* 본 특집 기사는 디지털데일리가 올해 6월30일 발간한<2018년판 디지털금융 혁신과 도전>에 수록된 내용중 일부를 요약, 정리한 것으로써 편집사정 및 서술 시점상 책의 내용과 일부 다를 수 있습니다.
[기획8] ‘레그 테크’, 금융 IT의 핵심 현안… “상시 대응전략 가동”
- AML시스템 고도화, 국내 본점-해외지점 통합관리체제 전환
- IFRS17, 대형 보험사 선도…중소형사 관망
- EU GDPR 올해 5월 시행들어갔지만 국내 기업 준비 여전히 ‘미흡’
[디지털데일리 박기록, 이상일, 최민지기자] 규제대응(Compliance) 이슈는 금융권이 가장 민감하게 체감하는 IT대응 과제다. 회사의 평판과 직결되는 문제일뿐만 아니라 자칫 비즈니스 자체가 막힐 수 있다.
금융권에 있어서 이같은 규제대응 이슈의 증가는 불가피하다. 금융산업이 이종 산업과 결합해 융복합서비스를 끊이없이 창출하고 있고, 디지털금융의 확산으로 개인정보보호, 리스크관리 등 각종 규제와 맞물리게 되면서 규제대응 이슈도 이와 비례해 크게 증가하고 있는 것이다.
이에따라 규제에 신속하고 전략적으로 대응하기위한 ‘레그 테크’(Regulation Technology)가 금융권에선 핫 키워드로 떠오르고 있다. 복잡한 컴플라이언스 이슈에 민첩하게 대응하기위해서는 IT기반의 체계화된 대응이 필요하다. 이는 약 2년간 IT업그레이드를 못한채 IT혁신을 추진하는 '빅뱅식' 차세대시스템 구축 방식이 더 이상 유효하지 않다는 이유로 제시되기도 한다.
까다롭고, 난해한 규제대응 범위를 고려해 이제 인공지능(AI)이 레그 테크에 본격적으로 적용되고 있는 추세다. IBM은 자사 AI인 '왓슨'을 이용해 금융산업 컴플라이언스 시장에 대응하고 있다. 이미 지난해 전세계 주요 은행들이 지출하는 운영비의 10%인 2700억 달러가 컴플라이언스 대응을 위해 지출된 것으로 보고되고 있다.
금융권에선 다양한 형태의 규제대응 사업이 진행되고 있는데 역시 가장 주목할할만한 대응 과제는 AML(자금세탁방지)시스템 고도화다. 지난해 12월, 농협은행 뉴욕지점은 뉴욕금융감독청(NYDFS)으로부터 AML대응이 미흡하다는 이유로 1100만 달러(한화 약 129억원)의 과태료를 부과받은 바 있다. 이 사례는 그동안 형식적인 AML 대응에 머물러왔던 국내 금융권에 충격을 줬다. 최근 은행권은 과도하다 싶을 정도로 이 문제에 상당히 민감해진 상태다.
미(美) 금융당국은 AML 대응과 관련해 특별히 정형화된 모델을 요구하는 것은 아니다. 다만 시스템의 완비여부, 전문인력의 확보, 본점과 해외지점간 의사결정 프로세스의 적절성 등 상당히 복합적이다. 단순히 기술적으로만 ALM 대응 시스템을 갖췄다고 안심할 수 없다. AML위험에 대해 금융회사가 ‘실질적이고 효과적인 대응수단’을 갖췄는지를 보고 있다. 이와함께 AML 대응 이슈는 은행권의 글로벌뱅킹(국외전산)시스템 고도화 이슈와도 맞물리면서 더욱 프로젝트 개발 범위가 넓어지는 상황이다.
이와함께 은행권을 중심으로 올해 전개되고 있는 ‘정보보호 컴플라이언스’ 구축도 주목된다.보안업무를 표준화하고, 관리절차를 수립함으로써 보다 신속하게 은행 내부및 외부 다양한 컴플라이언스 기준에 대응하는 것이 목적이다.
보험업계에선 국제회계기준(IFRS17) 대응 시스템 구축이 가장 중요한 규제대응 과제다. 오는 2021년1월 부터 적용되는 IFRS17은 보험사의 대외신인도와 직결된다. IT비용부담때문에 단독 구축이 어려운 중소보험사들은 보험개발원 등과 함께 시스템 공동 개발을 진행하고 있다.
이밖에 금융권의 리스크관리시스템 고도화도 활발하다. 올해 주목할만한 리스크관리스템 고도화사업으로는 은행권을 중심으로 진행되고 있는 ALM(자산부채관리시스템)구축 사업이 꼽힌다. ALM 구축은 ‘신(新) 금리리스크’(IRRBB)기준에 대응하기위한 것이다. 그동안 국내 리스크관리시스템 사업에서는 외산 리스크관리 패키지가 압도적으로 많았지만 이제는 외산보다는 자체 개발을 선호하는 것으로 방향이 다소 바뀌었다는 점이 주목할만한 변화다.
