1) 2017 6월 자로, 농협은행의 자산규모는 전세계적으로 약 2,250억 달러 (275 5천억원)이며,
   뉴욕지점은 약 46천만 달러( 5천억원)

 

2) 농협은행은 중국, 베트남, 인도, 미얀마 등에 해외지점이 있으며, 뉴욕지점은 뉴욕 주립 라이선스로 영업활동을 하고 있음.

 

3) 농협은행 뉴욕지점은 2013 8월부터 영업을 하고 있으며, 전반적인 사업내용은 여신, MMF, 무역금융임.

  주요 사업은 제휴 지점과 당행고객에게 미화 어음 교환 서비스를 제공하는 것임.

 

4) 어음 교환 서비스가 차지하는 비중은 상당하며, 매년 45,000, 20억달러 규모 (2 2천억원) 규모의 거래가 발생하고 있음.

 해당 서비스는 모든 금융기관에서 리스크가 발생할 수 있으며, 범죄에 이용되거나 자금을 세탁하는데 이용될 수 있음.

 

5) 당국 조사 결과, 농협은행과 뉴욕지점은 AML 프로그램 및 체제 미흡 등을 이유로 뉴욕 주립 은행법을 위반한 사실이 발견되었음.

 

6) 여러 지적사항 중에서도, 농협은행은 적절한 거래 모니터링 시스템을 유지하는데 실패했다.
    여기서 “거래 모니터링”이란, 금융기관이 금융거래를 관리 감시하는 행위이며

    모니터링을 이행함으로써, 혐의거래보고 (SAR/STR)를 감독당국에 보고하는 등

    미국은행비밀법(BSA) AML 규정을 준수하는데 중요한 역할을 함.

 

7) 감독당국은 농협은행 뉴욕지점이 영업을 시작한 2013년부터 총 3번의 검사를 시행했으며, 결과는 좋지 않았었음.

  이상적인 방향이라면, 검사를 받을 때마다 감독관의 충고에 따라 솔루션을 개발하거나 관리하지 않았던 분야를 신경 쓰게 되어

  결과가 긍정적이고, 은행의 상태가 향상되어야 하지만

  농협은행은 거래 모니터링 과정과 절차를 충분히 이행하지 않음으로써 정 반대의 결과가 나왔음.

 

< 2014년 감사 결과> - “보통”

 

8) 감독당국은 2014년 농협은행 뉴욕지점의 첫 감독 과정에서 농협은행의 BSA/AML 규정을 준수하는 

    내부통제 시스템이 부적절하다고 지적한 바 있음

- 구체적인 지적사항으로, 의심스러운 거래활동 가능성이 있는 거래들을 확인하지 못했고, 필터링 기능이 부족함

 조사 결과, 뉴욕지점은 기간동안 발생한 모든 SAR/STR 을 검토하지 않았음

 

9) SAR/STR Alert 의사결정 관련 문서들을 관리하고 기록을 유지하는데 실패했다고 지적한 바 있음

 

10) 경영진과 이사진에게 보고할 “Key - Risk 추적” 보고서 자체가 투명하지 않고,
     은행에게 닥칠 수 있는 리스크를 제대로 확인하지 못함

 

11) 농협 본사(국내) 계좌를 이용하는 고객의 KYC 를 주기적으로 업데이트 하지 않음

 

12) 농협 본사(국내) 계좌를 이용하는 고객의 OFAC SDN 리스트 등재 여부를 확인하지 못함

 

13) 농협 본사(국내) 계좌를 이용하는 고객의 PEP, 부정적 언론 언급 여부 조차 확인하지 못함

 

14) 준법감시인이 내부감사 역할에도 관여하고 있음

 

15) 내부 감사를 위한 문서, 정책, 절차 미흡

 

<2015년 감사 결과> - “보통 이하”

 

16) 2014년도에 지적한 사항들을 개선하지 않았고, 새로운 개선 사항이 추가 발견됨,

- 거래 모니터링의 경우, 준법감시인이 전체 SAR/STR Alert 숫자를 줄이기 위해 임의적으로 임계값을 조작한 사실이 밝혀 짐

- 해당 사실이 기재된 감사 보고서는 당국에 보고되지 않고, 뉴욕지점과 본사에서 조치를 취하지 않음

 

17) 임직원들이 AML 에 대한 이해도가 떨어지고, 충분한 교육을 받지 못함 :
     상당한 양의 어음 교환 거래가 이루어짐에도 SAR/STR 보고자가 1명 이였으며, 그조차 감독당국의 감사 몇 달 전에 임명된 상태였음

- 무역금융 SAR/STR 담당자도 BSA/AML 에 대한 전반적인 이해도가 떨어진다는 평가를 받음

- 준법감시인 대체자의 직무 능력과 이해도도 부족하다는 평가를 받음

 

18) 내부 감사 평가 자체도 충분히 이행하지 않음 : 대부분의 내부 감사 평가 내용에 기존 내부통제 및 절차과정 내용을 그대로 복사함

  샘플 테스트 결과, 고위험 고객 또는 그 범위를 파악하는데 실패함

 

19) 2014년도에 지적한 사항들이 되풀이 되고 있는 것을 확인함

- Correspondent 계좌 CDD 이행 부족

- BSA/AML, OFAC 위험도 평가 매뉴얼에 부합하지 않음

- 거래 모니터링 시스템 미비

- 내부감사 시스템 미비

 

<2016년 감사 결과> - “보통 이하”

20) 많은 인력을 보충했음에도 불구하고해당 인력들이 BSA/AML 에 대한 이해도가 부족함

     예를 들어, 무역 금융 담당 부서에 BSA/AML 이해도가 부족한 인력 2명을 추가 배치한 것

 

21) SAR/STR 보고 미흡 : 고위험 국가에만 Alert가 발생하도록 시나리오/룰이 설정됨

     저위험/중위험 국가에서/으로 발생하는 거래는 확인하지 않음

- SAR/STR 보고기간 위반 : 30일 초과

 

<협력>

당국은, 농협은행이 감사 과정에 있어서 충분히 협력했다고 판단하여 긍정적으로 고려했음.

 

<최종 위반 사항>

 

1. 농협은행은 효과적이고 BSA/AML 을 준수하는 AML 프로그램을 갖추지 못함

2. 농협은행은 모든 거래 및 의사결정 관련 문서, 절차, 기록을 유지하지 못함

 

<벌금>

뉴욕은행법 39, 44조에 의거, 1,100만 달러( 120) 벌금을 부과함

농협은행은 본 Consent Order 가 발표되고 10일 이내에 부과한 벌금 총액을 내야함

지적한 사항들을 문서화하여 60일 이내 제출하고, 2년 동안 분기별로 진행/업데이트 사항을 제출할 것

SAS Korea Blog에 올라온 Content를 인용한 글입니다.

http://www.blogsaskorea.com/43


-----------------------------------------------------------------


지난 4월, 미국 재무부 산하의 금융범죄단속반 ‘FinCEN(Financial Crime Enforcement Network)’이 북한을 자금세탁 및 테러자금조달 위험 국가로 지정하고, 금융 기관에 주의보를 발령했습니다. 트럼프 행정부가 들어선 이후 첫 발령인데요. 미국 우선주의를 제창하는 트럼프 정부와 고조되는 반테러 정서에 따라 미국 금융 당국의 AML 규제는 더욱 심화될 것이란 업계 전망입니다.


실제 최근 스탠다드 차타드 은행, HSBC 은행, 새들 리버 밸리 은행(Saddle River Valley Bank) 등 글로벌 금융 기관들에 AML 시스템 상의 결여를 이유로 막대한 벌금이 부과됐습니다. 의심스러운 활동을 탐지하지 못하고, 컴플라이언스 프로그램의 거래 모니터링 규정을 준수하지 못했기 때문인데요. 대형 금융 기관들이 잇달아 제재 대상에 오르자 금융 업계는 그 어느 때보다 건전한 AML 컴플라이언스 프로그램의 중요성을 실감하고 있습니다. 게다가 올해 초부터 발효된 규제 기관의 지속적인 모니터링(On-Going Monitoring) 규제 사항에 어떻게 대응해야 할지 고민이 많아지고 있는데요.


이처럼 규제 당국의 기대치와 규제 강도가 강해짐에 따라 AML 탐지 시나리오를 최신 상태로 유지하기 위한 규칙 강화의 움직임이 거세지고 있습니다. 금융 기관은 지속적으로 규칙을 조정하면서, 현 시나리오가 포괄하지 않는 새로운 잠재 위험 또는 새로운 유형을 식별해야 합니다. 동시에 자금세탁 위험이 높은 거래에 자원을 집중시킬 수 있는 위험 기반 접근법을 거래 모니터링 프로세스에 적용해야 합니다. 이러한 조정을 통해 경보를 조사하는 FIU 및 금융 범죄 조사관은 생산적인 경보를 검토하는 데 시간을 더 많이 할애함으로써 전반적인 거래 모니터링 프로세스를 개선할 수 있습니다.


지난 블로그를 통해 국내외 규제 당국의 주안점이 의심활동보고(SAR: Suspicious Activity Report)와 의심거래보고(STR: Suspicious Transaction Report)의 ‘건수’에서 ‘품질’로 옮겨가는 가운데, 오탐(false positive)* 경보를 개선하는 방법으로 시나리오 세분화와 이상 거래 탐지 모델 개발 방법을 소개해드렸는데요. 오늘은 AML 규칙 조정의 중요성과 그 방법을 예시와 함께 살펴보고자 합니다.

*오탐(false positive): 잘못 보고됐거나 위협 요소가 아니기 때문에 대응할 필요 없는 보고


경보 효율성을 높이는 두 가지 방법


의심스러운 활동을 식별하고 보고하는 거래 모니터링 프로세스는 금융 컴플라이언스 프로그램의 핵심 중 하나입니다. 이때 모니터링 시스템은 은행이 의무적으로 준수해야 하는 자금세탁방지(AML) 위험 평가에 기초해 개발돼야 하는데요. 이 평가는 개별 위험 수준을 판별하고, 위험을 완화하기 위한 조치의 잠재적인 격차(gap)를 드러냅니다.


