금융IT

[2018 금융IT혁신④] 까다로운 금융 ‘레그테크’…IT역량 총동원

박기록

[디지털데일리 박기록기자] ‘레그 테크’가 국내 금융권의 핵심 현안으로 부상하고 있다. ‘레그 테크’는 규제(Regulation)와 기술(Technology)의 합성어다. 금융회사가 새로이 돌출한 규제(또는 제도)를 효율적을 준수하기위해 기업들이 적용하는 IT 신기술 전략을 총칭한다.

규제 내용이 늘어나다보니 대응해야 할 레그테크의 범위도 그와 비례에 확산되고 있다. 향후 금융권 IT투자의 40~50%는 레그테크에 집중될 것이란 전망이 나오고 있고, 이를 위해 인공지능(AI), 빅데이터 분석 등 최신 IT기술이 총동원돼야 할 것이란 관측이다.

정부도 기업들이 IT 신기술의 빠르고 유연한 적용을 돕기위해 관련 법과 규정을 손질하고 있다. 일정 기간동안 기존 규제를 면제하거나 유예시켜주는 ‘규제 샌드박스’(Sand Box) 논의가 그 어느때보다 활발하다.

바젤(Basel), IFRS, 솔벤시, AML 등 금융권에서 그동안 크고 작은 ‘규제’의 벽을 넘어왔다. 규제에는 양면성이 있다. 불편하고 까다롭지만 일단 빠른 대응을 통해 극복하면 대외신뢰도 제고로 보상을 받는다.

◆‘AML 고도화’, 금융권 핵심 컴플라이언스 과제로 부상 = 현재 국내 금융권이 직면한 규제 이슈중에서 ‘자금세탁방지’(AML ; Anti Money Laundering)규제는 2018년 국내 금융권이 직면해야할 가장 중요한 대응 과제로 꼽힌다.

금융회사 내부의 AML 관리 역량 뿐만 아니라 국제 공조를 통한 ML(Money Laundering)과 함께 TF(테러자금, Terrorist Financing)의 흐름 파악이 될 수 있도록 관리 체계를 정비해야 한다.

AML 현안과 관련, 국내 금융권을 당혹스럽게 하고 있는 것은 해외, 특히 미국 금융 당국의 조치가 예측이 불가하다는 점이다.

미 금융 당국은 지금까지 미국에 진출해있는 BNP파리바, HSBC, 중국 농업은행, 대만 메가뱅크에 막대한 금액의 벌금을 부과해 세계 금융가를 크게 긴장시켰다.

국내 은행중 3개 은행도 올해 초 뉴욕 금융 당국으로부터 AML과 관련해 개선 명령을 받은 바 있다. 벌금까지는 아직 아니지만 이미 위험에 노출돼있다는 것은 분명한 사실이다. 미 금융 당국은 국내 은행 지점이 내부통제시스템의 문제점을 지적받더라도 본점으로부터 인적, 물적 지원을 충분히 받지 못해 근본적인 개선이 이뤄지지않고 있다고 보고 있다.

미국은 금융회사 내부통제시스템의 구축 및 운영 수준이 미흡한지 여부를 중점적으로 본다. 내부통제시스템은 의심금융거래 보고의무, 고객확인의무, 내부통제시스템 구축(보고책임자임명, 위험평가 및 관리체계 구축 등) 의무로 구성된다.

가능성은 적지만 지정학적 리스크도 한국계 은행들의 AML 대응을 더 타이트하게 하는 요인이 될 수 있다. 북한의 미사일 발사로 한반도의 긴장이 크게 고조된 상황이고, 최근 미국은 북한을 테러리스트 지원국으로 재지정한 상황이다.

AML은 현지 국가의 금융감독 당국의 판단에 따라 제재여부가 결정되는 것이다. 금융회사 입장에선 결국 만반의 대응태세를 갖추는 것 외에는 방법이 없다. 아무리 대응을 잘했더라도 사고가 나면 제재는 피할 수 없다. 결과주의다. 이에 따라 뉴욕, 홍콩 등 주요 해외 금융시장에 지점을 운영하고 있는 국내 주요 금융회사들은 AML고도화 전략 마련을 위한 컨설팅을 진행하고 있다.

