사기의 바다를 건너는 등대: 한국편

사례·심리·대응·회복, 우리에게 필요한 한 권.29장

Part IV. 생애주기·대상별 방어 전략

29장.중소기업: 송금·구매·계약의 이중검증(한국형 RACI)

한국형 RACI로 만드는 ‘사고 나지 않는 회사’**

사람의 선의에 의존하지 않고
역할과 절차가 대신 의심하는 조직을 만드는 장

29-A. 구조의 문제: 왜 중소기업에서는 같은 사고가 반복되는가

— 실수는 개인의 얼굴을 하고 오지만, 원인은 늘 구조다

처음 사고가 났을 때, 사람들은 이렇게 말합니다.
“경리가 실수했다.”
“담당자가 확인을 안 했다.”
“대표가 너무 급하게 결정했다.”

그러나 조금만 시간을 되돌려 보면,
그 사고는 이미 몇 번이나 피할 기회가 있었음을 알게 됩니다.
문제는 그 기회가 누구의 역할도 아니었다는 것입니다.

중소기업에서 사고는 갑자기 터지지 않습니다.
그것은 늘 익숙한 하루 속에서 자랍니다.

1. “대표님이 급하다고 해서요”라는 문장

오후 4시 37분.
회계 담당자에게 메신저가 하나 옵니다.

“거래처 계좌가 바뀌었대요.
오늘 안에 송금해야 한다네요.”

메일 주소도, 말투도, 첨부 파일도 자연스럽습니다.
무엇보다 중요한 것은 이 문장입니다.

“대표님도 알고 계세요.”

이 순간, 판단은 멈춥니다.
확인이 아니라 복종이 시작됩니다.

왜일까요?
이 회사에는 “계좌 변경을 검증하는 역할”이 없기 때문입니다.
확인하지 않은 것이 아니라,
확인할 사람이 정해져 있지 않았던 것입니다.

2. 중소기업 사고의 공통 패턴

사건은 다르지만, 구조는 거의 같습니다.

대표 사칭 메일에 의한 송금

가짜 거래처의 선결제 요구

급한 계약 변경 요청

“오늘만 처리하면 된다”는 압박

이 모든 사건의 공통점은 하나입니다.
누가 무엇을 확인해야 하는지 정해져 있지 않다는 점입니다.

대기업에서는 같은 일이 벌어지지 않느냐고요?
물론 벌어집니다.
하지만 대기업에서는 개인의 판단이 아니라
절차가 먼저 작동합니다.

중소기업에서는 반대입니다.
사람의 판단이 먼저 나오고,
절차는 나중에 떠오르거나, 아예 없습니다.

3. “믿고 가는 사이”가 가장 위험한 이유

중소기업에는 이런 말이 자주 등장합니다.

“우리는 서로 믿고 일하잖아.”

“그 정도로 서로 의심하진 않지.”

“괜히 절차 만들면 일만 느려져.”

이 말들은 선의처럼 들리지만,
실은 방어 장치가 없는 상태를 정당화하는 주문입니다.

문제는 이것입니다.
사기는 의심받지 않는 순간을 노린다는 사실입니다.

사기꾼은 규칙을 깨지 않습니다.
그들은 규칙이 없는 곳을 찾습니다.

4. 사람 중심 조직의 함정

중소기업의 가장 큰 장점은 유연함입니다.
하지만 그 유연함이 곧바로 취약점이 되기도 합니다.

한 사람이 여러 역할을 겸한다

승인과 실행이 같은 손에서 이루어진다

바쁠수록 “이번만 넘어가자”가 반복된다

이 구조에서는
실수가 나도 이상하지 않고,
사기가 들어와도 막을 방법이 없습니다.

왜냐하면 이 조직은
사람을 믿는 구조이지, 절차가 의심하는 구조가 아니기 때문입니다.

5. 사고가 반복되는 진짜 이유

중소기업에서 같은 사고가 반복되는 이유는 간단합니다.