◆ “보다 체계적으로 컴플라이언스 대응” = 금융보안원은 오는 9월을 목표로 4가지 분야의 금융 레그테크 적용을 위한 시스템을 구축, 오픈할 계획이다. 현재 금융보안 규제 및 가이드가 60종을 상회할 정도로 복잡하다.
금융 당국도 규제의 증가로 감독해야할 대상 기관이 지속적으로 증가함에 따라 관리 부담이 커졌다. 이미 취약점평가 대상 기관이 300개가 넘고 전금업자의 수는 100개를 넘어선 상황이다. 금융 당국 입장에선규제준수 사항을 상시 모니터링할 수 있는 체계가 필요해졌다. 그 해법중 하나가 금융보안원 주도의 레그테크 시스템 구축이다.
금융보안원은 국내 금융환경에 맞는 레그테크 가능영역 파악을 위해 금융보안과 연관있는 6개 분야를 대상으로 40여개의 레그테크 솔루션을 리뷰했다. 현재 도입이 추진중인 레그테크 분야는 ▲컴플라이언스 업무 자동화 ▲인텔리전스 규제 및 검색알림 서비스 ▲금융보안 보고서 자동 리포팅 ▲금융보안 업무지원 서비스 등이다.
‘컴플라이언스 업무자동화’의 경우, 금융회사가 각종 컴플라이언스 업무를 체계적으로 이행할 수 있도록 웹 기반의 자동화된 진단도구를 제공한다. 이를 통해 금융사는 자신의 보안수준을 스스로 평가하고 진단관리 할 수 있는 체계를 마련할 수 있다.
또 자동 리포팅시스템은 지정된 양식에 맞춰 내용을 입력하면 보고서를 자동 생성하고 작성 및 편집이 완료된 보고서를 웹페이지에서 전자적으로 제출하고 보고서 접수자가 제출 현황 등을 체계적으로 관리할 수 있도록 시각화된 관리 플랫폼을 제공한다. 예를 들면, 법령관리 솔루션 ‘트랙빌(TrackBill)’의 경우 법률정보 검색 및 개정 사항을 실시간으로 알려주며, 리스크관리솔루션인 ‘Rsam’은 체크리스트 점검 등을 통해 수집한 정보를 분석해 기업의 리스크 정보를 제공한다.
◆AML, 은행권 전방위 시스템 업그레이드 = 금융회사는 AML 관리역량 뿐만 아니라 국제 공조를 통한 ML(자금세탁)과 함께 TF(테러자금)의 흐름 파악이 될 수 있도록 관리체계를 정비해야 한다. 특히 미국 금융 당국의 강력한 조치가 큰 부담이다. 미 금융당국은 미국에 진출한 BNP파리바, HSBC, 중국 농업은행, 대만 메가뱅크 등에 막대한 금액의 벌금을 부과한 바 있다. 국내 은행은 지난해말 3개 국내 은행이 경고를 받았고, 이중 농협은행 뉴욕지점이 벌금을 부과받았다.
미국은 금융회사 내부통제시스템의 구축 및 운영 수준이 미흡한지 여부를 중점적으로 보는데, 내부통제시스템은 의심금융거래 보고의무, 고객확인의무, 내부통제시스템 구축(보고책임자임명, 위험평가 및 관리체계 구축 등) 의무로 구성된다.
AML과 관련해, 해외 은행 지점들에게 요구한 가이드라인의 핵심은 ▲AML 전문인력의 확보, ▲본-지점간 내부통제시스템의 강화 ▲IT 인프라를 활용한 효율적인 대응이다. 또 여기에 인공지능(AI), 빅데이터, 블록체인 등 IT 신기술을 통해 AML 대응 체계를 고도화하는 것은 금융회사의 재량이다.
국내 본점 - 해외지점간 내부통제시스템의 수준을 동일하게 유지하는 것은 쉽지않지만 어찌됐든 미국 금융당국이 원하는 눈높이에 맞춰야하기 때문에 국내 본점-해외 지점간 업무 프로세스의 고도화는 필수다.
이에 따라 올해들어 은행권에서는 국내 본점과 해외 지점을 연결하는 글로벌 업무지원시스템(국외전산시스템)을 개선 작업을 대대적으로 나서고 있다.
