작년 말 2회의 글 게재를 통해, 미국과 유럽을 중심으로 강화되고 있는 자금세탁 규제와 그에 따른 국내 금융회사의 영향을 단편적으로 살펴봤다.

또한 글로벌 규제는 해외에 지점 및 점포를 둔 국내 모든 금융회사에게 영향을 주는 이슈로, 더 이상 다른 나라 이야기로 도외시할 일이 아니라는 것도 언급했다.

이번 글에서는 지난 2번의 문제점 등을 기반으로 글로벌 자금세탁 규제의 방향성을 알아보고, 그와 관련, 국내 금융기관(Financial Institution)이 고려해야 할 점을 구체적으로 살펴보고자 한다.

앞선 언급한 미국 규제 당국의 규제와 유럽의 ‘4차 EU 자금세탁방지지침(이하, 4MLD)’을 종합하면 크게, 다음과 같이 세 가지 단어로 방향성을 정리해볼 수 있다.

◆첫째, 투명성(Transparency).

미국과 유럽 4MLD이 가장 크게 강조하는 것은 ‘투명성’이다.

모든 규제 사항과 적용 내용에 대한 입증 및 요인을 설명해야 하며, 개선 및 수정 사항에 투명성을 제공하기 위한 문서화 및 근거 제시를 필수로 요구하고 있다.

특히 2016년 6월 뉴욕금융감독청(NYSDFS)이 채택한 AML 준수를 위한 최종 룰에 의거해 2018년 4월까지 그리고 그 후 매년 받아야 하는 인증을 위해서도 시스템과 내부 통제와 관련한 모든 내용에 대한 문서화는 물론, 개선 전후 테스트, 탐지 시나리오, 기본 규칙, 임계값, 매개 변수 등을 추적할 수 있는 근거 및 결과를 제시해야 한다.

이같은 규제의 근간이 되는 규제가 바로 미국 ‘통화감독청(OCC; Office of the Comptroller of the Currency)의 OCC 2011-12 감독 지침’이다.

이에 따라 향후 미국 및 유럽에서는 자금세탁 규제의 투명성 및 시스템 일관성, 검증이 갈수록 중요시될 수밖에 없다.

‘투명성 측면’에서 또 하나의 중요한 영역은 ‘궁극적 실소유자(UBO; Ultimate Beneficial Ownership) 확인’이다.

실소유자는 금융회사에서 확인해야 할 의무가 있을 뿐만 아니라, 일반 법인까지 법인의 실질적인 소유권에 대한 최신의 정확한 정보를 규제 기관 및 금융회사를 포함한 자금세탁 방지 준수 의무 기관이 즉시 이용할 수 있도록 제공해야 한다.

페이퍼 컴퍼니, 무기명 채권 등의 실제 소유자를 밝히고, 자금세탁의 우려를 없앨 수 있는 투명성을 제공하기 위해서다.

이는 자금세탁 뿐만 아니라 역외 탈세 등을 방지하기 위한 미국의 해외금융계좌신고법(FATCA; Foreign Account Tax Compliance Act)과 기타 국가를 위한 공통보고기준(CRS; Common Reporting Standard)에서도 필수적으로 요구하는 상황이기도 하다.

‘고객실사확인(CDD; Customer Due Diligence)’ 또한 투명성을 위해서다.

특히, 4MLD에 의거해 보고 의무 기관은 고객에게 간소화된 고객 확인(SCDD; Simplified CDD)을 적용한 근거를 직접 입증·제시해야 한다.

이를 위해 고객위험평가 모델에서 저 위험 고객으로 분류한 근거·활용된 리스크 팩터, 고객위험평가 모델 결과 및 테스트 결과를 소명할 수 있어야 한다.

정리하면, AML을 위한 모든 규칙 및 모델에 대한 활용 데이터, 결과, 방법론 등을 문서화 및 근거화해야 한다.

이를 위해 AML 시스템의 운영 측면에서 변경 가능한 모든 영역에서 ‘감사 추적(Audit Trail)’ 기능을 제공해야 하며, 그 결과를 직접 눈과 문서로 확인할 수 있어야 한다.

◆둘째, 온-고잉(On-going).

고객에 대한 위험 평가는 항상 최신으로 유지하며 모니터링해야 한다.

즉 온-고잉 모니터링(On-going Monitoring)을 지원해야 하며, 고객의 모집단(Population)이 변경되거나, 새로운 상품 등이 출시될 경우 위험 평가의 기준 및 모델을 항상 최신으로 유지하고, 이를 활용, 모니터링 한다.

아울러 앞서 언급한 투명성(Transparency)를 고려해 규칙·모델의 변경 전후에 대한 테스트 결과, 변경한 임계값에 따른 개선 효과 및 개선 사유를 입증해야 한다.

규칙·모델에 대한 최신성을 유지하는 것도 중요하지만, 개선의 투명성도 담보돼야 한다는 것이다.

고객의 온보딩·이벤트 기반의 모니터링을 위한 온-고잉 모니터링뿐만 아니라, 거래에 대한 모니터링을 수행하는 트랜잭션 모니터링(Transaction Monitoring)을 위해서도 지속적인 개선과 최신성을 유지해야 한다(On-going Transaction/Sanction Monitoring).