대부분의 은행은 자동화된 시스템을 사용해 비정상적인 활동을 파악하고 경보를 생성합니다. 미국 연방금융기관검사협의회(FFIEC: Federal Financial Institutions Examination Council)에 따르면, 모니터링 시스템의 정교함과 복잡성은 고위험의 제품, 서비스, 고객, 사업체, 관할 구역의 구성에 중점을 둔 은행의 리스크 프로파일에 따라 결정돼야 합니다. 여러 은행들이 의심스러운 활동 보고에 대한 조사 대상이 되는 이유는 AML 시스템이 은행의 리스크 프로파일에 따라 적절히 조정되지 않았기 때문입니다.


조정되지 않은 오래된 규칙은 오탐 경보 수를 높이고, 그에 따라 경보 검토 품질이 낮아지거나 잠재적인 의심스러운 활동을 간과하는 문제로 이어질 수 있습니다. 금융 기관은 위험 기반 접근법을 적용하고, 거래 모니터링 시나리오를 질적 그리고 양적으로 조정함으로써 경보 효율성을 높이고, 의심스러운 활동 보고 프로세스 전반을 개선해야 합니다.


1. 거래 모니터링 시나리오에 위험 기반 접근법 적용


자금세탁 및 테러자금조달 방지를 위한 12개 글로벌 은행 간 연합체인 ‘볼프스베르크 그룹 (Wolfsberg Group)’의 지침에 따르면, 금융 기관은 기관별 위험 평가 프로세스의 결과에 따라 위험이 더 높다고 판단되는 고객의 잠재적인 자금세탁 위험을 완화하기 위해 적절한 통제 조치를 취해야 합니다. 그 일환에는 거래 모니터링 수를 늘리는 방법이 있는데요.


그러나 국제자금세탁방지기구(FATF: Financial Action Task Force)는 보다 효율적인 방법으로 자금세탁방지(AML)/테러자금조달차단(CFT)에 대한 위험 기반 접근법을 권고합니다. 이에 따르면, 국가, 주무 관청, 금융 기관은 자금세탁/테러자금조달 위험을 평가하고, 해당 위험에 상응하는 AML/CFT 조치를 취함으로써 위험을 보다 효율적으로 완화시킬 수 있습니다.


이상적인 위험 기반 접근법은 은행의 BSA/AML 위험 평가로부터 시작합니다. 은행은 제품 및 서비스로 인한 자금세탁 위험, 고객 리스크 프로파일, 지리적 위치 등 여러 위험 요소들을 파악하고 평가하게 됩니다. 그리고 식별된 위험을 기반으로 위험이 높은 고객, 제품, 지역에 대해 면밀한 모니터링을 실시하죠.


거래 모니터링 시나리오에 대한 위험 기반 접근법은 고객과 제품의 위험 수준을 규칙화 시켜 통합하고, 중요하지 않은 반복적인 경보를 줄이는 등 거래 모니터링 시스템 내에서 몇 가지 조치를 취함으로써 실행할 수 있습니다. 최종 목표는 위험 수준이 낮은 고객에 대한 오탐을 줄이고, 결과적으로 긍정 경보(positive alert)를 검토할 시간을 늘리는 것인데요. 이에 따라 거래 모니터링 프로세스의 품질과 효율성을 향상시킬 뿐만 아니라 은행은 시간, 자원, 비용을 절감할 수 있습니다.


그러나 위험 수준이 낮은 경우에 대해서도 반드시 조치는 취해져야 합니다. FATF는 위험 수준이 낮을수록 상대적으로 더 가벼운 수준의 조치를 취할 수 있다고 규정하고 있습니다. 그렇다면 지금부터 구체적으로 거래 모니터링의 효율성을 개선하는 두 가지 방법, 모집단(population group)과 억제 로직(suppression logic)에 대해 구체적으로 살펴보겠습니다.


(1) 거래 모니터링 시나리오에 대한 모집단 구현


AML 규칙 시나리오의 대부분은 고객 활동에만 초점을 둡니다. 은행 KYC(Know your customer, 고객알기정책) 프로그램의 위험 요소와 제품 위험과 같은 기타 고객 관련 위험 요소는 포함하지 않는데요. 위험 기반 접근법을 AML 모니터링에 적용하려면, 이러한 위험 요소도 AML 탐지 시나리오에 추가 매개 변수로 도입해야 합니다.


금융 기관은 BSA/AML 위험 평가에서 확인된 특정 자금세탁 위험을 거래 모니터링 시나리오에 통합함으로써 모집단을 구성할 수 있습니다. 세 가지 유형의 상품을 제공하는 은행을 예로 들어보겠습니다. 고객 위험과 상품 위험 두 가지만을 매개 변수로 고려하고 위험 평가를 실행한 결과, 세 가지 상품과 고객 집단이 저위험, 중위험, 고위험으로 분류됐습니다. 이 결과를 열 지도(heat map)에 표시하면 하단과 같이 녹색 모집단(저위험), 노란색 모집단(중위험), 빨간색 모집단(고위험)이 나타내죠. 한 고객이 하나 이상의 상품을 거래하는 경우, 두 상품 중 더 위험한 상품을 고려해 모집단을 식별합니다.

그 다음 생성된 모집단을 거래 모니터링 시나리오에 적용시키고, 개별 모집단에 대해 서로 다른 임계값을 정의합니다. 저위험 모집단일수록 더 높은 임계값을, 고위험 모집단일수록 더 낮은 임계값을 적용해야 하는데요. 이에 따라 시스템은 위험 수준이 낮은 경보를 더 적게 생성함으로써, 위험이 높은 고객과 제품에 할당할 시간과 자원을 더 확보할 수 있습니다. 이때 대규모 고객이 소규모 고객보다 더 큰 금액으로 더 많은 양의 거래를 하는 경향이 있기 때문에 모집단을 고객 규모에 따라 한층 더 세분화하고, 서로 다른 임계값을 적용할 수도 있습니다. 이때 가장 중요한 핵심 역량은 모집단을 세분화할 방법과 절차 그리고 세분화된 개별 모집단에 적용할 최적의 임계값을 결정하는 것입니다. SAS는 금융 기관이 이러한 작업을 성공적으로 수행할 수 있도록 효율적인 방법론과 솔루션을 지원하고 있습니다.




(2) 거래 모니터링 프로세스에 대한 억제 로직 구현


위험 기반 접근법의 또 다른 핵심 프로세스는 여러 차례 조사한 결과 의심스럽지 않은 것으로 평가돼 배제된 경보를 억제하는 것입니다. 은행의 리스크 허용도 및 프로파일에 따라 이 억제 로직은 위험 수준이 낮은 고객 집단에 대해서만 적용할 수 있습니다. 구체적으로 은행은 특정 고객과 규칙에 대해 생성된 경보를 억제하는 로직을 생성할 수 있습니다.


경보를 억제하기 위해서는 특정 고객과 규칙에 대해 수개월간 생성된 경보가 오탐으로 간주돼야 하는데요. 예를 들어, 은행은 자동화된 AML 시스템에 억제 로직을 적용함으로써 지금까지 6건의 경보가 해제된 저위험 모집단과 9건의 경보가 해제된 중위험 모집단에 대한 경보를 억제시킬 수 있습니다. 그러나 동일한 경보가 세 차례 이상 반복될 경우 억제 로직을 차단할 수 있으며, 고위험 모집단에 대해서는 억제 로직이 작동하지 않습니다. 일반적으로 금융 업계에서는 경보를 억제함으로써 놓칠 수 있는 의심스러운 활동을 줄이기 위해 지난 6개월 간의 고객 활동을 면밀히 검토하고 있습니다.



그 다음 생성된 모집단을 거래 모니터링 시나리오에 적용시키고, 개별 모집단에 대해 서로 다른 임계값을 정의합니다. 저위험 모집단일수록 더 높은 임계값을, 고위험 모집단일수록 더 낮은 임계값을 적용해야 하는데요. 이에 따라 시스템은 위험 수준이 낮은 경보를 더 적게 생성함으로써, 위험이 높은 고객과 제품에 할당할 시간과 자원을 더 확보할 수 있습니다. 이때 대규모 고객이 소규모 고객보다 더 큰 금액으로 더 많은 양의 거래를 하는 경향이 있기 때문에 모집단을 고객 규모에 따라 한층 더 세분화하고, 서로 다른 임계값을 적용할 수도 있습니다. 이때 가장 중요한 핵심 역량은 모집단을 세분화할 방법과 절차 그리고 세분화된 개별 모집단에 적용할 최적의 임계값을 결정하는 것입니다. SAS는 금융 기관이 이러한 작업을 성공적으로 수행할 수 있도록 효율적인 방법론과 솔루션을 지원하고 있습니다.




(2) 거래 모니터링 프로세스에 대한 억제 로직 구현


위험 기반 접근법의 또 다른 핵심 프로세스는 여러 차례 조사한 결과 의심스럽지 않은 것으로 평가돼 배제된 경보를 억제하는 것입니다. 은행의 리스크 허용도 및 프로파일에 따라 이 억제 로직은 위험 수준이 낮은 고객 집단에 대해서만 적용할 수 있습니다. 구체적으로 은행은 특정 고객과 규칙에 대해 생성된 경보를 억제하는 로직을 생성할 수 있습니다.


경보를 억제하기 위해서는 특정 고객과 규칙에 대해 수개월간 생성된 경보가 오탐으로 간주돼야 하는데요. 예를 들어, 은행은 자동화된 AML 시스템에 억제 로직을 적용함으로써 지금까지 6건의 경보가 해제된 저위험 모집단과 9건의 경보가 해제된 중위험 모집단에 대한 경보를 억제시킬 수 있습니다. 그러나 동일한 경보가 세 차례 이상 반복될 경우 억제 로직을 차단할 수 있으며, 고위험 모집단에 대해서는 억제 로직이 작동하지 않습니다. 일반적으로 금융 업계에서는 경보를 억제함으로써 놓칠 수 있는 의심스러운 활동을 줄이기 위해 지난 6개월 간의 고객 활동을 면밀히 검토하고 있습니다.