사고 이후에도

역할은 바뀌지 않고

승인 구조는 그대로이며

“조심하자”는 말만 늘어납니다.

그러나 사고는 말이 아니라 설계의 빈틈을 따라 움직입니다.

사람을 바꾸지 않아도 됩니다.
더 똑똑해질 필요도 없습니다.

단 하나,
“이 일은 누구의 확인을 거쳐야 하는가”
그 질문에 답만 생기면 됩니다.

29-A의 등대 문장

“사고는 실수에서 시작되지 않는다.
사고는 역할이 없을 때 조용히 시작된다.”

29-B. 한국형 RACI 실전 설계: 송금·구매·계약을 지키는 이중검증의 뼈대

— 일을 느리게 하지 않으면서, 사고만 멈추는 구조

RACI는 거창한 대기업 도구가 아닙니다.
중소기업에게 RACI는 이렇게 정의됩니다.

“누가 일을 하고,
누가 확인하고,
누가 책임지고,
누가 반드시 알아야 하는가.”

이 네 가지만 분명해지면
사기의 절반은 문 앞에서 멈춥니다.

1. 한국형 RACI, 이렇게 바꿔야 작동한다

교과서적인 RACI는 중소기업에 맞지 않습니다.
사람이 적고, 겸직이 많고, 속도가 중요하기 때문입니다.

그래서 한국형 RACI는 단순해야 합니다.

핵심은 이것입니다.
R과 A는 절대 같은 사람이 되지 않는다.

2. 송금 사고를 막는 RACI (가장 많이 터지는 지점)

사고가 나는 구조

담당자: 요청 받고 바로 송금

대표: “알아서 처리해”

검증: 없음

방어가 되는 구조

[송금 RACI 기본형]

R (실행): 회계/경리

C (검증): 거래 담당자 또는 관리팀
→ 계좌 변경 여부, 요청 출처 확인

A (승인): 대표 또는 임원
→ “검증 완료” 문장 확인 후 승인

I (공유): 재무/총무
→ 송금 결과 공유만

중요한 규칙 1줄

계좌 변경·긴급 송금은
C의 확인 메시지가 없으면 A는 승인할 수 없다.

3. 구매·발주 사기를 막는 RACI

흔한 함정

“선입금만 하면 할인”

“오늘만 재고 확보 가능”

“거래처가 바빠서 메일이 왔다”

방어 구조

[구매 RACI 기본형]

R: 구매 담당

C: 회계 또는 다른 팀 1명
→ 사업자 정보·계좌·계약 조건 확인

A: 팀장/대표

I: 재고·운영 담당

실무 규칙

첫 거래·조건 변경·선입금은
반드시 C가 ‘전화 확인’ 1회 이상

4. 계약 사기를 막는 RACI (전자계약 포함)

사기꾼은 계약서를 아주 그럴듯하게 만듭니다.
문제는 누가 그 계약을 읽는가입니다.

[계약 RACI 기본형]

R: 계약 실무자

C: 법무/외부 자문 또는 지정 검토자

A: 대표

I: 회계·운영

현실적 기준

금액이 작아도

상대가 익숙해도

계약 조건이 바뀌면
→ C는 다시 등장해야 한다

5. RACI가 실패하는 단 하나의 경우

이 말이 나오는 순간, 구조는 무너집니다.

“이번만 빨리 처리해 주세요.”

이 문장을 시스템으로 막아야 합니다.

그래서 필요한 것이 이것입니다.

“급한 건 더 느리게” 규칙

‘긴급’ 표시된 요청일수록
검증 단계 1개 추가

시간 압박은
사기 위험 신호로 자동 분류

6. 중소기업을 살리는 한 줄 정의

한국형 RACI의 목적은 하나입니다.

사람을 의심하지 않고도,
사기를 의심하게 만드는 구조

누가 실수했는지를 묻기 전에
누가 확인하게 설계되어 있었는지를 묻는 조직.

