스프레드시트가 만든 은행 사기의 함정

초록

본 논문은 Allied Irish Bank와 Allfirst의 외환 거래 부서에서 발생한 대규모 사기 사건에서 스프레드시트가 어떻게 악용되었는지를 살펴보고, 이 사례가 보여주는 회계·재무 통제의 교훈을 제시한다.

상세 요약

John Rusnak는 1990년대 말부터 2002년 초까지 Allfirst(당시 AIB의 미국 자회사) 외환 트레이딩 부서에서 일하면서, 복잡한 파생상품 포지션을 숨기기 위해 다수의 Excel 스프레드시트를 활용했다. 그는 실제 거래와 가상의 거래를 구분하지 못하도록 ‘가상 포지션 시트’를 별도로 작성하고, 이 시트를 기존 회계 시스템에 자동으로 업로드되는 CSV 파일과 동일한 형식으로 저장했다. 결과적으로 회계팀은 자동화된 데이터 입력 프로세스를 통해 이 가짜 데이터를 실제 손익 보고서에 반영하게 되었으며, 내부 감사 시스템은 파일 이름과 경로만으로는 변조 여부를 판단할 수 없었다.

스프레드시트가 악용된 주요 메커니즘은 다음과 같다. 첫째, 버전 관리 부재—Rusnak는 동일한 파일을 여러 번 복사하고 수정했으며, 파일 메타데이터를 조작해 최신 버전임을 가장했다. 둘째, 수식 은폐—복잡한 VLOOKUP·OFFSET 함수와 매크로를 이용해 실제 거래와 가짜 거래를 동적으로 매핑했으며, 매크로 코드 자체가 암호화된 형태로 삽입돼 검토가 어려웠다. 셋째, 접근 권한 통제 미비—스프레드시트는 개인 PC에 저장돼 있었고, 네트워크 공유 폴더에 대한 읽기·쓰기 권한이 제한되지 않아 누구나 파일을 열고 수정할 수 있었다. 넷째, 자동화된 데이터 흐름—은행의 핵심 회계 시스템은 외부 CSV 파일을 정기적으로 가져와 데이터베이스에 적재했으며, 파일 검증 로직이 단순히 형식 일치 여부만 확인했기 때문에 내용의 진위는 검증되지 않았다.

이러한 구조적 허점은 내부 통제 프레임워크인 COSO의 ‘정보와 커뮤니케이션’ 및 ‘통제 환경’ 요소를 심각히 위배한다. 특히, **감사 추적(audit trail)**이 부재했으며, **분리 원칙(separation of duties)**이 무시된 결과다. Rusnak는 스프레드시트에 숨겨진 손실을 은폐하기 위해 매일 말미에 ‘조정 시트’를 삽입해 손실을 0으로 만들었고, 이는 회계 담당자가 수동으로 검증하는 과정에서 발견되지 않았다.

결과적으로, 스프레드시트는 저비용·고유연성이라는 장점이 사기 행위에 악용될 수 있음을 보여준다. 기업은 스프레드시트 사용에 대해 버전 관리 시스템 도입, 매크로 코드 리뷰, 파일 무결성 검증(디지털 서명) 등을 강화하고, 핵심 재무 데이터는 전용 ERP/DB 시스템에만 입력하도록 정책을 재정비해야 한다.