조정 결과, ATL 10%에서 새로운 케이스는 발견되지 않았으나 경보 수를 줄임으로써 규칙 효율성 비율이 가장 높아졌습니다. BTL 10% 역시 새로운 케이스는 발견되지 않았으나, 경보 수가 증가하면서 규칙 효율성 비율은 감소했습니다. BTL 20%에서는 새로운 케이스 한 건이 발견됐으나 경보 수가 큰 폭으로 증가하면서 규칙 효율성은 크게 감소했습니다. ATL 15%에서는 경보와 케이스 수가 함께 감소하면서 옳은 경보가 누락됐습니다. 종합하자면, ATL 측에서는 몇몇 옳은 경보가 누락됐으며, BTL 측에서는 경보 대비 케이스 수가 크게 변하지 않았기 때문에 양측 모두 추가 조정은 필요 없습니다. 이러한 통계적 조정 결과를 바탕으로 임계값을 10% 높일 수 있습니다.


결론


위험 기반 접근법과 거래 모니터링 시나리오의 조정은 거래 모니터링 프로세스에서 잠재적 격차를 포괄할 뿐 아니라 경보 검토 프로세스의 효율성을 향상시키는 컴플라이언스 프로그램의 중요한 부분입니다. 또 금융 기관, FIU, 금융 범죄 조사관이 규정에 따라 더 위험한 고객과 상품에 집중할 수 있도록 도와주죠! 따라서 거래 모니터링 프로세스가 계속해서 개선될 수 있도록 지속적으로 적용돼야 합니다. 금융 기관은 규제 기관의 권고 및 승인 연한 그리고 연간 위험 평가에 맞춰 최소 일 년에 한 번씩은 거래 모니터링 프로세스의 최신성을 유지하기 위해 개선 작업을 반드시 수행하는 것이 바람직할 것입니다.



참고 문헌: AML Rule Tuning: Applying Statistical and Risk-Based Approach to Achieve Higher Alert Efficiency by Umberto Lucchetti Junior, CAMS-FCI



디지털데일리 기고문..

http://www.ddaily.co.kr/news/article.html?no=157408


기고 원문을 아래와 같이 첨부합니다.


-------------------------------------------------------

변화하는 금융환경, 강화되는 글로벌 ‘자금세탁’ 규제… 어떻게 대응할 것인가?


2001년, 국내에서 특정금융거래보고법과 범죄수익규제법이 제정, 시행되면서 금융위원회 산하 금융정보분석원(KoFIU; Korea Financial Intelligence Unit)이 출범했다. 이후 최근까지 우리나라는 FATF(Financial Action Task Force, 자금세탁방지 국제기구) 의장국을 수임하는 등 국제적인 위상을 높이고 있다. 또한 자금세탁/테러자금조달 방지를 위한 국제 기준의 선도적인 조치를 수행하여 제3차 라운드 FATF 국제기준 이행 평가과정을 성공적으로 마침으로써 자금세탁 분야에서 선진국 입지를 다지고 있다.


또한, 우리나라는 2019년 FATF의 제 8차 라운드 상호 평가를 앞두고 있어, 금융정보분석원 뿐만 아니라 각 금융기관도 FATF의 Recommendations를 기준으로 관련된 사항을 준비하고 있다. 각 금융기관에는 위험기반 접근법(Risk-Based Approach)이 도입되었고, 국가적 위험 평가를 위해 금융정보분석원 내에는 국가 위험평가 시스템이, 각 금융기관에는 금융기관 위험평가 시스템과 금융정보분석원의 이행지표 보고 기능이 도입되어 개발 혹은 운영 중에 있다.


하지만, 전세계에 걸쳐 공통적으로 자금세탁 방지 규제가 법제화되고, 각국의 금융 당국이 감독함에도 불구하고, 작년부터 금융의 중심지라 할 수 있는 뉴욕에서는 많은 금융기관이 뉴욕 금융당국의 자금세탁 방지 규제 준수 정기 검사에 적발되어 2,000 억 원 내외의 벌금 및 제재를 받고 있다. 국내의 모 금융기관 또한 규제 준수 미비에 대한 적발이 이루어져 이행 조치 합의서를 제출하고 향후 수 년간 이행 조치에 대한 보고서 제출 및 검사를 받아야 하는 상황이기도 하다.


뉴욕 뿐만 아니라, 홍콩, 영국 등의 금융 당국도 자국 금융 기관 뿐만 아니라 해외 금융 기관의 자국 지점에 대해서 규제의 강도 및 제재를 더하고 있다. 금융 환경의 변화에 따라 자금세탁 방지의 규제 기준 또한 국가마다 강화의 강도 및 방향이 다르게 적용되고 있어, 해당 국가에 지점 / 자회사를 보유한 금융 기관의 경우 우리나라보다 더욱 강화된 규제 기준을 준수하여야 만 하는 상황에 놓이게 되었다. 


이런 글로벌 자금세탁 규제 강화가 전방위로 진행되고 있는 현 시점에 우리 금융 기관은 어떻게 대처할 것인가? 또 앞으로 어떻게 대응하여야 규제 준수 뿐만 아니라 비용적인 측면에서도 적절한 대응이 될 것인가? 이를 위해 본 기고에서는 글로벌 규제의 방향을 살펴보고, 우리 금융 기관이 국내 뿐만 아니라 해외 규제에 대응하여 고려할 사항을 살펴보고자 한다.


더욱 강화되는 글로벌 자금세탁 방지 규제 및 대응 방안


1. FinTech 및 가상 통화에 대한 규제


KoFIU는 2018년 전자금융업자를 대상으로 자금세탁 방지 의무를 적용하기위해 준비하고 있다. 자금세탁방지 의무가 부과되면 전자금융업자는 자금세탁이 의심되는 고객의 거래를 보고하고, 관련 기록도 반드시 보관해 두어야 한다. 전자금융업자에는 PG와 에스크로, P2P 송금 등 거의 모든 핀테크 업체 및 서비스가 의무 대상이 되며, 모든 업체는 자금세탁 방지 시스템을 통해 고객 정보 확인 / 위험평가, 의심 거래 보고 및 기록 보관 등을 수행하여야 한다. 여기에, 해외 P2P 당발 송금과 같이 대상 거래의 상대가 해외에 있는 경우 해외 대상국의 자금세탁 규제 또한 준수하여야 한다. 

또한, 최근 랜섬웨어 ‘워너크라이’의 보상으로 활용되는 경우와 같이 범죄에 이용될 가능성이 높은 비트코인으로 대변되는 가상 통화의 경우 해외 금융 규제기관이 자금세탁 방지 규제 대상으로 포함시킬 가능성이 갈수록 높아지고 있다. 최근 네덜란드 금융 당국은 가상 통화를 통한 자금세탁의 조사에 들어간 바 있으며, 영국, 미국 등에서 가상 통화에 대한 금융 범죄 위험도를 연구하고 있다. 특히, 가상 통화의 경우 다른 온라인 페이먼트 방식보다 더욱 높은 수준의 익명성을 제공하고 있고, 일반적으로 검증된 금융 시스템 외부에서 운영됨으로 인해 더욱 높은 자금세탁 및 테러자금 조달 위험이 높은 것으로 결론내어 지고 있다. 

문제는 핀테크 및 가상통화가 국내에서만 거래가 이루어지는 것이 아니라 국내외를 오가는 형태의 거래가 보여짐으로 인해, 해외의 자금세탁 규제 준수 의무가 발생한다는 것이다. 문제는 자금세탁 규제가 보다 강한 국가(미국, EU 등)의 경우 국내에서 개발된 AML 시스템을 신뢰하지 않는 경향이 높다는 것이다. 최근 미국 뉴욕 금융당국과 이행 합의서를 체결하고 이행조치를 수행하는 국내 모 금융기관의 사례를 보면, 국내에서 개발한 AML 시스템의 경우 미국 뉴욕 감독당국에서 전체 데이터 프로세싱을 포함한 모든 로직, 시나리오 검출 프로세스, 화면 UI의 로직 구성 등 시스템의 처음부터 끝까지의 모든 내용을 문서화 및 정확성 검증 요구하고 있어, 국내에 적용되어 있는 AML 시스템을 지점에 적용하기 어려운 것으로 파악하고 있다. 즉, 해외 감독 기관이 신뢰할 수 있는 인지도 있는 시스템이어야 각국 감독 기관의 감독 지침 및 규제 대응이 좀더 용이하다는 후문이다. 

SAS의 AML 시스템은 미국의 대표적인 감독 기관인 FRB NY(Federal Reserve Bank of New York), FinCEN, OCC 등의 규제 기관에서 직접 활용하고 있고, 또한, Banks에서 매년 평가하는 전세계 은행 자산 순위 Top 10 은행 중 9개 은행에서 AML 영역에 활용되고 있다. 이는, 계속 강화되고 있는 글로벌 규제 대응에 가장 발빠르게 움직이고 있으며, 규제 기관에서 직접 활용하고 있어 신뢰성과 인지도 측면에서 직접적인 영향을 줄 수 있는 시스템이라 할 수 있겠다.


2. Trade-Based Money Laundering (TBML)


미국의 움직임과는 다르게, 홍콩 및 싱가폴 등 무역 주도의 금융 중심지에서는 최근 Trade-Based Money Laundering과 관련된 규제가 의무화되고 있다. 무역 금융에서 발생될 수 있는 자금세탁을 방지하고자 하는 규제이다. 이미 FATF에서 2006년 TBML에 대한 정의를 제시하고 ML/TF 측면의 Guidance를 제시했지만, 이제야 전세계적인 법제화에 들어가고 있는 상황으로 보여진다.

현재 발표된 해외 감독당국의 규제는 홍콩보다는 싱가폴이 더욱 상세한 형태로 발표되었고, 현재 싱가폴/홍콩의 금융기관은 이를 대응하기 위해 내부 규정, 시스템, 프로세스를 수정하고 있는 절차에 진입하였다. 따라서 싱가폴/홍콩 지점이나 자회사를 보유하고 있는 국내 금융 기관도 동일하게 대응하여야 하는데, 주된 내용은 기존의 AML 및 KYC 프로세스에 무역과 관련된 정보를 더욱 수집하고, 이를 기반으로 위험평가를 수행하도록 하는 것이 주된 내용이다. 하지만, 무역 금융의 특성상 무역 관련 정보를 수집하는 것이 굉장히 어려운 일이다. 여기에 포함되는 대표적인 정보는 ‘무역 상대방(수입자/수출자/배송자/수취자 등 모든 관련 상대방), 무역 대상 상품의 성격, 상품의 원산지나 국가(제재 대상 국가인지 여부 포함), 무역 사이클, 선박 국적 (선박명/선박국적 히스토리 및 제재 대상 국가 인지 여부 포함), 선박 ID, 선박의 실 소유주/운영자/수익자, 선적항/기항지/하역항 및 라우트, 상품의 시장 가격’ 등 현재까지 금융 기관이 취급하지 않았던 정보들을 취득하고 평가하여야 한다. 이 뿐 만 아니라, Dual-Use Goods에 대한 모니터링 및 Red Flag를 통한 지속적인 모니터링, 실사 및 STR 보고를 진행하여야 한다.