지난 수년간, 국내 금융권은 AML 대응을 위해 DFS(이상금융거래탐지시스템)과 같은 핵심적인 IT인프라를 구축해왔다. 신한은행은 이상금융거래를 탐지하는 기존의 FDS시스템에 빅데이터를 적용하고 딥러닝을 강화한 ‘하이브리드 FDS 시스템’을 가동중이다. 이 시스템은 지난해 2월 신한은행이 도입한 딥러닝 기반 FDS시스템에 대량의 이상 금융거래 데이터를 탑재하고 ‘이상 금융거래 규칙’과 금융보안원의 ‘금융거래 블랙리스트’까지 입력해 탐지능력을 강화했다. 여기에 신한은행은 2015년 이후 최근까지 발생한 ‘이상 금융거래 빅데이터’도 탑재했다.
BNK부산은행도 지난해 하반기, 인공지능(AI) 기반 딥러닝이 적용된 FDS시스템 구축을 완료하고 가동에 들어갔다. 부산은행은 시스템을 공식 오픈하기전 3개월간 1000건의 넘는 각종 FDS사고 유형을 대입해 딥러닝으로 분석한 결과, 사고데이터 탐지율 98.6%, 이상거래 탐지 오탐률 0.018 %의‘딥러닝’모델을 생성하는 데 성공했다. 98.6%이면 사실상 거의 모든 형태의 이상금융 거래를 거의 다 잡아내는 수준이다.
이와함께 가상화폐, P2P방식의 크라우드펀딩 등 핀테크 기법이 크게 고도화되면서 이를 통한 불법자금 이동 가능성이 높아짐에 따라 AML의 성능 업그레이드의 요구가 커지고 있다.
인터넷은행인 케이(K)뱅크는 지난해 AML시스템 구축하면서 테러지원 위험 인물 리스트 등을 포함한 요주의 인물 또는 기관이 관련된 거래를 사전에 적발할 수 있는 솔루션인 '워치 리스트'(Watch List)를 적용했다. 이와 별도로 K뱅크는 위험 인물이 리스트에서 누락되는 것을 막기위한 ‘워치 리스트 필터링' 체계를 구현했다. 물론 현재 자금세탁방지기구(FATF), OFAC 등에서 요주의인물 및 기관 리스트를 무료로 제공하고 있지만 별도로 유료 솔루션을 이용해 AML에 대응을 하는 것은 조금이라도 리스크를 줄일 수 있다고 기대하기 때문이다
미국은 9.11 테러이후 강력한 AML 정책을 실행에 옮기고 있다. 테러리스트들에게 흘러들어가는 돈줄을 막겠다는 의도에서 출발한게 AML이다. 미 금융당국은 어떻게 미국에 진출한 전세계 금융회사를 대상으로 촘촘하고 강력한 감시망을 가동하고 있다.
미국은 재무부, 공기업, 각 주정부 산하 국무부 등이 자금세탁 관련 감독기관으로서 광범위하게 참여하고 있다. 미국에 진출한 금융회사가 이 규제망을 벗어나는 것은 거의 불가능에 가깝다는 게 전문가들의 견해다.
미국 금융감독 기관중 AML정책과 관련해선 미 재무부가 가장 주도적이다. 미 재무부는 산하 FIU(금융정보분석원)를 통해 AML 감독에 나서고 있는데, FIU산하에는 'OCC'(미국 통화감독청), 모든 금융기관의 불법적인 자금거래를 감독할 수 있는 전담기구 'FinCEN'을 두고 있다. ‘FinCEN’ 은 BSA/AML과 관련한 모든 항목을 감독한다. 미 재무부는 FIU외에 OFAC(Office of Foreign Assets Control)이란 별도의 관리 감독 기구도 운영하고 있다. OFAC도 역시 FIU처럼 모든 금융회사를 조사, 감독할 수 있는 권한을 가진다.
미국 FIDC(예금보험공사)와 같은 공기업은 주립소속 금융회사들에 대해 AML 감독과 제재가 가능하다. 또한 주립(주정부)산하 국무부(DOS)차원의 감독도 매우 강력하다. 뉴욕에 진출한 외국계 금융회사에 막대한 벌금을 부과한 NYDFS가 이에 해당한다. NYDFS는 뉴욕주 라이선스은행을 대상으로 BSA/AML 모든 항목을 감독 관리할 권한을 가진다. 미국의 다양한 감독 기관에 각각 대응하는데 많은 비용과 인력이 소요되기 때문에 체계적인 레그테크 솔루션을 중심으로 한 대응의 필요성은 더욱 커지고 있다.
◆정보보호 컴플라이언스, “까다로운 보안규제에 체계적 대응” = 규제대응 미비로 인해 발생하는 리스크를 해소하기 위해 레그테크 대응 사업이 본격화되고 있다. 앞서 암호화폐와 관련해 금융당국은 은행을 중심으로 한 암호화폐거래소의 AML 감시의 의무를 부과하며 은행들이 암호화폐 관련 점검 시스템구축을 마무리했다.
