민창욱
법무법인 지평 변호사
유럽연합(EU)의 ‘기업 지속가능성 실사 지침’(CSDDD) 등을 개정하는 옴니버스 I 지침[Directive (EU) 2026/470]이 2026년 3월 18일 발효되었다. 이번 개정의 화제는 적용범위 축소와 시행 연기에 모아져 있지만, 한국 기업이 보다 주목해야 할 부분은 CSDDD가 요구하는 실사 방식 자체가 어떻게 바뀌었는가이다. 결론부터 말하면, ‘모든 1차 협력사에 같은 질문지를 돌리는’ 형식적 실사는 더 이상 정당화되지 않으며, 위험기반 실사(risk-based due diligence)의 원칙이 한층 명확해졌다.
옴니버스 I이 강화한 위험기반 실사의 골격은 영향의 식별 절차에서 두 단계로 구체화된다. 첫 번째 단계는 ‘스코핑(scoping)’이다. 적용대상 기업은 자사ㆍ자회사ㆍ공급망 전반을 일률적으로 점검하는 것이 아니라, ‘합리적으로 이용 가능한 정보’에 기반하여 부정적 영향이 발생할 가능성이 높고 심각한 일반적 영역을 식별해야 한다. 이 단계에서는 원칙적으로 협력사에 직접 정보를 요청하지 않고 공개ㆍ외부 자료에 기반해 위험 영역을 식별하도록 부담을 의도적으로 낮추었다(Recital 39). 두 번째 단계인 ‘심층평가’는 이렇게 식별된 우선순위 영역에 한정해 수행된다. 이 단계에서도 협력사에 대한 정보 요청은 ‘필요한 범위’ 내로 한정되며, 특히 종업원 5,000명 미만의 협력사에 대해서는 ‘다른 방법으로 합리적으로 정보를 얻을 수 없는 경우에만’ 요청할 수 있다. 이러한 제한은 그동안 적용대상 기업이 모든 협력사에 동일한 자가진단설문(SAQ)을 일괄 발송하면서 중소ㆍ중견 협력사에 가해진 과도한 정보제공 부담, 이른바 ‘낙수효과(trickle-down effect)’를 줄이기 위한 것이다(Recital 41).
나아가 옴니버스 I은 식별된 영향의 우선순위 설정(prioritisation) 절차에서도 위험기반 원칙을 한층 부각시켰다. 자원의 한계상 모든 부정적 영향을 동시에 다룰 수 없는 기업은, 심각성과 발생 가능성을 기준으로 우선순위를 정해 단계적으로 대응할 수 있다. 기업이 합리적으로 우선순위를 결정한 경우, 덜 중요한 부정적 영향을 해결하지 못하였다는 사실만으로는 제재를 받지 않는다는 면책 규정이 신설되었다(제9조 제4항). 감독당국이 제재 부과 여부와 수위를 판단할 때에도 기업의 우선순위 결정의 합리성이 명시적인 고려요소가 된다(제27조 제2항). 결국 ‘얼마나 많은 협력사를 점검했는가’보다 ‘얼마나 정확하게 우선순위를 잡고, 심각한 리스크를 얼마나 깊이 다루었는가’가 책임 판단의 핵심 기준으로 자리잡았다.
물론 위험기반 실사가 자칫 형식적 절차이행으로 흐르면 외관준수(cosmetic compliance)에 그칠 수 있다는 비판도 있다. 협력사에 직접 정보를 묻지 않고 외부 공개자료에만 의존하다 보면, 정작 가치사슬 깊숙한 곳의 실제 리스크를 놓칠 수 있다는 우려이다. 절차는 충실히 이행되었지만 결과적으로 권리보유자 보호에는 기여하지 못하는 ‘절차에 갇힌 실사’로 변질될 위험도 존재한다.
그러나 위험기반 실사는 위험에 집중하라는 것이지 위험을 외면하는 것까지 정당화하지 않는다. CSDDD는 기업이 독립 보고서ㆍ산업 이니셔티브와 함께 고충처리채널을 통해 접수된 정보를 실사에 활용할 것을 명시하고 있고, 고충처리채널 자체도 공정하고 접근가능한 방식으로 운영되도록 규정한다. 더욱이 기업에 접수된 고충이 합리적 근거가 있다고 인정되면, 그 부정적 영향은 곧 식별된 영향으로 간주되어 기업은 후속 조치 의무를 부담한다(제14조 제3항). 결국 기업이 권위있는 공개 보고서나 사내로 접수된 위험을 충분히 인지할 수 있었음에도 이를 리스크 평가에 반영하지 않았다면, 그것은 적법한 위험기반 실사가 아니라 실사의무 위반이 되는 것이다.
이러한 위험기반 접근의 본질은 최근 프랑스 법원의 판결에서 분명히 확인된다. 2026년 3월 12일 파리 사법재판소는 화장품그룹 이브로쉐(Yves Rocher)의 모회사가 ILO 전문가위원회 보고서, 인수 전 자체 사회감사 보고서 등 공개ㆍ내부 자료를 통해 튀르키예 소재 자회사의 결사의 자유 침해 위험을 충분히 인지할 수 있었음에도 이를 위험 매핑에 반영하지 않은 것이 프랑스 실사의무법 위반이라고 판단하였다. 사후의 경영진 교체나 합의 체결도 사전 예방의무 위반을 치유하지 못한다. 결국 ‘합리적으로 이용 가능한 정보’에 기반한 스코핑이란, 기업이 이미 보유하거나 합리적으로 확보할 수 있는 자료를 성실히 검토할 의무를 의미한다.
한편 옴니버스 I은 민사책임에 관한 통일된 EU 규정을 두지 않고 각국 법에 맡겼지만, 그렇다고 기업의 책임이 가벼워진 것은 아니다. 기업은 여전히 자신의 실사가 위험기반 원칙에 따라 합리적이고 성실하게 이행되었음을 적극 입증해야 한다. CSDDD에 따르면 회원국의 감독당국은 자연인ㆍ법인 누구나 객관적 근거에 따라 기업의 실사의무 위반 가능성을 신고할 수 있는 채널을 운영해야 하며, 접수된 신고에 대해 적절한 기간 내에 평가하고 필요시 조사를 개시해야 한다(제26조). 위반이 확인되면 전 세계 매출의 최대 3%까지 과징금이 부과될 수 있다(제27조).
옴니버스 I이 한국 기업에 주는 메시지는, 협력사 설문의 분량을 줄이라는 것이 아니라 실사의 깊이와 입증가능성을 높이라는 것이다. 산업ㆍ지리적 위험지표, ILOㆍUN 등 권위있는 공개 보고서, 고충 접수 내역 등을 체계적으로 결합한 리스크 평가체계 위에서 고위험 영역을 식별하고, 해당 영역에 대해서는 이해관계자 참여와 결과 추적까지 결합한 심층 평가를 수행해야 한다. 이러한 실사 체계를 갖춘 기업만이 향후 EU 회원국 감독당국과 법정에서 ‘실사의무를 합리적으로 성실히 이행했다’는 항변을 할 수 있다. 적용대상은 줄었으나 실사의 질적 기대 수준이 오히려 더 명확해진 지금, 옴니버스 I 시대 실사의 화두는 ‘더 적게, 그러나 더 정확하게, 그리고 입증가능하게’가 될 것이다.