이를 위해서는 기술적으로 OCR / 텍스트 분석 및 매칭 등의 기술이 필요하게 되며, 별도의 Filtering 관련된 외부 데이터 Source를 활용해야 하고, 추가적인 데이터 수집에 따른 리스크 평가 체계 및 Red Flag 모니터링, CDD/EDD, STR에 대한 프로세스 개선이 반드시 필요한 상황이다.

문제는 현재 발표된 규제가 전세계적으로 확산된 것이 아닐 뿐더러, 금융 규제가 강한 미국(뉴욕)의 TBML 규제는 나오지도 않은 상황에서 싱가폴 / 홍콩에 대응하여야 한다는 점이다. 미국(뉴욕)의 TBML 규제는 싱가폴/홍콩과 유사한 형태가 아닐 가능성도 배제할 수 없다.

모든 AML 관련 규제가 그러하듯, TBML 규제 또한 AML과 마찬가지로 국제적인 Baseline을 기준으로 각 국가의 특성에 따른 추가적인 특이사항을 반영하여야 한다. 

각국의 규제기관에서 지점에 대한 본점의 책임 및 역할을 강화하도록 하고 있는 상황에서, 국내에서 금융기관의 AML을 담당하는 준법지원 / 준법감시 부서에서 국내 규제 뿐만 아니라 전세계에 산재되어 있는 각국의 규제를 모니터링하여야 하고, 국내 및 각 국 지점에서 운영되고 있는 AML 시스템, 환거래 모니터링, 제재 리스트 필터링, TBML 모니터링 등을 종합적으로 수행하여야 한다는 점이다. 현재까지는 국내 규정에 의거 모니터링해도 크게 문제가 되지 않았으나, 이제 국내 준법 부서의 리소스가 충분하지 않은 상황에서 각국의 규제 및 모니터링이 좀 더 강화되고 있는 상황이다.

이에, 최근 Global Top 5 은행인(1~4위 은행은 모두 중국 은행) 일본의 BTMU(Bank of Tokyo-Mitsubishi UFJ)는 국내 뿐만 아니라 해외 각국 지점 및 자회사의 AML(환거래 / TBML 포함), 제재 리스트 필터링을 단일 플랫폼으로 통일하여 동일한 언어 / 환경 및 지식 공유가 가능한 체계로 만들었다. 또한, 단일 플랫폼으로 통일함에 따라 AML 운영 및 모니터링 품질을 더욱 고도화 함에도 적은 리소스와 비용으로 효율을 극대화한 사례는 국내 금융 기관이 참고해야 할 주요한 사례라고 할 수 있겠다.


3. STR 보고 품질의 개선(False Positive 개선)


2016년 12월 16일 KoFIU는 ‘자금세탁방지 검수수탁기관 협의회’에서 2017년 감독/검사 등 정책방향을 논의하고 2017년 중점 검사항목을 선정 공유하는 자리에 중점 점검 사항 중 ‘STR 보고 품질 및 신속성 제고’라는 점검 사항을 발표했다.

2016년 2월 미국 FinCEN으로부터 400만 달러의 벌금을 부과 받은 미국 플로리다주 지브롤터 프라이빗 뱅크와 트러스트 컴퍼니는 AML 프로그램의 ‘상당한’ 결함이 제재 및 벌금의 주된 이유였는데, 다른 여러 결함 중에서도 False Positive를 포함한 “관리할 수 없을 만큼 많은 개수”의 경보도 포함되어 있었다.

2017년부터 뉴욕에 위치한 모든 금융 기관이 준수하여야 하는 뉴욕 금융서비스국(NYSDFS; New York State Department of Financial Services)의 감독 규정 Part 504에서 지속적인 분석(On-Going Analysis)을 강조하는 이유 또한 현재 고객의 AML Risk 및 금융 기관의 Risk Portfolio의 변화에 따른 오탐(False Positive / False Negative)을 줄이기 위해서 이기도 하다.

이런 규정 및 제재가 왜 발생하는지 STR/SAR 보고를 수행해본 금융 기관 담당자는 모두 알것이다. 현재 금융 기관의 AML 시스템을 통해 발생하고 있는 경보의 대부분이 바로 False Positive라는데 그 문제가 있다. 대부분의 경보(일부 조사에 따르면 99.95%)가 오탐에 의한 경보이고, 정말 극히 일부분만 STR/SAR 보고가 되어야 하는 가치가 있는 경보로 밝혀지고 있는 것이다.

과거 자금세탁 방지의 저변이 넓지 않은 시절에 금융권의 STR/SAR 보고 활성화를 위하여 보고건수를 주요한 지표로 관리하였으나, 이제 그 보고 품질을 개선해야 하는 시점이 도래했다.

그러면 금융 기관 입장에서는 어떤 방향의 접근법이 있을 수 있을까? (http://crimecompliance.tistory.com/67)

   ① Sanction Filtering 측면

2015년 10월 미국 재무부 해외재산관리국(OFAC; Office of Foreign Assets Control)은 합법적인 개인 및 단체의 이름을 블랙리스트와 실수로 매칭함에 따라 발생된 경보를 향후에 발생하지 않도록 많은 AML 팀이 편집한 "오탐 리스트(False Hit Lists)"를 정기적으로 재평가할 것을 권고했다. 또한, OFAC은 "오탐 리스트는 부정확한 매치를 통제하기 위한 최선의 방법이지만, 금융 기관은 정기적으로 이를 업데이트하여 보호된 고객에게 영향을 줄 수 있는 새로운 Sanction 지정과 해당 고객의 행동이나 상태에 대한 의심스러운 변경을 잠재적으로 방지해야 한다."고 밝혔다. 즉, 금융 기관의 False Hit Lists를 통해 오탐에 대한 White List로 활용할 수 있지만, 잘 관리할 수 있는 체계를 마련해서 최신성을 유지해야 한다는 것이다. 

   ② 거래 모니터링 측면

과학적인 접근 방법을 적용하여야 한다. 잘 기획되고 추적이 어려운 대부분의 자금 세탁은 정상 거래와 거의 유사하게 포장되어 있다. 이를 면밀하게 조사하고 찾아내기 위해서는 일반적인 휴리스틱 기법이 아닌, Statistics Method나 무역 금융 등에서 발생되는 Text 등을 전면적으로 활용하는 다양한 분석 기법을 활용하여, 거래 당사자와 거래패턴 중 특이 거래를 찾아낼 수 있어야 한다. 오히려, 전통적인 기법보다는 가장 최신의 분석 기법을 활용할 수 밖에 없는 이유일 것이다.


특히, 고객의 특성과 현재 고객의 상태를 반영하여 고객 거래 패턴 상 특이 거래를 찾는 것은 새로운 접근 방법이 아니라, 과거 전통적인 분석이 활용되었던 CSS(Credit Scorecard System)나 Customer Analytics에서 활용되었던 Segmentation, Recommendation, Predictive 등의 분석 기법,최근 금융권에 적용 시도가 빈번한 Machine Learning 기법 등을 활용하면, False Positive를 획기적으로 개선하고 그 SAR/STR의 품질을 개선할 수 있는 방안이 될 것이다.


4. Transparency 강화


뉴욕 금융 규제 당국인 NYSDFS의 Part 504와 EU의 제 4차 자금세탁방지 지침(4MLD; 4th Money Laundering Directive)에서 가장 크게 강조하는 것은 ‘투명성’이다. 모든 규제 사항과 적용 내용에 대한 입증 및 요인을 설명해야 하며, 개선 및 수정 사항에 투명성을 제공하기 위한 문서화 및 근거 제시를 필수로 요구하고 있다. 특히, 2016년 6월 NYSDFS가 채택한 AML 준수를 위한 최종 룰에 의거하여 2018년 4월까지, 그리고 그 후 매년 받아야 하는 인증을 위해서도 시스템과 내부 통제와 관련한 모든 내용에 대한 문서화는 물론, 개선 전후 테스트, 탐지 시나리오, 기본 규칙, 임계값, 매개 변수 등을 추적할 수 있는 근거 및 결과를 제시해야 한다. 

투명성 측면에서 또 하나의 중요한 영역은 ‘궁극적 실소유자(UBO; Ultimate Beneficial Ownership) 확인’이다. 실소유자는 금융기관에 확인 의무가 있을 뿐만 아니라, 일반 법인에까지 법인의 실질적인 소유권에 대한 최신의 정확한 정보를 규제 기관 및 금융기관을 포함한 자금세탁 방지 준수 의무 기관이 즉시 이용할 수 있도록 제공해야 한다. 페이퍼 컴퍼니, 무기명 채권 등의 실제 소유자를 밝히고, 자금세탁의 우려를 없앨 수 있는 투명성을 제공하기 위해서다. 이는 자금세탁뿐만 아니라 역외 탈세 등을 방지하기 위한 미국의 해외금융계좌신고법(FATCA; Foreign Account Tax Compliance Act)과 기타 국가를 위한 공통보고기준(CRS; Common Reporting Standard)에서도 필수적으로 요구하는 상황이기도 하다.

고객실사확인(CDD; Customer Due Diligence) 또한 투명성을 위해서다. 특히, 4MLD에 의거하여 보고 의무 기관은 고객에게 간소화된 고객 확인(SCDD; Simplified CDD)을 적용한 근거를 직접 입증/제시해야 한다. 이를 위해 고객위험평가 모델에서 저 위험 고객으로 분류한 근거/활용된 리스크 팩터, 고객위험평가 모델 결과 및 테스트 결과를 소명할 수 있어야 한다.