그 조직은
사람이 바뀌어도,
바빠져도,
사기는 줄어듭니다.

29-B 등대 문구

“속도는 사람이 만들고,
안전은 구조가 만든다.”

29-C. 실행·운영 플레이북: 체크리스트·현장 문구·주간 루틴

— RACI를 ‘문서’가 아니라 ‘습관’으로 만드는 방법

구조는 이미 세웠습니다.
이제 중요한 건 매일, 아무 생각 없이도 작동하게 하는 것입니다.
사기는 언제나 바쁜 순간을 노리니까요.

1) 3분 송금·구매·계약 즉시 체크리스트 (프린트용)

아래 질문 중 하나라도 ‘아니오’면 중단입니다.

공통 6문

요청 출처가 공식 채널(회사 메일/내부 시스템)인가?

계좌·조건 변경이 포함되어 있는가?

긴급/오늘만/지금 당장 표현이 있는가?

**검증자(C)**의 확인 문장이 남아 있는가?

전화로 1회 이상 사실 확인했는가?

승인자(A)가 **“검증 완료”**를 확인했는가?

규칙: 체크리스트는 **서명/이모지(✓)**로라도 흔적을 남긴다.
흔적이 곧 방패다.

2) 현장 표준 문구 (바로 복사해 쓰기)

검증 요청 문구 (R → C)

“계좌/조건 변경 건입니다. 전화 확인 후 ‘검증 완료’ 문장 부탁드립니다.”

“긴급 표시가 있어 추가 검증 1회 진행합니다.”

승인 전 문구 (A → R/C)

“검증 완료 문장 확인되면 승인하겠습니다.”

“오늘 처리 건은 내일 10시까지 대기합니다. 규정상 필요합니다.”

외부 응대 문구 (거래처/요청자)

“회사 규정상 계좌 변경은 전화 확인 후 처리됩니다.”

“공식 결제/계약 채널 외 요청은 진행할 수 없습니다.”

포인트: 말투는 정중하게, 규정을 방패로 사용한다.

3) ‘긴급’을 무력화하는 쿨다운 규칙

긴급 표시 = 자동 지연 30분

송금/구매/계약 요청에 ‘긴급’이 붙으면 30분 쿨다운 전화 확인 1회 추가 제3자(C) 재확인

사기는 시간을 훔치지만,
조직은 시간을 되찾아야 산다.

4) 주간 10분 RACI 점검 루틴 (회의 없이)

매주 1회, 10분이면 충분합니다.

주간 점검 4가지

이번 주 중단 건 1건 공유
→ “왜 멈췄는가?”

우회 요청 문구 공유
→ “이 문장이 나왔다”

검증 성공 사례 공유
→ “전화 한 통으로 막았다”

규칙 수정 1줄
→ 더 간단하게, 더 명확하게

목적은 책임 추궁이 아니라 집단 면역입니다.

5) 월 1회 사기 리허설 (가장 강력한 예방)

실제 사고는 연습하지 않아서 납니다.

15분 리허설 시나리오

가짜 메일/메신저 요청 1개 배포

담당자(R)가 절차대로 대응

C의 검증 문장 확인

A의 승인 보류 선언

결과:

막혔는지?

어디서 멈칫했는지?

문구/규칙을 더 줄일 수 있는지?

6) 실패를 기록으로 바꾸는 사후 3문장 규칙

만약 사고가 났다면,
보고서는 딱 3문장으로 끝냅니다.

어디서 규칙이 빠졌는가

다음엔 무엇을 고칠 것인가

누가 아니라, 무엇이 부족했는가

사람을 바꾸지 말고,
구조를 업데이트하라.

7) 29-C 한 줄 요약

체크리스트는 짧게

문구는 표준화

긴급은 지연

회의 대신 습관

이 네 가지만 지켜도
중소기업의 사고 곡선은 눈에 띄게 내려갑니다.

29-C 등대 문구

“사기는 틈으로 오고,
안전은 루틴으로 남는다.”