최근 기업가치를 크게 훼손한 거버넌스 리스크는 이사회 구성이 아닌 내부통제 시스템의 실효성 부재에서 비롯됐다는 분석이 나왔다.
교보증권은 2일 발간한 보고서에서 데이터 유출이나 마케팅 검수 실패 등 내부통제 실패가 막대한 재무 손실로 이어지고 있다고 진단했다. 이는 우발적 사고가 아니라 관리 시스템이 작동하지 않은 명백한 거버넌스 실패라는 지적이다.
보고서에 따르면 쿠팡은 퇴사한 개발자의 서명키를 갱신하지 않는 기본적인 내부통제 공백으로 인해 약 3367만 건의 개인정보가 유출됐다. 이로 인해 쿠팡은 고객 보상용 바우처로 약 1조6850억원을 지급했으며, 2025년 4분기 연결 조정 EBITDA는 전년 동기 대비 36.6% 급감했다.
SK텔레콤 역시 방화벽 설정 미흡 등으로 가입자 약 2300만명의 정보가 유출돼 역대 최대 규모인 1347억9100만원의 과징금을 부과받았다. 스타벅스코리아는 마케팅 논란으로 모회사인 이마트 주가가 3거래일간 약 13.7% 하락하고 대규모 환불 프로그램을 시행하는 등 홍역을 치렀다.
조혜빈 교보증권 연구원은 “과거에는 경미했을 통제 실패가 기업의 개인정보 보유량 증가와 징벌적 과징금 등 제도 강화로 대규모 손실로 이어지는 구조가 됐다”고 설명했다. 손실 역시 과징금, 보상비, 소송 등이 시차를 두고 누적되는 특징을 보인다고 덧붙였다.
특히 이러한 리스크는 기존 ESG 평가 체계가 제대로 포착하지 못하는 사각지대에 있다는 점이 문제로 지적됐다. 교보증권에 따르면 개인정보 유출과 같은 ‘데이터 통제’ 리스크는 ESG 평가 항목에 일부 반영되지만, 스타벅스 사례와 같은 ‘운영 컴플라이언스’ 실패는 사전에 식별하기 어렵다.
이에 따라 투자 대응도 달라져야 한다고 조언했다. 데이터 통제 리스크는 사건 발생 후 주가 하락만으로 위험이 모두 반영됐다고 보기보다, 이후 누적될 규제 제재, 보상 등 후속 비용을 앞질러 판단해야 한다는 것이다.
조 연구원은 “운영 컴플라이언스 영역은 ESG 등급에 의존하지 않고 투자자가 직접 마케팅 검수나 결재 시스템의 실효성을 점검해야 한다”며 “내부통제 실효성은 ESG 등급과 별도로 투자 판단에 반영해야 할 중요 요소”라고 강조했다.