정리하면, AML을 위한 모든 규칙 및 모델에 대한 활용 데이터, 결과, 방법론 등을 문서화 및 근거화해야 한다. 이를 위해 AML 시스템의 운영 측면에서 변경 가능한 모든 영역에서 ‘감사 추적(Audit Trail)’ 기능을 제공해야 하며, 그 결과를 규제 기관이 즉시 직접 눈과 문서로 확인할 수 있어야 한다.


5. On-Going Analytics (지속적인 분석)


고객에 대한 위험 평가는 항상 최신으로 유지하며 모니터링해야 한다. 즉, 온-고잉 모니터링(On-going Monitoring)을 지원해야 하며, 고객의 모집단(Population)이 변경되거나, 새로운 상품 등이 출시될 경우 위험 평가의 기준 및 모델을 항상 최신으로 유지(On-Going Analytics)하고, 이를 활용하여 모니터링한다. 또한 앞서 언급한 투명성(Transparency)를 보장하기 위하여 규칙/모델의 변경 전후에 대한 테스트 결과, 변경한 임계값에 따른 개선 효과 및 개선 사유를 입증해야 한다. 규칙/모델에 대한 최신성을 유지하는 것도 중요하지만, 개선의 투명성도 담보돼야 한다는 것이다.

고객의 온보딩/이벤트 기반의 모니터링을 위한 온-고잉 모니터링뿐만 아니라, 거래에 대한 모니터링을 수행하는 거래 모니터링(Transaction Monitoring)을 위해서도 지속적인 개선과 최신성을 유지해야 한다(On-going Transaction/Sanction Monitoring). 이는 앞서 언급한 NYSDFS의 Part 504 규제 항목인 '금융 거래 모니터링 및 필터링 요구사항 및 인증'과 관련된 내용으로, 지속적인 개선을 보장하고 매년 인증을 받아야 한다(On-going Certification)는 의미이다. 거래 모니터링의 지속적인 개선(임계값, 리스크팩터), 제재 리스트(Sanction List)의 최신성 유지에 대해 보장하고 인증을 받으라는 규제로, 향후 금융기관이 AML 시스템을 운영하기 위해 가장 많은 비용이 소요될 수 있는 영역이기도 하다. 이러한 지속적 개선을 위해서는 현재 적용된 룰과 모델의 성능을 지속적으로 판단하고, 오탐(False Positive) 개선을 위한 지속적인 노력이 뒤따라야 한다. 이를 위해서는 ‘데이터 드리븐 애널리틱스(Data Driven Analytics)’가 반드시 수반돼야 하고, 이는 향후 금융기관에서 가장 큰 비용이 소요될 수 있는 영역이다.

특히, 거래 모니터링의 지속적인 개선은 과거 국내에서 AML을 개발/운영하던 패턴과는 굉장히 다른 형태로, 기존 룰과 모델을 상시로 분석 및 개선하는 프로세스가 필요하다. 문제는 초대용량의 트렌잭션을 요약 및 분석하는 거래 모니터링 시스템 입장에서 기존 룰/모델 분석 및 개선은 큰 부담이 될 수밖에 없다. 따라서 기존의 AML 시스템과는 접근 방법을 달리하여 상시로 데이터 관리 프로세스와 룰/모델 변경 및 적용 프로세스를 적용할 수 있는 시스템을 구축해야 한다.

자금세탁방지에서 애널리틱스가 강조되는 또 한가지 이유는 외부 데이터 분석에 대한 니즈의 증가이다. 특히 최근에는 다양한 금융 범죄가 언론이나 위키리크스 등을 통해 공개되고 있는데, 이것이 금융기관의 잠재적인 리스크로 대두되고 있다. 미국 연방준비은행(FRB; Federal Reserve Bank)의 BSA/AML 담당자는 2016년 말, MoneyLaundering.com에서 "금융기관들은 테러 공격, 부패 방지법, 법규 준수에 영향을 줄 수 있는 주목할 만한 범죄 뉴스를 어떻게 조사할지 계획을 세워야 한다"고 언급했다. AML상의 OSINT(Open Source Intelligence) 차원에서 스캔들이 발생하면 어떻게 처리할 것인지 은행에서 결정/조사/처리해야 한다는 것이고, 만약 연루되었다면 그 비고의성을 금융기관이 직접 입증해야 한다는 것이다.

최근 밝혀진 미국 국영 에너지 회사와 국부 펀드, 비정부기구들에 연계된 수십억 달러의 부패/돈세탁 범죄, 2015년 9월 국제탐사보도언론인협회가 공개한 파나마 페이퍼와 FIFA의 뇌물 및 리베이트 등과 같은 다양한 금융 범죄에는 의도하든 의도하지 않았든 다양한 금융기관이 연루된 것으로 나타났다. 따라서 외부 소스로부터 입수된 정보를 은행의 거래 데이터와 고객 데이터로부터 식별하여 텍스트 분석, 복잡한 검색, 정교한 고객 식별(Customer Identification), 원활한 데이터 분석의 필요성이 대두되고 있다. 최근 금융기관들이 규제기관의 요구사항에 대응하고, 비고의성을 증명하기 위해 분석 및 식별할 수 있는 환경을 갖추려는 것도 그 때문이다.


6. Resource 보강


보스톤 컨설팅 그룹(BCG; Boston Consulting Group)은 2017년 3월 2일 발표된 7번째 연례보고서에서 금융 위기인 2008년 이후 자금세탁으로부터 테러자금 조달 등 다양한 규제 위반으로 전세계의 대형 은행들이 지불한 벌금이 3,110억 달러에 달한다고 밝혔다. 이런 벌금 부과가 과거 대부분 미국의 규제기관에 집중되었으나, 이제 유럽과 아시아의 규제 기관으로 확대될 것이라고 한다. 작년/올해 미국에서 부과된 대부분의 벌금은 유럽 / 아시아 은행에 집중되었다. 또한, 2016년에만 420억 달러의 벌금을 물었는데, 이는 전년도에 비해 68% 증가된 규모라 한다. 이러한 규제는 한번 제정 / 발효되면 약해지지 않을 영구적인 규제로 남아 있을 것이므로, 금융 기관의 벌금 관리 및 규제 모니터링이 가장 중요한 업무 중 하나가 되었다고 밝혔다.

이런 분위기를 반영하듯, 최근 미국으로부터 1.36억 달러의 벌금을 부과 받는 등 최근 전 세계적으로 자금세탁 관련하여 6억 2800만 달러의 벌금을 부과 받고, 불완전 판매와 관련하여 미국 재무부로부터 72억 달러의 벌금을 부과 받는 등 제재 대상으로 가장 많이 이름이 오르내리고 있는 도이치뱅크의 경우 지난 12개월동안 3,000 명 이상의 인력 감축이 진행되는 동안 약 370명의 컴플라이언스 및 금융 범죄 대응 인력을 신규 채용했다고 한다. 

국내도 마찬가지가 아닐까 싶다. 앞에서 언급한 일본의 BTMU의 사례를 보면, 전세계에 산재되어 있는 시스템 및 운영 조직을 운영의 집중화 / 표준화 및 효율화를 진행하면서 본점으로 이관하였던 사례를 살펴보면, 본점에서 시스템 운영 및 전세계 규제 모니터링을 수행해야 함에 따라 본점의 리소스 보강 및 효율화는 반드시 필요할 것으로 보인다.



이제 자금세탁 방지 시스템과 범위는 우리나라에서 감독하고 제어할 수 있는 범위를 넘어가고 있다. 뉴욕, 홍콩, 싱가폴 지점이나 자회사를 보유하고 있는 대부분의 은행은 이를 대응하기 위한 준비를 하여야 한다. 
금융 선진국의 규제 기관이 요구하듯, 항상 최신성을 유지하기 위해 과학적인 분석이 가능하여야 하고, 시나리오 개선, 임계값 조정 등을 지속적인 개선이 이루어져야 하며, 전세계적으로 계속 강화되고 있는 각국의 규제 사항을 쉽게 반영할 수 있는 유연성을 보유하여야 한다.
지속적으로 추가되고 있는 규제를 바로 반영할 수 있는 확장성을 보유하여야 하며, 바젤위원회에서 권고하고 있는 본점에서 각 해외 지점/자회사의 모든 거래를 실시간으로 파악할 수 있는 통합성도 제공하여야 한다. AML 시스템은 이제 더 이상 계정계 시스템을 구축하듯, 요구사항에 맞추어 만들어져 5년, 10년씩 쓰는 시스템이 아니다.
규제 자체가 계속 강화되고 있고, 지속적으로 규제에 대응하여 계속 시스템에 반영하여야 하는 업무가 되었다. 이젠 패러다임을 전환하여야 한다. 초기 비용은 다소 증가할 수 있지만, 장기적으로는 ▶규제기관의 검사 및 인증에 따른 리스크 감소 ▶향후 운영을 위한 비용 감소 ▶새로운 규제가 추가될 경우 시스템 개선/재구축 증가 비용 감소 등의 효과를 경험할 수 있게 될 것이다.


2017.05.10


국내외의 규제당국의 규제 방향이 바뀌기 시작하였다.


예전에는 SAR/STR의 보고 건수에 Focus를 두었다면,


이제는 보고 품질에 더욱 주안점을 두며 금융 기관에 보고 품질을 개선하라고 하고 있다.


특히, 작년 초(2016. 02) FinCEN(Financial Crime Enforcement Network)은


플로리다주 지브롤터 프라이빗 뱅크(Gibraltar Private Bank)와 트러스트 컴퍼니(Trust Company)에 대한 


AML 프로그램의 "상당한"결함으로 4백만 달러의 벌금을 부과했다. 


그 중 다른 여러 결함 들 중에서도 


False Positive를 포함한 "관리 할 수 없는 수"의 경보도 포함되어 있다.


이런 내용을 반영하듯,


작년말 발표한 NYSDFS의 Part 504에도,


우리나라 KoFIU가 발표한 2017년 감독 방향에도


모두 SAR/STR에 대한 품질과 관련된 규정이 포함되어 있다.


문제는, 아직도 금융기관의 AML 시스템을 통해 발생하고 있는 경보의 대부분이


False Positive라는데 문제가 있다.


대부분의 경보(일부 조사에 따르면 99.95%)가 오탐에 의한 경보이고,


정말 극히 일부분만 SAR/STR로 진행되어야 할 가치가 있는 경보로 밝혀지고 있다.