우리은행은 올해 1분기, 정보보호 컴플라이언스 시스템 구축 사업을 발주했다. 우리은행은 새로운 시스템 운영 체계 아래서 보안 정책을 점검하고 고객 정보보호 등의 실태 점검에 나선다. 5개월간 진행되는 이번 사업을 통해 우리은행은 ▲보안정책 예외승인, 교육점검 현황관리, 보안성심의 관리 등 분산된 정보보호 활동의 통합관리 ▲고객정보 과다조회, 부당조회 소명관리 등 고객정보 이용 상시모니터링 체계 구축 ▲영업점 자체점검, 영업점본부부서수탁업체 실태점검 관리 등 체계적인 정보보호 활동지원 ▲법령, 규정 기반 체크리스트 제공, 통제항목 관리 등에 대응할 계획이다.
BNK금융그룹 산하 경남은행도 올해 보안업무 및 컴플라이언스 관리 솔루션 도입에 나섰다. 경남은행은 내·외부의 다양한 컴플라이언스 기준에 대한 신속한 대응을 위한 보안업무표준화 및 관리절차 수립에 나선다. 이와함께 컴플라이언스 관리항목에 대한 점검 절차, 방법 등의 정형화 및 통합 관리를 통한 외부 감사, 인증 심사 등에 대한 효율적 대응과 업무 연속성 확보에 나설 계획이다.
경남은행은 이번 사업을 통해 컴플라이언스 등록 및 관리를 위한 ▲단위 업무별 등록 및 관리 지원 ▲컴플라이언스 제개정 이력(버전) 관리 ▲보안 감사 대응 및 관리 ▲산출물 생성 이력 확인 및 관리 시스템을 구현한다. 또 시스템 운영을 위해 ▲장비 접속 시 암호화 프로토콜 사용(SSL등) ▲접근 통제 및 권한 관리(업무 유형, 담당자, 기능별 등) ▲단계별 자동/수동 알림 기능 제공(SMS, 이메일, 메신저 등) ▲인사정보, SSO 등 내부시스템 연동 기능을 구축한다.
◆ IFRS17 ‘카운트다운’, 보험업계 총력 대응 =국제회계기준위원회는 오는 2021년부터 시가기준 부채평가방식을 기반으로하는 IFRS17을 적용한다. 보험부채 시가평가 기준 및 체계 구축, 상품 개발 및 성과평가 방식 등 경영전략 전면 개편이 불가피하다.
IFRS의 국내 도입은 2018년, 2019년, 2021년 등 순차적으로 도입된다. 순차적으로 도입되는 IFRS의 종류도 다양하다. IFRS9, IFRS15, IFRS16, IFRS17 등이다. 다만 금융권에 적용되는 IFRS는 크게 2가지다. 지난 1월부터 은행권에 도입된 IFRS9은 대손충당금 산출시 기존 발생손실에서 미래예상손실로 기준이 변경되는 것을 내용으로 한다.
반면 IFRS17은 보험회사의 지급 보험금의 산정기준인 계약 시점의 원가에서 매 결산기 시장금리 등을 반영한 시가로 평가된다. 또한 상품판매로 인한 수익을 납입기간이 아닌 보장기간까지 포괄해서 인식해야 하는 등 새로운 기준을 따라야 한다.
은행권은 IFRS9에 대응을 대부분 마무리 한 상황이다. 따라서 관심사는 보험업계의 ‘IFRS17’대응이다. 특히 보험업계에선 올해 시스템 구축을 끝내고 실제운용에 들어가는 대형 보험사들이 나타날 것으로 보인다. 다만 보험업계 전체적으로보면, 개별 보험사들의 준비는 아직 미진하다. 금융감독원이 올해 상반기에 조사한 결과, 다수의 보험사 시스템 완료시기는 2019년 하반기에 집중됐다. 여전히 일부 보험사는 사업자 미 선정 등으로 개발 일정에 차질이 우려되는 상황이다.
기술적으로보면, IFRS17 시행대비 시스템 구축과 관련해 보험사들은 계약건별로 계약자옵션 등을 반영해 현금 흐름을 선출해야 하기 때문에 데이터 처리량이 대폭 증가하게 된다. 또 예정 및 실제 차이가 회계에 직접 영향을 주는 만큼 가정 관리 중요성 증대로 기존 시스템 개선 또는 신규시스템 구축이 필요하다.
2021년까지 시간이 많아 보이지만 실제 구축 기간과 테스트 일정을 고려하면 시간이 빠듯하다. 또 IFRS17은 보험사의 자본에 근본적인 영향을 미치는 만큼 상세한 컨설팅과 설계가 불가피하다. 이러한 역량을 가지고 있는 곳이 국내 4대 회계법인 외에는 마땅히 선택할 곳이 없다는 점에서도 자칫 사업을 하지 못하는 경우가 생길수도 있다.
