씬 큽니다.

KPMG 조사에 따르면, 소비자의 83%가 금융기관을 선택할 때 ‘보안’을 핵심 기준으로 삼고, 사기 피해자의 76%가 결국 기존 은행을 떠난다고 합니다. 이 숫자들은 보안이 비즈니스에 얼마나 직접적인 영향을 미치는지 잘 보여줍니다.

Q: 현재의 사기 예방 모델에서 가장 큰 ‘블라인드 스팟(Blind Spot)’은 무엇이라고 보시나요?

A: 가장 큰 문제는 내부 사기(Internal Fraud)를 간과하는 것입니다. 많은 조직이 “우리 회사는 내부 사기 문제가 없다”고 믿습니다. 그러나 우리가 실제로 진단을 해 보면, 정도의 차이는 있어도 거의 항상 사례가 발견됩니다. 공장, 병원, 금융기관 등 유형을 막론하고 내부 사기는 어디에나 존재합니다.

이와 관련해 이런 말이 있습니다. “조직에는 두 종류가 있다. 이미 내부 사기를 겪은 조직, 그리고 앞으로 겪게 될 조직.”

Q: 그렇다면 기업은 어떻게 이 블라인드 스팟들을 바로잡기 시작할 수 있을까요?

A: 첫 단계는 인정하고 진단하는 것입니다. 데이터를 요청하고, 고객 불만 접수 내역을 검토하고, 손실 항목을 분석해야 합니다. 이렇게 들여다보면 공식 보고서에 드러난 것보다 항상 더 많은 것들이 나옵니다.

그 다음에는 세 가지 축을 중심으로 계획을 세워야 합니다.

1. 테크놀로지(Technology) – 구조화·비구조화 데이터를 모두 포함해, 전체 거래의 100%를 모니터링합니다.
2. 안전한 프로세스(Secure Processes) – 보안과 편의성의 균형을 맞춰 설계해야 합니다. 보안만 지나치게 강화하면 제품 사용성이 떨어집니다. 목표는 ‘완벽’이 아니라, 충분히 좋은(Good Enough) 상태입니다.
3. 사람(People) – 예방 문화가 모든 것의 토대입니다. 사기 관련 조직은 사이버 보안, AML, 기술 조직과 긴밀히 연결되어야 합니다. 전략이 통합될수록 예방의 효과는 커집니다.

지금 벌어지는 사기의 90% 이상은 디지털 환경에서 발생합니다. 따라서 각 부서가 따로 움직이는 ‘사일로(Silo)’ 구조는 반드시 깨야 합니다.

그리고 아주 중요한 사실이 있습니다. 모든 사기 사건 뒤에는 ‘사람’이 있다는 것입니다. 저는 피해자들과의 인터뷰에서 두려움, 수치심, 불안감을 자주 목격했습니다. 많은 이들이 “어차피 사법 시스템이 제대로 대응하지 않을 것”이라고 믿기 때문에 신고조차 하지 않습니다. 이 인간적인 경험은 우리에게 계속해서 상기시켜 줍니다. 사기 예방은 단순히 재무제표를 지키는 일이 아니라, 사람을 보호하는 일이라는 점을요.

Q: 사용자 경험을 해치지 않으면서, 어떻게 컴플라이언스 요구사항과 보안을 균형 있게 맞출 수 있을까요?

A: 핵심은 보안, 사이버 보안, 상품, 기술 조직이 한 테이블에 함께 앉는 것입니다. 각 조직이 따로 움직일 때 마찰이 생깁니다. 반대로 협업이 이뤄지면 자연스럽게 균형점이 생깁니다. 그리고 이 모든 의사결정은 조직의 **목적(purpose)**과 연결되어야 합니다.

예를 들어, 어떤 금융기관이 “테크 기반 제품으로 고객의 삶을 더 편하게 만든다”는 목적을 내세운다면, 사기 사건은 그 약속을 정면으로 깨뜨리는 일입니다. 이 목적을 나침반 삼아 생각하면, 규제를 준수하면서도 고객을 보호하고, 동시에 불필요한 마찰을 줄이는 해법을 찾을 수 있습니다.

Q: 이런 사고방식이 앞으로 업계 표준이 될까요, 아니면 늘 예외가 존재한다고 보시나요?

A: 몇 년 전만 해도 이런 이야기는 다소 이상적으로 들렸을 겁니다. 하지만 이제는 그렇지 않습니다. 아르헨티나와 브라질 같은 나라에서는 이미 많은 조직이 분명한 목적을 중심에 두고, 회사 전체를 그 방향으로 정렬하는 데 힘을 쏟고 있습니다. 이 흐름에 올라타지 않는 조직은 경쟁력을 잃게 될 것입니다.