그러면, 금융 기관 입장에서는 어떤 방향의 접근법이 있을까?


1. Sanction 측면


- 2015년 10월 미국 재무부 해외 재산 관리국(OFAC)은 


  합법적인 개인 및 단체의 이름을 블랙리스트와 실수로 매칭함에 따라 발생된 경보를


  향후에 발생하지 않도록 많은 AML 팀이 편집한 "오탐 리스트(False Hit Lists)"를 


  정기적으로 재평가할 것을 권고했다. 


  또한, OFAC은 "오탐 리스트는 부정확한 매치를 통제하기 위한 최선의 방법이지만, 


  금융 기관은 정기적으로 이를 업데이트하여 


  보호된 고객에게 영향을 줄 수 있는 새로운 Sanction 지정과 


  해당 고객의 행동이나 상태에 대한 의심스러운 변경을 잠재적으로 방지해야 한다."고 밝혔다.


2. Transaction Monitoring 측면


- 과학적인 접근 방법을 따라야 한다.


  많은 경우의 잘된 자금세탁은 정상 거래와 거의 유사하게 포장되어 있다.


  이를 면밀하게 조사하고 찾아내기 위해서는 일반적인 휴리스틱 기법이 아닌,


  Statistics Method나 무역 금융 등에서 발생되는 Text 등을 전면적으로 활용하는

 

  다양한 분석 기법을 활용하여, 거래 당사자와 거래의 Behavior 중 특이 거래를 찾아낼 수 있어야 한다.


  오히려, 전통적인 기법보다는 가장 최신의 분석 기법을 활용할 수 밖에 없는 이유일 것이다.



특히, 고객의 특성과 현재 고객의 상태를 반영하여 고객 Behavior 상 특이 거래를 찾는 것은


새로운 접근 방법이 아니라, 과거 전통적인 분석이 활용되었던 CSS(Credit Scorecard System)나

 

Customer Analytics에서 활용되었던 Segmentation, Recommendation, Predictive 등의 분석 기법,


최근 금융권에 적용 시도가 빈번한 Machine Learning 기법 등을 활용하면,


False Positive를 획기적으로 개선하고 그 SAR/STR의 품질을 개선할 수 있는 방안이 될 것이다.





이를 위해 SAS에서는 몇 가지 백서와 Product를 제공하고 있다.


백서로써, Analytics를 AML 컴플라이언스에 적용하여 "시나리오 세분화 및 이상 거래 탐지 모델 개발 방법"이라는 백서와


이를 제공하기 위한 SAS Transaction Monitoring Optimization 이라는 솔루션을 제공하고 있다.


자세한 내용은 첨부를 참조하면 된다.


sas-transaction-monitoring-optimization-108186.pdf

scenario-segmentation-anomaly-detection-models-107495.pdf







규정의 취지 및 효력


  • 국의 BSA / AML 법규 준수 및 OFAC 요건 충족 강제화
    거래 모니터링 프로그램(TMS), 요주의리스트 필터링 (Watchlist Filtering)의 매년 인증 책임 및 Penalty 명확화
  • 504.1 = 배경 
  • 504.2 = 용어 정의
  • 504.3 = 요구사항
  • 504.4 = Annual Certification
    : 매년 4/15까지 인증된 고위 임원(Certifying Senior Officer)이 서식에 의거 인증 필요
  • Penalties / Enforcement Actions (인증 받지 못할 경우)
    기관 : 은행법 및 금융 서비스 법에 따라 제공되는 모든 관련 처벌을 받아야 함.
    - 인증된 고위 임원 : 형사 처벌 대상
  • 504.3-a Transaction Monitoring 유지
    1. 기관의 Risk Assessment에 기초
    2. KYCDD,EDD에서 가능한 모든 정보 반영
    3. 사업,상품,서비스,고객,거래대상 매핑
    4. 시나리오에 위험을 탐지하기 위한 RA 기반의 임계값 및 금액 사용
    5. 데이터 매핑,트랜젝션 코딩,시나리오 로직, 모델 검증,입출력주기적 테스트를 포함하여 End-to-End, TMS에 대한 구축 전후 테스트 포함
    6. 탐지시나리오,가정,매개변수,임계값 Documentation
    7. 경보 조사 방법,경보처리 프로세스,담당자/의사결정 프로세스 문서화
    8. 탐지시나리오,기본 규칙,매개변수,가정 등을 지속적으로 평가/분석 대상화
  • 504.3-b Watch List Filtering 유지
    1. 관의 Risk Assessment에 기초
    2. 이름과 계좌를 대조하기 위한 기술 또는 도구(Fuzzy 등 활용)
    3. 데이터목록,감시목록,임계값 등주기적 테스트를 포함하여 End-to-End, 구축 전후 테스트 포함
    4. 현재 법적/규제 요구사항 반영 리스트 사용
    5. 이름,계좌 매핑 기술/도구의 논리,성능,리스트,임계값의 지속적인 분석 및 점검
    6. 프로그램 도구 및 기술 의도, 디자인의 명확한 설명 Documentation

  • 504.3-c Transaction Monitoring, Watch List Filtering 최소 요구 사항
    1. 관련 데이터 포함한 모든 데이터 식별
    2. 정확하고 완전한 데이터 흐름을 보장하기 위해 데이터의 무결성, 정확성 및 품질 확인
    3. 소스로부터 데이터를 완전하고 정확하게 전송할 수 있도록 하는 데이터 추출/로딩 프로세스
    4. 프로그램의 변경 사항을 관리
    5. 프로그램의 벤더 선택 프로세스
    6. 프로그램의 설계,구현,유지 자금 지원
    7. 프로그램의 설계, 계획, 구현, 작동, 테스트, 유효성 검사 및 분석에 책임이 있는 자격을 갖춘 인력 또는 외부 컨설턴트
    8. 이해 당사자에 대한 주기적인 교육


1. 기업 지배 구조 및 경영 감독 측면

  • BSA/AML 시스템 개선 조치

  • 지점에 대한 통제 및 감독 책임

  • 전문성 있는 리소스(인력배분

2. BSA/AML 준수 프로그램 측면

  • BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

  • Correspondent Banking 통제

  • 적절한 Resource 할당 및 자원 / 직원 배치에 대한 정기적 재평가

3. Suspicious Activity Monitoring and Reporting Program

  • 상품,서비스,고객유형,위치, Initial Operator, UBO 등을 고려한 모니터링 규칙 및 임계값 설정을 위한 방법론

  • 모니터링 규칙 및 임계값 변경 사항에 대한 분석테스트 및 문서화하기 위한 정책 및 절차

  • 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations )

  • 모니터링 규칙의 갭 평가와 시정 조치 실행 계획 및 자동 모니터링 표준 수립/시스템 개선 계획

4. OFAC Compliance

  • 최신의 OFAC Filtering 유지, 최신성 유지 확인 프로세스

  • 오탐 억제 프로세스 적절성 점검 / 업데이트 절차


1. 기업 지배 구조 및 경영 감독 측면

    • BSA/AML 시스템 개선 조치

    • 지점에 대한 통제 및 감독 책임

    • 전문성 있는 리소스(인력) 배분

2. BSA/AML 준수 프로그램 측면

    • BSA/AML 요구 사항 준수할 수 있는 합리적으로 설계된 내부 통제 시스템

    • Correspondent Banking 통제

    • Risk Assessment (상품, 서비스 ,고객 유형, 위치 등을 고려한)

    • 시스템 테스트

    • BSA/AML 준수를 위한 시스템 식별 및 시스템이 BSA/AML 리스크 완화하고 있는지 검토 Timeline

    • BSA/AML 요구사항, 내부 정책 / 절차 등 모든 영역에서 인력에 대한 교육

3. Customer Due Diligence 측면

    • Risk Rating을 위한 방법론

    • Correspondent Banking 관련 정책, 절차, 책임 및 실사 강화

    • 주기적 검토 및 평가 -> 정보/위험 프로파일 최신성 유지 è Risk 수정 근거 문서화

4. Suspicious Activity Monitoring and Reporting Program

    • 모니터링 규칙 및 임계값 설정을 위한 방법론, 분석, 테스트 및 문서화하기 위한 정책 및 절차

    • 모니터링 및 조사 기준 강화 (Corres Banking/Trade Finance, 의심거래 정보 확대, Documentations )


AML 관련 마지막 기고문.


http://www.bikorea.net/news/articleView.html?idxno=15974

"글로벌 AML 규제 방향-국내 금융사 고려사항” BI Korea 2017.01.08



송고한 기사 원문

-----------------------------------



지난 연말 2회의 기고를 통해, 미국과 유럽을 중심으로 강화되고 있는 자금세탁 규제와 그에 따른 국내 금융기관의 영향을 단편적으로 살펴봤다. 또한 글로벌 규제는 해외에 지점 점포를 국내 모든 금융기관에도 영향을 주는 이슈로, 이상 다른 나라 이야기로 치부할 일이 아니라는 것도 언급했다. 이번 기고에서는 지난 2회의 기고 내용을 기반으로 글로벌 자금세탁 규제의 방향성을 알아보고, 그와 관련하여 국내 금융기관(Financial Institution) 고려해야 점을 구체적으로 살펴보고자 한다.


 


앞선 기고에서 언급한 미국 규제 당국의 규제와 유럽의 ‘4 EU 자금세탁방지지침(이하, 4MLD)’ 종합하면 크게, 다음과 같이 가지 단어로 방향성을 정리해볼 있다.


 


첫째투명성(Transparency)


미국과 유럽 4MLD 가장 크게 강조하는 것은투명성이다. 모든 규제 사항과 적용 내용에 대한 입증 요인을 설명해야 하며, 개선 수정 사항에 투명성을 제공하기 위한 문서화 근거 제시를 필수로 요구하고 있다. 특히, 2016 6 뉴욕금융감독청(NYDFS) 채택한 AML 준수를 위한 최종 룰에 의거하여 2018 4월까지, 그리고 매년 받아야 하는 인증을 위해서도 시스템과 내부 통제와 관련한 모든 내용에 대한 문서화는 물론, 개선 전후 테스트, 탐지 시나리오, 기본 규칙, 임계값, 매개 변수 등을 추적할 있는 근거 결과를 제시해야 한다.