그럼에도 불구하고 중소 보험사들은 시스템 구축에 선뜻 나서지 않고 있다. 비용이 만만치 않기 때문이다. IFRS17 사업에 필요한 전문 개발자도 여전히 부족하다. 일단 중소 보험사들은 대형 보험사들과 이들의 결과물을 지켜보고 해법을 찾아보겠다는 입장이다.
이러한 관점에서 주목받고 있는 것은 보험개발원과 일부 보험사들이 공동으로 개발하고 있는 보험사 공동 IFRS 시스템 구축 사업이다. 이 사업은 LG CNS와 아시아나IDT 컨소시엄이 수주해 사업을 수행 중이다. 보험개발원은 2015년부터 10개 보험사와 공동으로 IFRS17 통합시스템 ‘아크 (ARK; Agile·Reliable·Keen) 시스템’ 개발을 진행 중이다. 참여 보험사는 흥국, DB, DGB, KDB, 현대라이프 등 5개 생명보험사와 흥국, NH농협, 롯데, 더케이, MG 등 5개 손해보험사다.
‘아크’시스템은 GPU(Graphic Processing Unit)방식을 적용해 주목을 받기도했다. IFRS17 수행을 위해서는 대량의 반복연산 작업이 필요한데 이 작업을 병렬로 처리하기위해 속도가 빠른 GPU 방식이 요구되고 있기 때문이다. 다만 GPU방식이 보험권의 IFRS 전방위로 확산되고 있지는 못하다. 현재 시스템 구축 시장에 GPU 기반의 구축 역량을 가진 곳이 많이 없다는 점이 문제로 지적된다. CPU에서 GPU로 연산장치가 바뀔 경우 전체적인 아키텍처도 바뀌게 되는데 이러한 GPU 기반 아키텍처 설계 및 변환에 전문가들이 국내에 부족하다. 때문에 보험개발원도 사업 초기에 GPU 도입을 통한 성능 확보에 어려움을 겪었던 것으로 알려진다.
대형사 중에는 교보생명이 첫 스타트를 끊었다. 교보생명은 현재 진행하고 있는 차세대시스템 구축과 병행해 IFRS17에 대응하고 있다. DB손해보험도 IFRS17 대응을 위해 지난해 5월부터 사업에 나섰다. NH농협생명은 LGCNS를 주사업자로 시스템 구축에 본격적으로 착수했다. 사업규모는 약 150억원이며, 구축기간은 2020년 7월까지 총 29개월이다.
반면 중소 보험사들은 대형 보험사들의 IFRS17 구축 경험을 쌓은 인력을 활용해 구축기간 단축과 비용절감을 기대하고 있다. 보험권의 IFRS17 구축 사업은 단순히 IFRS 대응을 위한 시스템 구축에서 끝나지 않는다. IFRS17 시스템은 보험사가 보유한 가치평가 시스템과 프로세스의 개선을 요구한다. 따라서 계리 및 자산부채 가치평가와 관련해 데이터관리 모델 관리 및 계산속도 향상을 강화해야 한다.
IT업계의 움직임도 본격화되고 있다. LG CNS, 한국IBM, 아시아나IDT, 대우정보시스템 등이 IFRS17시장에서 경쟁하고 있다. 이들 업체들은 회계법인들과 합종연횡을 통해 파트너십을 다지는 한편 한국 시장에 최적화된 계리솔루션 확보에 열을 올리고 있다.
IFRS17시스템 구축 시장에서 또 하나의 관전 포인트는 기존 외산 일색의 보험 계리솔루션이 여전히 시장을 장악할지 여부다. 그동안 보험업계의 계리솔루션은 대부분 패키지 기반의 SW도입이 이뤄졌으며 대부분 외산 솔루션이었다. 현재 보험권에서 주로 사용중인 계리솔루션은프로핏(Prophet), 엠지알파(MG-ALPHA), RAFM, 모시즈(Moses) 등이 꼽힌다.
하지만 IT서비스업계에서는 다른 솔루션을 찾고 있기도 하다. 대우정보시스템은 한화손보가 계리솔루션으로 낙점한 IBM의 AFM(Algo Financial Modeler) 사업조직과 접촉한 것으로 알려졌다. 현재 IBM은 AFM 조직을 RNA Analytics에 넘긴 상황이다.
클라우드 채택 여부도 관심이다. 계리시스템을 운영하기 위해선 강력한 컴퓨팅 파워가 요구되는데 클라우드를 통해 이를 해결하려는 시도가 이어지고 있다. 하지만 클라우드가 비용측면에서 도움이 되지 않는다는 견해도 있다.