이는 앞서 언급한 뉴욕금융감독청의 AML 준수를 위한 최종 룰 Part 504 규제 항목인 ‘금융 거래 모니터링 및 필터링 요구사항 및 인증’과 관련된 내용으로, 지속적인 개선을 보장하고 매년 인증을 받아야 한다(On-going Certification)는 의미이다.

거래 모니터링의 지속적인 개선(임계값, 리스크팩터), 제재 리스트(Sanction List)의 최신성 유지에 대해 보장하고 인증을 받으라는 규제로, 향후 금융회사가 AML 시스템을 운영하기 위해 가장 많은 비용이 소요될 수 있는 영역이기도 하다.

특히, 거래 모니터링의 지속적인 개선은 과거 국내에서 AML 시스템을 개발·운영하던 패턴과는 굉장히 다른 형태로, 기존 룰과 모델을 상시로 분석 및 개선하는 프로세스가 필요하다.

문제는 초대용량의 트렌잭션을 요약 및 분석하는 거래 모니터링 시스템 입장에서 기존 룰·모델 분석 및 개선은 큰 부담이 될 수밖에 없다.

따라서 기존의 AML 시스템과는 접근 방법을 달리해 상시로 데이터 관리 프로세스와 룰/모델 변경 및 적용 프로세스를 적용할 수 있는 시스템을 구축해야 한다.

◆마지막으로, 애널리틱스(Analytics).

모든 IT 시스템은 시스템이 완성되면 룰 기반의 애널리틱스(머신러닝까지 포괄)로 발전한다. 자금세탁 방지도 마찬가지다.

과거 룰(규칙) 기반으로 운영되던 것이 ‘위험 기반 접근법(RBA; Risk-Based Approach)’이 도입되면서 모델의 중요성이 강조되고 있다.

고객의 위험 평가를 하는 일은 금융회사가 책임져야 할 영역이다. 평가 결과에 대한 책임도 금융회사에게 있다.

때문에 데이터 드리븐(Data Driven) 방식으로 접근해야만 한다. ‘데이터 드리븐’ 방식으로 만들어진 위험 평가를 해야만 시스템을 안정적으로 운영하며 항상 최신성을 유지할 수 있다.

애널리틱스는 자금세탁 방지뿐만 아니라 챗봇(Chatbot) 로보 어드바이저(Robo Advisor), RPA(Robotic Process Automation) 등 다양한 영역에서 금융회사의 경쟁력이 되고 있다.

글로벌 선진 금융회사가 빅 데이터 기반의 자금세탁방지 시스템을 도입하고 있는 것도 이러한 추세를 반영한 것이다.

또한, IDG는 최근 금융서비스 분야를 전망한 보고서(Financial Service Top 10 Prediction)에서 금융회사 업무에 가장 빨리 영향을 줄 영역으로 컴플라이언스(Compliance)와 사기&사이버보안(Fraud & Cybersecurity)에 대한 ‘지능형 행동패턴분석(Behavioral Analytics)’를 꼽았다.

그 예로 AML/KYC 프로세스 상의 SAR/STR과 EU의 4MLD의 RBA 적용을 소개했다. 그만큼 글로벌 금융회사에게 가장 큰 압박으로 느껴질 수 있는 부분이다.

자금세탁 방지에서 애널리틱스가 강조되는 또 한가지 이유는 외부 데이터 분석에 대한 니즈의 증가이다.

특히 최근에는 다양한 금융 범죄가 언론이나 위키리크스 등을 통해 공개되고 있는데, 이것이 금융기관의 잠재적인 리스크로 대두되고 있다.

미국 연방준비은행(FRB; Federal Reserve Bank)의 BSA/AML 담당자는 2016년 말, 자금세탁에 관한 정보 분석 사이트 ‘MoneyLaundering.com’에서 “금융회사들은 테러 공격, 부패 방지법, 법규 준수에 영향을 줄 수 있는 주목할 만한 범죄 뉴스를 어떻게 조사할지 계획을 세워야 한다”고 언급했다.

AML상의 OSINT(Open Source Intelligence) 차원에서 스캔들이 발생하면 어떻게 처리할 것인지 은행에서 ‘결정·조사·처리’해야 한다는 것이다.

최근 밝혀진 미국 국영 에너지 회사와 국부 펀드, 비정부기구들에 연계된 수십억 달러의 부패·돈세탁 범죄, 2015년 9월 국제 탐사보도 언론인 협회가 공개한 파나마 페이퍼와 FIFA의 뇌물 및 리베이트 등과 같은 다양한 금융 범죄에는 의도하든 의도하지 않았든 다양한 금융회사가 연루된 것으로 나타났다.

따라서 외부 소스로부터 입수된 정보를 은행의 거래 데이터와 고객 데이터로부터 식별, 텍스트 분석, 복잡한 검색, 정교한 고객 식별(Customer Identification), 원활한 데이터 분석의 필요성이 대두되고 있다.