한편 AML과 관련해, 최근 미국 뉴욕 금융당국이 해외 은행 지점들에게 한 가이던스중 공통적인 것은 ▲AML 전문인력의 확보, ▲본-지점간 내부통제시스템의 강화, ▲IT 인프라를 활용한 효율적인 대응이다. 여기에 인공지능(AI), 빅데이터, 블록체인 등 IT 신기술을 통해 AML 대응 체계를 고도화할 것을 요구하고 있다.

국내 본점 - 해외지점간 내부통제시스템의 수준을 동일하게 유지하는 것은 쉽지않다. 본점-해외 지점간 업무 프로세스의 보완이 요구된다. 최근 수년간 국내 은행권은 해외 지점을 연결하는 글로벌 업무지원시스템을 크게 강화해 왔다. 하지만 이는 AML 대응 목적과는 거리가 있다.

IT기술적인 측면에서 본다면, 금융권에선 AML 고도화를 위한 로드맵이 제시돼야 할 것으로 예상된다, 예를들면 AML 대응을 위해 DFS(이상금융거래탐지시스템, Fraud Detective System)과 같은 핵심적인 IT인프라의 고도화는 필수적인 과제로 꼽힌다.

신한은행의 경우, 이상금융거래를 탐지하는 기존의 FDS시스템에 빅데이터를 적용하고 딥러닝을 강화한 '하이브리드 FDS 시스템'을 구축, 가동할 계획이라고 밝혀 주목을 끌었다. '하이브리드 FDS' 시스템은 지난 2월 신한은행이 도입한 딥러닝 기반 FDS 시스템에 대량의 이상 금융거래 데이터를 탑재하고 전문가들이 체계화한 '이상 금융거래 규칙'과 금융보안원의 '금융거래 블랙리스트'까지 입력해 탐지능력을 강화한 금융거래 탐지시스템이다. 신한은행은 이 시스템에 2015년 이후 최근까지 발생한 '이상 금융거래 빅데이터'를 탑재했다.
부산은행이 적용한 AI 딥러닝 기반 FDS 운영화면
부산은행이 적용한 AI 딥러닝 기반 FDS 운영화면

지난달 초, BNK부산은행은 인공지능(AI) 기반 딥러닝이 적용된 이상거래탐지시스템(FDS) 구축을 완료하고 가동에 들어갔다. BNK부산은행은 시스템을 공식 오픈하기전 3개월간 1000건의 넘는 각종 FDS 사고 유형을 대입해 딥러닝으로 분석한 결과, 사고데이터 탐지율 98.6%, 이상거래 탐지 오탐률 0.018 %의‘딥러닝’모델을 생성하는 데 성공했다고 밝힌 바 있다. 사고데이터 탐지율 98.6%라면 사실상 현재 제시되고 있는 거의 모든 형태의 이상금융 거래를 거의 다 잡아내는 수준이다.

이와함께 최근에는 비트코인, 크라우드 펀딩 등 핀테크 기법이 크게 고도화되면서 이를 통한 불법자금 이동 가능성이 높아짐에 따라 AML의 성능 업그레이드의 요구가 커지고 있다.

한편 테러자금 흐름의 감시를 위해 기존보다 더 구체적인 IT인프라의 보강도 필요하다는 지적이 제기되고 있다.

인터넷전문은행 케이뱅크는 지난해 AML시스템 구축하면서 테러지원 위험 인물 리스트 등을 포함한 요주의 인물 또는 기관이 관련된 거래를 사전에 적발할 수 있는 솔루션인 '워치 리스트'(Watch List)를 적용했다. '워치 리스트'는 외산(다우존스) 유료 솔루션이다. 또 이와는 별도로 K뱅크는 위험 인물이 리스트에서 누락되는 것을 막기위한 ‘워치 리스트 필터링' 체계를 구현했다.

물론 현재 자금세탁방지기구(FATF), OFAC(Office of Foreign Asset Control) 등에서 요주의인물 및 기관 리스트를 무료로 제공하고 있다. 유료 솔루션을 이용해 AML 대응을 하는 것은 그만큼 AML 리스크를 조금이라도 줄일 수 있다고 기대하기 때문이다 .