한편으론 IFRS17 도입으로 보험사의 리스크 관리 능력 강화도 요구된다. 부채 시가평가, 손익 및 자본변동성 확대 등으로 보험사 리스크관리가 복잡해질 수 밖에 없다. 지급여력의 안정적 관리를 위해서는 회사 리스크 특성에 대한 정밀한 분석이 필요하다. 하지만 보험사가 리스크 관리를 위해 자체 위험평가체계(ORSA)를 운영하는 경우는 많지 않다. 금감원이 2017년 ORSA 운영현황을 점검한 결과에 따르면 ORSA 실시회사는 전체 57개사중 11개사에 불과한 것으로 드러났다.
◆리스크관리시스템 고도화, 신금리리스크(IRRBB) & ALM 개선 = 기존 금융권의 리스크관리시스템 고도화는 이제 상시적이다. 규제의 변화가 직접적인 원인이기도하지만 시스템 성능의 개선도 리스크관리시스템을 고도화하는 이유다.
BNK금융그룹은 올해 지주사, 부산은행, 경남은행, BNK캐피탈, BNK저축은행 등 계열사를 통합하는 그룹 통합 ALM(자산부채종합관리)시스템 구축을 통해 기존보다 그룹 차원의 리스크관리 역량을 강화할 계획이다. 이번 사업을 통해 전 계열사 공통 기준 금리 및 유동성리스크 측정 체계를 마련해 그룹 통합 금리 리스크 및 유동성리스크 측정, 모니터링 실시에 나선다는 방침이다.
또 전 계열사 공통 기준 금리/유동성리스크 측정 체계도 마련한다. 이를 바탕으로 비은행계열사(캐
피탈, 저축은행) ALM관련 분석 활용도를 제고하고 감독 규제 변화에 대한 그룹차원 공동 대응과 부산은행과 경남은행의 양행 IT표준화에 사전 대응한다는 계획이다.
BNK금융그룹은 통합 ALM시스템 구축을 통해 부산-경남은행의 IT표준화(리스크관리부문) 대응에도 나설 것으로 보인다. 리스크 관련 시스템을 먼저 표준화하고 다음으로 세부 시스템 및 금융서비스 등을 조율하면서 향후 효율적 운영을 위한 단계를 밟아 나갈 것으로 관측된다.
ALM시스템은 신금리리스크(IRRBB)규제에 대한 대응체계를 마련하기 위한 것으로, 그룹 통합 유동성비율(LCR/NSFR)산출 등에 나선다. 시스템 구축에는 11개월이 소요될 예정이다.
IBK기업은행은 ALM 시스템 고도화 프로젝트를 2018년7월까지 진행한다. 기업은행은 계좌별 산출을 기반으로 단일화된 현금흐름 엔진을 통해 ▲유동성규제대응, ▲신금리리스크 규제대응, ▲금리 및 유동성관리를 한꺼번에 할 수 있는 통합된 ALM시스템 구축을 목표로 지난해 8월중순부터 개발에 착수했다. 특히 기업은행은 IRRBB 대응을 위한 ALM시스템을 재구축 프로젝트를 외산 패키지없이 독자 개발하는 인하우스 방식으로 진행하기로 결정했다.
외산 패키지도 고려했지만 자체 개발 방식이 가장 완성도가 높다고 보고 내린 결정이다. 다만 자체개발 방식으로 프로젝트를 진행하려면 은행 내부 직원들과 참여 업체들의 업무 및 개발 노하우가 정교해야한다.
기업은행은 필수적인 계좌별 현금흐름 산출, 고객군별 특성(유입율과 이탈율, 또는 조기상환율과 중도해지율), 금리의 변화(장단기별 미래금리의 증감), 은행의 자금관리(재투자율 또는 신규투자금액)를 반영해 다양한 규제지표와 보고서가 산출되는 체계를 갖추게 된다. 기업은행은 향후 통합된 리스크관리시스템 체계 구축을 통해, 동일한 데이터에 다양한 시나리오를 접목하고 정합성 높은 결과를 도출할 수 있을 것으로 기대하고 있다. 아울러 금융감독 기관의 규제대응과 함께 안정적인 자금운용 전략활용을 통한 대외신뢰도 확보에도 긍정적인 효과를 기대하고 있다.
국내 은행들이 추진하고 있는 ALM시스템 고도화는 금리리스크와 유동성리스크 등 각종 리스크를 적정 범위내로 통제하면서 은행의 내재가치를 극대화하기위한 것이다. 방대한 데이터 관리의 어려움과 산출의 복잡성으로 그동안 국내 은행들은 해외업체가 개발한 패키지를 사용해 왔다. 최근에는 외산 솔루션 보다는 자체 개발하는 경향이 나타나고 있다.
신한은행은 자체 리스크 관리시스템을 개발하는 등 그동안의 운영 경험을 바탕으로 리스크관리시스템을 자산화했다. KDB산업은행은 BCBS 신금리리스크 측정 기준을 위한 IRRBB 대응을위한 시스템 구축에 나섰다. 금융감독원은 BCBS의 가이드라인에 의거, 강화된 금리리스크 표준방법 ‘IRRBB'를 2018년 하반기 국내 적용 예정이다.
