[디지털데일리 이상일기자] 인공지능(AI)이 IT업계에서 전가의 보도처럼 쓰이지만 그렇지 못한 분야가 있다. 바로 자금세탁방지(AML) 분야다.

자금세탁방지는 국제회계기준(IFRS)와 마찬가지로 금융권의 대표적인 컴플라이언스 대응 과제 중 하나다. 국내 은행권을 중심으로 자금세탁방지 시스템 구축이 2008년부터 본격화돼 각 금융사들이 AML 시스템을 운용중이다.

하지만 최근 들어 AML 규제는 보다 강화되고 엄격해지고 있다. 과거 AML의 초점이 의심거래 자체에 있었다면 이제는 고객에 대한 정보를 파악하는 것이 중요해지고 있는 상황이다. 특히 미국 금융당국의 규제가 강화되면서 금융권에 이전과 다른 시스템 요구사항이 발생하고 있다.

프리츠 프라스 스톰(Frits Fraase Storm) SAS 금융 사기 및 보안 인텔리전스 부문 아태지역 총괄은 지난 15일 소공동 조선호텔에서 <디지털데일리>와 인터뷰를 통해 “지난 1월부터 뉴욕금융규제당국(NYSDFS)이 글로벌 금융사의 AML에 대한 지속적인 개선 및 최신성을 유지할 것을 지시하고 있어 이를 따르지 않을 경우 많은 규모의 벌금을 물게 될 수도 있다”고 지적했다.

실제 최근 중국을 비롯해 뉴욕에 진출했던 글로벌 금융사 중 일부가 AML에 대한 기준을 충족하지 못해 막대한 벌금을 문 사례가 있다.

우리나라의 경우 AML 시스템 구축이 컴플라이언스 대응과제로 취급되다 보니 초기에는 규제에 대응하는 수준에서 시스템 구축이 이뤄졌다. 금융당국도 금융사의 AML에 대한 평가(KPI)를 의심거래 보고 수에 맞춰 질적인 보고보다는 양적인 보고에 치우친 면이 있다.

프리츠 총괄은 “AML에 있어서 한국의 은행도 의미 있게 변화하고 이다. 다만 여전히 도전과제가 있다. 규제기관 트렌드를 보면 의심 케이스에 대해 강력한 수준의 보고를 요구하고 있는데 한국의 경우 보고건수는 많지만 보고의 품질은 높지 않다. 현재 사법기관은 보고에 그치는 것이 아니라 적발한 이유도 설명해 줄 것을 요청하고 있다. 한국은 작년에 보고건수가 높은 것으로 알지만 퀄리티는 높지 않다”고 지적했다.

AML에 대한 기준이 강화되고 불법자금 거래에 대한 판단 기준과 관련 근거를 명확하게 제출받는 것이 중요해지면서 시스템 성격도 변화할 필요성이 제기되고 있다. 단순히 의심, 불법자금의 거래 의혹을 보고하는데 그치지 않고 불법자금거래를 시도하는 고객에 대한 정보와 자금 흐름 등을 금융사가 분석, 보고하는 방향으로 시스템 진화가 이뤄지고 있다.

다만 의심거래탐지시스템(FDS)과 AML은 가는 길이 다른 만큼 고도화의 양상도 다르다는 지적이다. 특히 FDS에 채택돼 획기적인 고도화를 이끌어내고 있는 인공지능의 경우 AML에서는 그 효용성을 발휘하기 힘들다는 지적이다.

프리츠 총괄은 “부정사용탐지(FDS)처럼 흑과 백처럼 명확하게 갈리는 경우와 달리 AML은 항상 규칙을 따르지 않는다. ‘회색지대’가 존재하기 때문이다”고 설명했다. 예컨대 자금세탁은 사전에 정해진 ‘룰’(Rule)을 따르지 않는다. 프리츠 총괄은 “고객이 5000달러를 계좌에 이체 받고 다시 다른 계좌로 송금했다고 자금세탁이라고 특정할 수 없기 때문”이라고 설명했다.

무엇보다 AML은 적발 행위도 중요하지만 이에 대한 보고도 중요하다는 점이 인공지능의 도입을 저해하는 요소다. AML을 통해 불법자금거래를 적발하게 되면 금융당국에 해당 거래를 불법거래로 판단한 이유와 근거를 제출해야 한다. 하지만 AI는 불법자금거래를 적발한 시점에서 어떤 룰이 적용됐는지 객관화할 자료를 만들어내기가 쉽지 않다.

프리츠 총괄은 “금융당국이 불법자금거래에 대한 명확한 근거를 제출받아야 하기 때문에 항상 변화하는 인공지능을 AML에 적용하는 것이 쉽지는 않다”고 설명했다.

무엇보다 AML이 강화되는 추세에 맞춰 금융사들은 리스크 기반의 접근법을 채택해야 할 것으로 보인다. 고객을 아는 것(KYC)에 멈추지 않고 계좌개설 시점부터 금융거래 전 과정에 고객을 파악하고 모니터링을 하라는 것이다.

이처럼 규제 관련 환경의 변화에 따라 금융사들에겐 데이터 거버넌스에 대한 강력한 요구사안이 발생하고 있다.

SAS코리아 조민기 팀장은 “앞으로는 자금세탁 과정에서 은행이 자신들이 제공한 계좌가 사용됐을 경우 이것이 고의적이지 않았다는 것을 은행 스스로가 입증해야 한다”며 “은행이 자체적인 데이터 분석 역량을 가져야 하는 이유”라고 설명했다.

<이상일 기자>2401@ddaily.co.kr