 


이러한 규제의 근간이 되는 규제가 바로, 미국 통화감독청(OCC; Office of the Comptroller of the Currency) OCC 2011-12 감독 지침이다. 이에 따라 향후 미국 유럽에서는 자금세탁 규제의 투명성 시스템 일관성, 검증이 갈수록 중요시될 수밖에 없다.


 


투명성 측면에서 하나의 중요한 영역은궁극적 실소유자(UBO; Ultimate Beneficial Ownership) 확인이다. 실소유자는 금융기관에 확인 의무가 있을 뿐만 아니라, 일반 법인에까지 법인의 실질적인 소유권에 대한 최신의 정확한 정보를 규제 기관 금융기관을 포함한 자금세탁 방지 준수 의무 기관이 즉시 이용할 있도록 제공해야 한다. 페이퍼 컴퍼니, 무기명 채권 등의 실제 소유자를 밝히고, 자금세탁의 우려를 없앨 있는 투명성을 제공하기 위해서다. 이는 자금세탁뿐만 아니라 역외 탈세 등을 방지하기 위한 미국의 해외금융계좌신고법(FATCA; Foreign Account Tax Compliance Act) 기타 국가를 위한 공통보고기준(CRS; Common Reporting Standard)에서도 필수적으로 요구하는 상황이기도 하다.


 


고객실사확인(CDD; Customer Due Diligence) 또한 투명성을 위해서다. 특히, 4MLD 의거하여 보고 의무 기관은 고객에게 간소화된 고객 확인(SCDD; Simplified CDD) 적용한 근거를 직접 입증/제시해야 한다. 이를 위해 고객위험평가 모델에서 위험 고객으로 분류한 근거/활용된 리스크 팩터, 고객위험평가 모델 결과 테스트 결과를 소명할 있어야 한다.


 


정리하면, AML 위한 모든 규칙 모델에 대한 활용 데이터, 결과, 방법론 등을 문서화 근거화해야 한다. 이를 위해 AML 시스템의 운영 측면에서 변경 가능한 모든 영역에서감사 추적(Audit Trail)’ 기능을 제공해야 하며, 결과를 직접 눈과 문서로 확인할 있어야 한다.


 


둘째-고잉(On-going)


고객에 대한 위험 평가는 항상 최신으로 유지하며 모니터링해야 한다. , -고잉 모니터링(On-going Monitoring) 지원해야 하며, 고객의 모집단(Population) 변경되거나, 새로운 상품 등이 출시될 경우 위험 평가의 기준 모델을 항상 최신으로 유지하고, 이를 활용하여 모니터링한다. 또한 앞서 언급한 투명성(Transparency) 고려하여 규칙/모델의 변경 전후에 대한 테스트 결과, 변경한 임계값에 따른 개선 효과 개선 사유를 입증해야 한다. 규칙/모델에 대한 최신성을 유지하는 것도 중요하지만, 개선의 투명성도 담보돼야 한다는 것이다.


 


고객의 온보딩/이벤트 기반의 모니터링을 위한 -고잉 모니터링뿐만 아니라, 거래에 대한 모니터링을 수행하는 트랜잭션 모니터링(Transaction Monitoring) 위해서도 지속적인 개선과 최신성을 유지해야 한다(On-going Transaction/Sanction Monitoring). 이는 앞서 언급한 뉴욕금융감독청의 AML 준수를 위한 최종 Part 504 규제 항목인 '금융 거래 모니터링 필터링 요구사항 인증' 관련된 내용으로, 지속적인 개선을 보장하고 매년 인증을 받아야 한다(On-going Certification) 의미이다. 거래 모니터링의 지속적인 개선(임계값, 리스크팩터), 제재 리스트(Sanction List) 최신성 유지에 대해 보장하고 인증을 받으라는 규제로, 향후 금융기관이 AML 시스템을 운영하기 위해 가장 많은 비용이 소요될 있는 영역이기도 하다.


 


특히, 거래 모니터링의 지속적인 개선은 과거 국내에서 AML 시스템을 개발/운영하던 패턴과는 굉장히 다른 형태로, 기존 룰과 모델을 상시로 분석 개선하는 프로세스가 필요하다. 문제는 초대용량의 트렌잭션을 요약 분석하는 거래 모니터링 시스템 입장에서 기존 /모델 분석 개선은 부담이 수밖에 없다. 따라서 기존의 AML 시스템과는 접근 방법을 달리하여 상시로 데이터 관리 프로세스와 /모델 변경 적용 프로세스를 적용할 있는 시스템을 구축해야 한다.


 


마지막으로애널리틱스(Analytics)


모든 IT 시스템은 시스템이 완성되면 기반의 애널리틱스(머신러닝까지 포괄) 발전한다. 자금세탁 방지도 마찬가지다. 과거 (규칙) 기반으로 운영되던 것이 ‘위험 기반 접근법(RBA; Risk-Based Approach)’ 도입되면서 모델의 중요성이 강조되고 있다. 고객의 위험 평가를 하는 일은 금융기관이 책임져야 영역이다. 평가 결과에 대한 책임도 금융기관에 있다. 때문에 데이터 드리븐(Data Driven) 방식으로 접근해야만 한다. 데이터 드리븐 방식으로 만들어진 위험 평가를 해야만 시스템을 안정적으로 운영하며 항상 최신성을 유지할 있다.


 


애널리틱스는 자금세탁 방지뿐만 아니라 챗봇(Chatbot) 로보 어드바이저(Robo Advisor), RPA(Robotic Process Automation) 다양한 영역에서 금융기관의 경쟁력이 되고 있다. 글로벌 선진 금융기관이 데이터 기반의 자금세탁방지 시스템을 도입하고 있는 것도 이러한 추세를 반영한 것이다.


 


또한, IDG 최근 금융서비스 분야를 전망한 보고서(Financial Service Top 10 Prediction)에서 금융기관 업무에 가장 빨리 영향을 영역으로 컴플라이언스(Compliance) 사기&사이버보안(Fraud & Cybersecurity) 대한지능형 행동패턴분석(Behavioral Analytics)’ 꼽았다. 그리고 예로 AML/KYC 프로세스 상의 SAR/STR EU 4MLD RBA 적용을 소개했다. 그만큼 글로벌 금융 기관에게 가장 압박으로 느껴질 있는 부분이다.


 


자금세탁방지에서 애널리틱스가 강조되는 한가지 이유는 외부 데이터 분석에 대한 니즈의 증가이다. 특히 최근에는 다양한 금융 범죄가 언론이나 위키리크스 등을 통해 공개되고 있는데, 이것이 금융기관의 잠재적인 리스크로 대두되고 있다. 미국 연방준비은행(FRB; Federal Reserve Bank) BSA/AML 담당자는 2016 , 자금세탁에 관한 정보 분석 사이트인 MoneyLaundering.com에서 "금융기관들은 테러 공격, 부패 방지법, 법규 준수에 영향을 있는 주목할 만한 범죄 뉴스를 어떻게 조사할지 계획을 세워야 한다" 언급했다. AML상의 OSINT(Open Source Intelligence) 차원에서 스캔들이 발생하면 어떻게 처리할 것인지 은행에서 결정/조사/처리해야 한다는 것이다.


 


최근 밝혀진 미국 국영 에너지 회사와 국부 펀드, 비정부기구들에 연계된 수십억 달러의 부패/돈세탁 범죄, 2015 9 국제탐사보도언론인협회가 공개한 파나마 페이퍼와 FIFA 뇌물 리베이트 등과 같은 다양한 금융 범죄에는 의도하든 의도하지 않았든 다양한 금융기관이 연루된 것으로 나타났다. 따라서 외부 소스로부터 입수된 정보를 은행의 거래 데이터와 고객 데이터로부터 식별하여 텍스트 분석, 복잡한 검색, 정교한 고객 식별(Customer Identification), 원활한 데이터 분석의 필요성이 대두되고 있다. 최근 금융기관들이 규제기관의 요구사항에 대응하고, 비고의성을 증명하기 위해 분석 식별할 있는 환경을 갖추려는 것도 때문이다.


 


-고잉 트랜잭션/제재 모니터링(On-going Transaction/Sanction Monitoring) 투명성(Transparency) 모두 연결되는 이야기이지만, 향후 뉴욕금융감독청의 감독에 포함되어 있는지속적 개선 위해서도 애널리틱스는 필수이다. 지속적 개선을 위해서는 현재 적용된 룰과 모델의 성능을 지속적으로 판단하고, 긍정 오류(False Positive) 개선을 위한 지속적인 노력이 뒤따라야 한다. 이를 위해서는데이터 드리븐 애널리틱스(Data Driven Analytics)’ 반드시 수반돼야 하고, 이는 향후 금융기관에서 가장 비용이 소요될 있는 영역이다.


 


지금까지 언급한 글로벌 규제 방향성인 투명성(Transparency), -고잉(On-going), 애널리틱스(Analytics)라는 화두는 국내 금융기관의 해외 지점/점포의 자금세탁 방지 영역에서 향후 반드시 고려해야만 한다. 아울러 이를 기반으로 자금세탁방지 시스템 구축 내부통제 절차를 수립해야 한다. 과거, 우리나라 금융권에서 추진하던 빅뱅 또는 SI 아닌 업무 프로세스 상에서의 DevOps(S/W Development 아닌 /모델의 Development) 구축해야 한다. 이를 통해 시스템적 안정성 검증, 선진 글로벌 레퍼런스, 시스템 유지보수, 글로벌 활용에 의한 규제기관의 검증 프로세스 간소화 등을 지원해야 한다. 그렇지 않고서는 자금세탁방지 규제 준수는 인력과 비용이 충분하지 않은 해외 지점/점포의 운영에 걸림돌이 수밖에 없다.


 


글로벌 규제 방향성에 적합한 환경의 AML 시스템 구축과 시스템 운영은 향후 해외 지점/점포 운영의 가장 도전이 것이다. 이러한 다양한 규제 방향 때문에 최근 글로벌 시장조사기관에서는 AML 영역에서 향후 연평균 53% 이상의 비용 증가와 함께, 인력 충원 (Top) 3 부서로 언급하고 있다. 우리 금융기관도 그에 적합한 형태의 투자와 계획이 이뤄져야 하는 이유이다.