◆발등의 불 ‘GDPR’, 대응 잘되고 있나 = 한편 GDPR도 금융권에선 내년에 집중해야 할 규제대응 과제중 하나로 꼽힌다. 내년 5월, EU에서 시행되는 GDPR에 기업들의 준수가 미흡할 경우 기업들은 과징금 폭탄을 맞게될 것이란 경고가 지속적으로 제기되고 있다. EU 현지에 현지법인 또는 지점을 운영하고 있는 금융회사들도 당연히 GDPR 규제에 대응해야 한다. 다만 아직도 국내 기업들의 GDPR 대응은 미흡하다는 게 대체적인 견해다.

GDPR은 EU 회원국의 데이터 보안을 위한 규정이다. 개인정보, 신용카드, 금융 및 의료 정보 등의 데이터가 저장되거나 전송되는 위치·방법, 정보에 접근할 때 적용되는 정책에 관한 관리·감독이 시행된다.

GDPR 대응 솔루션을 내놓고 있는 베리타스, 지란지교시큐리티, 파수닷컴 등 국내외 관련 전문업체들은 국내 금융권의 GDPR 대응 요구에 맞는 전략을 제시하고 있다.

베리타스코리아의 박경동 상무(글로벌서비스 담당)은 “국내 은행과 캐피털사를 중심으로 컴플라이언스 부서에서 GDPR에 대한 준비를 진행하고 있으나 대부분 현황 분석과 대응 계획을 고민하고 있는 것으로 알고 있다”며 ”다만 국내 금융회사들의 정형 데이터 관리 수준은 매우 우수하기 때문에 비정형 데이터에 포함된 개인정보 관리를 우선으로 진행하는 것이 짧은 기간에 GDPR에 대응하는 효과적인 방법으로 생각된다”고 조언했다.

특히 GDPR에서 정의하는 포괄적인 개인정보를 포함하고 있는 비정형 데이터를 파악하는 것이 무엇보다 중요하다는 것이다. 박 상무는 “나아가 GDPR 대응을 계기로 전사 차원의 정보 거버넌스 체계를 점검, 확립하고, 미비한 부분을 보완하는 것이 장기적 관점에서 필요하다”고 덧붙였다.

파수닷컴 관계자는 “금융회사를 포함한 EU 시민들의 개인정보를 다루는 기업들이 현재 개인정보를 포함한 모든 데이터들을 실시간으로 탐지, 분류해 통합 문서 현황 정보를 파악하기 위한 솔루션들을 검토하고 있다”고 최근의 상황을 전했다. 파수닷컴은 데이터 거버넌스 관점에서 GDPR을 준비 중이며, 빅데이터 처리를 위한 비식별화에 중점을 두고 있다.

지란지교시큐리티는 “GDPR은 개인정보의 보호뿐만 아니라 정보 모니터링을 통한 정확한 정보의 위치 식별과 요구사항에 따른 빠른 후속 조치가 요구된다”며 “특히 개인정보보호에 민감한 금융권에서의 정보 모니터링에 대한 관심도가 높아진 상태” 라고 전했다.

<박기록 기자>rock@ddaily.co.kr


[제13회] 2018년 전망, 금융IT 이노베이션 컨퍼런스에 여러분을 초대합니다.

독자 여러분 안녕하십니까.

디지털금융 전략 구현을 위한 금융권의 역동적인 도전이 전개되고 있습니다. 인공지능(AI), 블록체인, 빅데이터 등 신기술이 금융산업에 핵심 ICT 인프라로 편입되고 있습니다.

또‘클라우드’를 고려한 시스템 운영 전략, 비대면채널 시대에 맞춘 UI/UX 전략, 금융보안 강화 전략도 2018년 금융권의 중요한 혁신 과제입니다. 여기에 AML고도화 등 글로벌 금융시장에서 신인도 제고를 위한 컴플라이언스 대응도 시급한 과제입니다.

<디지털데일리>는 국내외 금융권 IT 기획자 및 관련 업계 담당자를 초청해, 내년 금융 IT이슈 및 정책과제를 진단하기위한 '2018 금융IT 혁신 컨퍼런스'를 개최합니다. 금융 IT트랜드를 공유하고, 업계가 제시하는 최신 금융솔루션 전략을 경험할 수 있기를 기대합니다.

독자 여러분의 많은 관심과 참여 부탁 드립니다.

자세한 행사 일정 및 프로그램 안내

박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널