최근 금융회사들이 규제기관의 요구사항에 대응하고, 비고의성을 증명하기 위해 분석 및 식별할 수 있는 환경을 갖추려는 것도 그 때문이다.

온-고잉 트랜잭션/제재 모니터링(On-going Transaction/Sanction Monitoring)과 투명성(Transparency)은 모두 연결되는 이야기이지만, 향후 뉴욕금융감독청의 감독에 포함된 ‘지속적 개선’을 위해서도 애널리틱스는 필수이다.

지속적 개선을 위해서는 현재 적용된 룰과 모델의 성능을 지속적으로 판단하고, 긍정 오류(False Positive) 개선을 위한 지속적인 노력이 뒤따라야 한다.

이를 위해서는 ‘데이터 드리븐 애널리틱스(Data Driven Analytics)’가 반드시 수반돼야 하고, 이는 향후 금융회사에게 가장 큰 비용이 소요될 수 있는 영역이다.

지금까지 언급한 글로벌 규제 방향성인 투명성(Transparency), 온-고잉(On-going), 애널리틱스(Analytics)라는 화두는 국내 금융회사의 해외 지점·점포의 자금세탁 방지 영역에서 향후 반드시 고려해야만 한다.

아울러 이를 기반으로 자금세탁방지 시스템 구축 및 내부통제 절차를 수립해야 한다.

과거, 우리나라 금융권에서 추진하던 빅뱅 또는 SI가 아닌 업무 프로세스 상에서의 DevOps(S/W의 Development가 아닌 룰/모델의 Development)로 구축해야 한다.

이를 통해 시스템적 안정성 및 검증, 선진 글로벌 레퍼런스, 시스템 유지보수, 글로벌 활용에 의한 규제기관의 검증 프로세스 간소화 등을 지원해야 한다.

그렇지 않고서는 자금세탁방지 규제 준수는 인력과 비용이 충분하지 않은 해외 지점·점포의 운영에 큰 걸림돌이 될 수밖에 없다.

글로벌 규제 방향성에 적합한 환경의 AML 시스템 구축과 시스템 운영은 향후 해외 지점·점포 운영의 가장 큰 도전이 될 것이다.

이러한 다양한 규제 방향 때문에 최근 글로벌 시장조사 기관에서는 AML 영역에서 향후 연평균 53% 이상의 비용 증가와 함께, 인력 충원 톱(Top) 3 부서로 언급하고 있다.

우리 금융회사도 그에 적합한 형태의 투자와 계획이 이뤄져야 하는 이유이다.

◆'2017년도 자금세탁방지 10대 중점 검사항목'

이같은 글로벌 동향에 발맞춰 2016년 12월 16일, 금융정보분석원(FIU)은 ‘자금세탁방지 검사수탁기관 협의회’를 주최했다.

이 협의회에서는 2016년 검사 운영 실적을 점검하고, 2017년 감독·검사 등 정책방향을 논의하고 ‘2017년도 자금세탁방지 10대 중점 검사항목’을 선정, 공유했다.

그 내용은 아래 표와 같다.

▲ '2017년도 자금세탁방지 10대 중점 검사항목'

이 중 3), 4), 6), 7), 8), 9)가 필자가 언급한 글로벌 자금세탁 규제 방향성과 일맥 상통하는 내용으로, 향후 더욱 강화될 수밖에 없는 규제이기도 하다.

◆프로-액티브(Pro-Active)하게 움직이라.

글을 마무리하는 지금, 필자는 금융회사 관계자에게 한 가지 간곡한 당부를 하고자 한다.

“규제에 프로-액티브(Pro-Active)하게 움직이라”는 것이다.

자금세탁방지 규제는 앞으로 더욱 강해지면 강해졌지 결코, 약화되지는 않을 것이다.

특히, 시간차가 없이 금융환경의 글로벌화가 진행되고, 핀테크 업체로까지 경쟁이 심화되고 있는 상황에서 규제에 따른 벌금, 자금세탁 및 금융 범죄에 의한 피해 등은 늦게 또는 미온적으로 대처하는 금융기관에 집중될 수밖에 없다.

따라서 글로벌 규제 및 국내 규제에 대응해 내부 통제 프로세스를 강화하고, 투명성(Transparency), 온-고잉(On-going), 애널리틱스(Analytics)를 유지/강화할 수 있는 방향으로 접근해야 한다.

이를 위한 초기 비용은 다소 증가할 수 있다.

그러나 장기적으로는 ▲규제기관의 검사 및 인증에 따른 리스크 감소 ▲향후 운영을 위한 비용 감소 ▲새로운 규제가 추가됐을 경우 시스템 개선/재구축 증가 비용 감소 등의 효과를 경험할 수 있다.

지금까지 언급한 세 가지 방향성이 현저히 적은 인력으로 해외 지점·점포를 운영하는 국내 금융회사의 글로벌 자금세탁방지 규제 준수를 위한 작은 이정표가 되길 간절히 바라며 글을 마치고자 한다.

<SAS코리아 조민기 팀장>Min-Gi.cho@sas.com