산업은행은 내부측정법(IMS)에 ‘IRRBB' 사항을 반영해 금리리스크 관리체계의 ‘IRRBB' 부합여부 점검 및 미비사항 보완과 현행 금리리스크 산출 시스템 문제점 개선에 나선다. 산업은행은 현재 구축 중인 ‘IFRS9 시스템 구축’과 연계하도록 시스템을 구현하고 올해 확정 예정인 감독당국의 세부요건 반영 및 공시용 보고서 화면 개발 등에 대응한다는 계획이다. 각 은행별로 ALM시스템을 포함한 기존 리스크관리스템 고도화 범위에 차이가 있지만 전문가들은 IRRBB 대응을 위한 리스크관리시스템 고도화 프로젝트에 은행별로 총 40~50억원의 비용이 소요될 것으로 예상하고 있다.
◆EU GDPR, 어떻게 대처해야하나? = 유럽연합 일반개인정보보호법(EU GDPR)이 5월25일부터 본격 시행됐다. EU GDPR은 지난 2016년 5월27일부터 채택돼 2년간 유예기간을 거쳤다. 효력은 이미 발효돼 있지만 새로운 규정인 만큼 준비할 수 있는 기간을 줬던 것. 이젠 국내기업들도 GDPR을 피할 수 없게 됐다.
GDPR은 현대화된 개인정보보호 거버넌스 체계를 마련하고 정보보호와 활용 차원의 권리와 의무를 강화하기 위해 마련됐으며, 모든 EU 회원국에게 직접적으로 적용된다. 국내기업도 EU 내 정보주체 정보를 처리하고 있다면 이 규정을 준수해야 할 의무를 갖게 된다.
기업들이 가장 두려워하는 부분은 아무래도 과징금이다. 기술적·관리적 조치 등을 위반하게 되면 1000만유로(한화 약 124억원) 또는 전세계 매출액의 2% 중 높은 금액을 부과하게 된다. 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 등을 위반하면 최대 2000만유로(한화 약 248억원) 또는 전세계 매출액의 4% 중 높은 금액을 과징금으로 내야 한다.
과징금이 이례적으로 높기는 하지만, 이는 심각한 위반에 대한 최대 수준을 말하는 것으로 무작정 두려워만 하지 않아도 된다는 것이 한국정부의 판단이다.
악의적 의도가 없다는 점이 입증되면 충분히 경감 가능하고, 위반 성격, 태만, 법규 위반, 협조 수준 등을 따진 후 비례적으로 처벌 수준을 적용하기 때문이다. 이와 관련 29조 작업반 가이드라인에는 과징금 부과의 11가지 기준을 명시했다.
여기에는 ▲위반 성격, 중대성 및 지속기간 ▲위반 의도성 또는 태만 여부 ▲정보주체 피해를 경감하기 위한 컨트롤러·프로세서 조치 ▲기술적·조직적 보호조치를 고려한 컨트롤러·프로세서 책임 수준 ▲컨트롤러·프로세서가 이전에 범했던 관련 법규의 위반 여부 ▲위반을 해결하기 위한 감독기구와의 협조 수준 ▲위반으로 인해 영향을 받게 되는 개인정보 종류 ▲컨트롤러·프로세서의 위반 통지 여부 ▲동일한 사안에 대한 감동기구 명령이 부과된 바 있는지 여부 ▲승인된 행동강령 또는 인증 매커니즘의 준수 여부 ▲위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등이 포함돼 있다. 컨트롤러는 개인정보 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체 등을 의미한다. 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 자(단체)다.
GDPR과 관련해 기업들이 가장 먼저 궁금해 하는 부분은 적용 대상이다. 본인의 회사가 GDPR에 직접적 구속력을 받게 되는지를 우선적으로 알아야 하기 때문이다. GDPR 적용 범위는 ▲EU 내 설립된 기업이 개인정보를 처리 ▲EU 외부에 설립된 기업이 EU 역내에 재화나 서비스를 제공 ▲EU 역내 정보주체를 모니터링하는 경우에 해당된다. 실제 개인정보가 EU 지역에서 처리되는 지 여부와 상관없이 EU 내 사업장을 운영하고 개인정보 처리를 수반한다면 GDPR을 지켜야 한다.
예를 들어, 교육 업체가 EU 내 스페인권과 포르투칼어권 대학에 강좌를 개설하고 서비스 제공을 위해 고객의 ID와 비밀번호를 요구하고 있다면 GDPR에 적용된다. 금융도 마찬가지다. 유럽지역에 은행 지점을 개설해 EU 시민의 계정을 관리하고 있다면 GDPR에 속하게 된다. 특히, 금융정보는 민감정보이기 때문에 당연히 개인정보다.