예외가 완전히 사라지지는 않겠지만, 큰 흐름은 분명합니다. 의무감에 떠밀려 하는 컴플라이언스에서, ‘핵심 가치’로서의 예방으로 이동하는 것입니다.

Q: ‘리스크 기반 접근(risk-based approach)’을 언급하셨는데, 실제로는 무엇을 의미하나요?

A: 이 접근법은 AML(자금세탁 방지)에서 흔히 쓰이고, 사기 예방 영역에서도 점점 보편화되고 있습니다. 하지만 단순한 유행어가 아닙니다.

이 말은 비즈니스를 깊이 이해하고, ‘아픈 곳’을 찾아내고, 이를 명시적인 리스크로 정의한 뒤 우선순위를 매기고, 마지막으로 **잔여 리스크(residual risk)**가 가장 큰 곳에 자원을 우선 배분하라는 뜻입니다.

사기는 매우 동적인 리스크입니다. 낮은 리스크라고 완전히 무시할 수는 없습니다. 언제든 다시 커질 수 있기 때문입니다. 모든 리스크를 모니터링해야 하지만, 강도와 빈도는 서로 다르게 설정할 수 있습니다.

제가 마리오 아데르(Mario Ader)와 함께 공동 디렉터로 운영하고 있는 디플로마 과정이 있습니다. 라틴아메리카 최초의 ‘사기 예방’ 집중 과정인데, 이 프로그램에서 우리는 모델을 세 가지 기둥으로 요약합니다.

이해(Understand) – 개입(Intervene) – 측정 및 개선(Measure to Improve). 어떤 전략이든 이 세 가지가 기반이 되어야 합니다.

Q: 컴플라이언스나 사기 예방 분야에 막 발을 들인 주니어에게 어떤 조언을 해 주고 싶으신가요?

A: 첫째, 이 일을 정말 좋아하는지부터 확인해야 합니다. 누구에게나 맞는 일은 아닙니다. 새벽 4시에 리스크 이슈 때문에 전화를 받을 수도 있고, 그때 바로 대응할 준비가 되어 있어야 하죠. 결국 이 일에는 뚜렷한 목적의식과 열정이 필요합니다.

둘째, 매일 공부해야 합니다. 최소 한 시간은요. 저는 지금이 대학 시절보다 더 많이 공부하는 시기라고 느낍니다.

셋째, 네트워킹입니다. 링크드인(LinkedIn)에 적극적으로 활동하고, 웨비나에 참여하고, 읽고, 질문해야 합니다.

넷째, 협업입니다. 사기 범들은 서로 적극적으로 정보를 주고받습니다. 반면 금융기관들은 아직 그 수준에 미치지 못합니다. 우리는 더 많이 연결되어야 합니다.

Q: 금융기관들 사이에 실제 ‘협업’이 있다고 보시나요, 아니면 말뿐인 경우가 더 많나요?

A: 실제 협업은 분명히 늘어나고 있습니다. 특히 라틴아메리카에서요. 아르헨티나, 브라질, 에콰도르 등 여러 나라에 관련 포럼이 있습니다. 시간이 지날수록, 이 생태계에 참여하지 않는 플레이어는 점점 주변부로 밀려납니다. 물론 아직 할 일이 많지만, 방향성은 긍정적입니다.

그리고 협업을 위해 반드시 개인 데이터를 공유할 필요는 없습니다. 사기 유형, 패턴, 공격 벡터 등 타이포로지와 인사이트만 공유해도 큰 도움이 됩니다.

Q: 앞으로 5년에서 10년 정도를 내다볼 때, 금융 산업에서 어떤 문화적 변화를 가장 기대하시나요?

A: 가장 핵심적인 변화는 이것입니다. 사기 예방을 조직의 가치 제안 일부로 이해하는 것. 이 인식이 내부에 자리 잡으면, 나머지는 훨씬 수월하게 따라옵니다.

조금 더 넓은 관점에서 보자면, 공공 부문과 민간 부문 사이의 대화가 훨씬 더 활발해져야 합니다. 규제 당국이 때로는 비현실적인 요구를 하는 이유는 악의라기보다, 금융 시스템이 실제로 어떻게 작동하는지, 어디를 향해 가고 있는지 충분히 이해하지 못해서인 경우가 많습니다. 규제자들도 금융 생태계와 그 진화 방향을 더 깊이 알아야 합니다.

또한 사기 범죄에 대한 형사 처벌 체계가 지금보다 강력해질 필요가 있습니다. 오늘날 많은 범죄자들은 어떻게 시스템 안팎을 드나들어야 하는지 잘 알고 있습니다. 사법 시스템은 더 중대해 보이는 범죄들로 과부하가 걸려 있고, 그 결과 사기 사건에는 충분한 자원이 투입되지 못합니다. 이 부분은 반드시 달라져야 합니다.