적용 예외도 있다. EU 역외에 설립된 기업이 EU 역내 정보주체를 구체적으로 겨냥하지 않은 상황에서 EU 내 정보주체가 서비스를 활용할 때다. 한국을 방문한 유럽 시민이 국내 호텔을 이용하면서 개인정보를 제공하더라도 예외 상황으로 간주한다. 해당 호텔이 유럽 시민을 직접적으로 겨냥하지 않은 상태에서 받은 정보이기 때문이다.
엄격해진 동의 규정 = GDPR과 기존 개인정보보호법과 다른 점 중 하나는 ‘동의’다. 내용에 대해 설명하고 정보를 제공한 후 동의를 받는다면 적법하다고 판단했지만, 이제는 다르다. GDPR에서는 동의를 엄격하게 보고 있다. GDPR에서는 정보주체가 진술이나 적극적인 행동으로 개인정보 처리에 대한 동의를 나타내는 본인의 의사를 자유롭게 제시하는 구체적이고 뚜렷하며 보호하지 않은 표시로 보고 있다. 또, 동의 방법에 구체성을 추가했으며 사전 동의를 요구하고 있다.
침묵, 디폴트 세팅, 미리 체크된 박스 등은 유효한 동의가 아니다. 단순히 체크표시를 한다고 동의를 했다고 보지 않겠다는 것이다.
핸드폰을 8자로 돌려 의사를 표현하게 하거나, 진술을 직접 입력해야 한다. 명확한 행동과 적극적 동의를 말하고 있다. GDPR에서는 6가지 개인정보의 적법 처리 조건이 나와 있는데, 이 중 하나가 정보주체의 동의다.
EU 밖으로 개인정보를 이전할 때도 정보주체의 명시적 동의가 필요하다. 만약, 한국이 EU 집행위원회로부터 적정성 승인을 받은 국가로 결정된다면 별도의 개인정보 이전 계약 또는 정보주체의 동의 등을 구하지 않아도 개인정보 역외 이전이 가능해진다.
하지만, 기업은 한국정부가 EU 적정성평가를 받을 때까지 무작정 기다리기보다는 안전한 개인정보 이전을 위해 표준 개인정보보호 조항, 구속력 있는 기업 규칙(BCRs), 승인된 행동강령, 승인된 인증제도, 정보주체의 명시적 동의 등에 대한 준비를 해야 한다. 한국정부는 EU 적정성평가를 연내 받을 수 있을 것으로 예상하고 있다.
기업 책임성 강화
GDPR은 기업 책임성 강화를 위한 조치사항을 마련했다. GDPR에서 신설된 항목으로, DPO(Data Protection Officer) 지정이다. DPO는 컨트롤러·프로세서의 개인정보 처리 활동 전반에 관한 자문역할을 하는 전문가로, 조직의 관리체계 구축과 임직원 교육, 감독 기관과의 의사소통 등의 역할을 수행한다.
기업은 DPO로 조직 내부의 직원을 임명할 수 있으며, 외부 서비스 계약에 의한 임명도 고려 가능하다. 또한 DPO는 기업으로부터 업무상 지시를 받지 않으며, 최고경영진에게 직접 보고할 수 있는 권한이 보장돼야 한다.
기업의 핵심 활동이 민감정보의 대규모 처리를 포함하거나, 개인에 대한 대규모의 정기적이고 체계적인 모니터링을 포함한다면 DPO를 반드시 지정해야 한다. 법원을 제외한 공공기관도 DPO를 임명해야 한다.
예를 들어, 민감정보를 대규모로 처리하는 병원, 쇼핑몰이나 공공장소를 모니터링하는 보안회사, 개인 프로필을 축적하는 헤드헌팅 업체는 DPO를 필수로 임명해야 한다. 환자 정보를 처리하는 의사 개인, 고객 정보를 처리하는 소규모 법무법인은 DPO를 지정하지 않아도 된다.
이와 함께 개인정보 영향평가를 수행해야 한다. 은행이 신용정보를 활용해 고객을 검열한다면 이 제도가 수반돼야 한다. 개인정보 영향평가는 정보주체의 개인적 측면에 대한 체계적이고 광범위한 평가, 대규모의 민감정보 처리, 공공장소에 대한 체계적인 대규모 모니터링에 대해 요구된다. 이 평가는 처리 이전 단계에서 실시돼야 한다.
또한, 기업은 모든 프로젝트의 초기 단계에서 개인정보보호를 중요한 고려사항으로 하고 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장한다. 피고용인 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위해 본인 책임 하에 개인정보 처리활동의 기록을 유지해야 한다. 피고용인 250명 이하이더라도 정보 주체 권리와 자유에 위험을 초래하거나 민감정보 처리, 유죄판결·형사범죄 관련 개인정보 처리를 한다면 기록의 의무가 있다.