 


2017년도 자금세탁방지 10 중점 검사항목


같은 글로벌 동향에 발맞춰 2016 12 16, 금융정보분석원(FIU)자금세탁방지 검사수탁기관 협의회 주최했다. 협의회에서는 2016 검사 운영 실적을 점검하고, 2017 감독/검사 정책방향을 논의하고 ‘2017년도 자금세탁방지 10 중점 검사항목 선정하여 공유했다. 내용은 아래 표와 같다. 3), 4), 6), 7), 8), 9) 필자가 언급한 글로벌 자금세탁 규제 방향성과 일맥 상통하는 내용으로, 향후 더욱 강화될 수밖에 없는 규제이기도 하다.




Pro-Active하게 움직이라!


기고를 마무리하는 지금, 필자는 금융기관 관계자들에게 가지 간곡한 당부를 하고자 한다. 규제에 Pro-Active하게 움직이라는 것이다. 자금세탁방지 규제는 앞으로 더욱 강해지면 강해졌지 결코, 약화되지는 않을 것이다. 특히, 시간차가 없이 금융환경의 글로벌화가 진행되고, 핀테크 업체로까지 경쟁이 심화되고 있는 상황에서 규제에 따른 벌금, 자금세탁 금융 범죄에 의한 피해 등은 늦게 또는 미온적으로 대처하는 금융기관에 집중될 수밖에 없다


 


따라서 글로벌 규제 국내 규제에 대응하여 내부 통제 프로세스를 강화하고, 투명성(Transparency), -고잉(On-going), 애널리틱스(Analytics) 유지/강화할 있는 방향으로 접근해야 한다. 이를 위한 초기 비용은 다소 증가할 있다. 그러나 장기적으로는 규제기관의 검사 인증에 따른 리스크 감소 향후 운영을 위한 비용 감소 새로운 규제가 추가됐을 경우 시스템 개선/재구축 증가 비용 감소 등의 효과를 경험할 있다.


 


지금까지 언급한 가지 방향성이 현저히 적은 인력으로 해외 지점/점포를 운영하는 국내 금융기관의 글로벌 자금세탁방지 규제 준수를 위한 작은 이정표가 되길 간절히 바라며 글을 마치고자 한다.


http://www.bikorea.net/news/articleView.html?idxno=15860

글로벌 AML 규제 동향 및 국내 영향도 점검 BI Korea 2017.12.24



송고한 기사 원문

---------------------------------------------


글로벌 자금 세탁방지 규제 동향과 국내 영향도 점검
 
지난 기고에서 매해 강도를 더하는 글로벌 자금세탁 규제를 소개한 바 있다. FATF(Financial Action Task Force, 자금세탁방지 국제기구)를 중심으로 미국과 유럽의 규제가 자금세탁 규제를 선도하고 있으며대만 메가뱅크와 중국 농업은행의 뉴욕 지점에 제재금이 부과된 이유와 그에 따른 규제사항도 간략히 살펴봤다.
 
기사가 게재되는 동안에도 자금세탁방지를 위한 감시와 규제는 계속됐다지난 12 15이탈리아의 대표적인 상업은행인 인테사상파올로(Intesa SanPaolo) 금융그룹의 뉴욕 지점이 2002년부터 발생한 이란과의 거래 및 조사관에게 중요 혐의 정보를 숨긴 혐의로 2.35억 달러의 제재금과 함께매년 평균 4조 달러에 달하는 환거래를 해지 당한 것뉴욕금융감독청(NYDFS)이 올해 외국계 금융 기관에 자금세탁방지 규정 위반으로 부과한 세 번째 금전적 벌금이다.
 
이러한 규제와 제재는 날로 강화되고 있다. EU에서는 2015 5, 2005년에 제정ㆍ운영하고 있던 ‘제3 EU 자금세탁방지 지침(3rd EU Money Laundering Directive)’을 폐지하고, FATF(Financial Action Task Force, 자금세탁방지 국제기구) 2012년 권고사항을 반영한 ‘4 EU 자금세탁방지 지침’을 제정ㆍ발표하고 2017 6 26일까지 신규 의무를 준수하도록 하고 있다.
 
또한 미국은 연방 은행비밀법(BSA; Bank Secrecy Act)의 애국법Ⅲ(Title III USA PATRIOT Act)을 근간으로, FATF의 권고사항을 받아들여 다수의 연방 법규와 주별 법으로 제정 관리하고 있으며규제 기관마다 독자적인 권고 사항이 복잡하게 운영되고 있다따라서 이번 기고에서는 ‘4 EU 자금세탁방지 지침’과 2017년부터 강화될 미국의 규제를 간단히 소개한다.
 
국내 금융기관에 영향을 주는 4 EU 자금세탁방지 지침
4 EU 자금세탁방지 지침’의 주요 사항 중 한국 금융기관에게 영향을 줄 수 있는 주요 항목은 다음와 같다.
구분
내용
제정 및 시행
. 2015 6 25일 제정
. 2017 6 26일까지 전체를 구현하여 실행
규정의 효력
2005년 제정되었던 제3 EU 자금세탁방지 지침을 완벽히 대체
1)
위험 기반 접근법(Risk Based Approach) 확대
2)
지속적인 모니터링(On-going Monitoring)
3)
궁극적 실제 소유자(Ultimate Beneficial Owner) 확인
4)
강화된 고객 확인(Customer Due Diligence) 제도
<한국 금융기관에 영향을 줄 수 있는 주요 이슈>
 
첫 번째 이슈는 ‘위험기반접근법(Risk Based Approach) 확대’각 회원국이 AML/CTF 위험의 적절한 식별평가완화 조치의 증거 제시를 강제하는 국가위험평가(National Risk Assessment)를 도입하고여기에 고객상품지역채널을 고려한 의무를 금융기관 및 자금세탁방지 준수 의무가 있는 비금융기관 등(이하 의무 기관)에 부과하고 있다이는 국내에 적용된 위험기반접근법(Risk-Based Approach)과 동일한 형태의 규제로 이해된다.
 
두 번째 이슈는 ‘지속적인 모니터링(On-going Monitoring)고객위험평가에 대한 입증 및 입증 요인을 설명해야 하며,항상 최신으로 유지해야 한다여기서는 국내에 적용되지 않은 미국 재무부 산하 통화감독청의 규제 사항인 OCC 2011-12와 유사한 ‘모델 리스크 매니지먼트(Model Risk Management)’를 통해 리스크 등급의 근거 및 투명성 제공지속적인 최신의 리스크 등급 유지 등을 내부 통제 관점에서 제시해야 한다.
 
세 번째는 ‘궁극적 실제 소유자(Ultimate Beneficial Owner) 확인’이를 위해 모든 법인은 본인의 실질적인 소유권에 대한 적절하고 정확하며 최신의 정보를 보유해야 하며관할 당국 및 요청이 있는 의무 기관이 즉시 이용할 수 있도록 제공해야 한다.
 
네 번째 이슈는 ‘강화된 고객 확인(Customer Due Diligence) 제도’이다특정 카테고리에 있는 고객에게 간단한 고객 확인(SCDD: Simplified CDD)을 용인하던 기존 방식과는 달리의무 기관은 SCDD를 적용한 위험이 충분히 낮다고 판단한 근거를 입증해야 한다.
 
앞서 언급한 네 가지 이슈를 종합하면 의무 기관이 고객위험평가에 대한 투명성최신성을 유지하며리스크 평가에 대한 근거 및 방법론 등을 언제든지 입증하도록 강제하고 있다는 것이 국내 규제와 크게 다른 점이다이는 EU 규제일 뿐만 아니라 미국 통화감독청의 OCC 2011-12 모델 리스트 매니지먼트 감독 지침(Supervisory Guidance on Model Risk Management)에 따른 미국의 규제사항이기도 하다.
 
2017년부터 강화되는 미국의 규제와 유의사항
OCC 2011-12 감독 지침에 따르면 2012년 이후 모든 금융 기관은 자금세탁방지 룰과 모델의 문서화 및 투명성을 다음 다섯 가지 항목별로 제시하도록 강제하고 있다▶모델 인벤토리(룰 및 시나리오▶모델 개발구현사용(시나리오/모델에 대한 비즈니스 목적구현 방법론배포데이터 소스▶모델 검증(예측했던 결과를 보장하기 위한 정확한 분석 결과▶모델 튜닝 & 최적화(모델에 대한 지속적인 테스트 및 False Positive 개선▶모델 거버넌스(정책제어프로세스에 대한 일관성 보장모델 개발 방법론 제시등이다.
 
따라서 향후 미국의 자금세탁방지의 투명성 및 시스템 일관성검증은 갈수록 중요시될 것이다실제로 뉴욕금융감독청이 벌금을 부과한 사례를 분석해 보면내부통제 및 프로세스 개선과 더불어 SAR/STR 보고에 대한 최적화 및 개선,자금세탁방지 시스템 재구축이 포함되어 있다.
 
이와 더불어 미국에서는 금융기관이 ML/TF(자금 세탁/테러자금 조달)에 대응하도록 규정을 추가했다첫째재무부 산하 ‘금융 범죄 집행 네트워크(FinCEN; Financial Crimes Enforcement Network)’는 모든 금융기관이 2018 5 11일부터 새로운 고객 확인(CDD) 룰을 채택하여 새로운 계정을 개설할 때모든 법인 고객의 실 소유자의 신원을 확인하도록 했다특히고객의 리스크 프로파일 개발을 목적으로 고객 관계의 성격과 목적에 대한 이해를 포함하여 지속적인 고객 확인(On-Going CDD)을 수행하기 위한 위험 기반 절차를 법제화하여 포함할 예정이다.
 
둘째대만 메가은행파키스탄 국립은행한국의 A은행파키스탄 하빕은행에 대한 뉴욕금융감독청의 시행 조치를 보면 ▶금융 기관 본점이 뉴욕 지점의 AML 운영에 대한 거버넌스 체계 및 관리 감독 향상을 위한 서면 계획 수립 ▶규정화된 AML OFAC 규제 준수 프로그램 개발 및 강화 ▶뉴욕금융감독청에 대한 지속적인 규제 준수 보고 이행 등을 강제하고 있다이는 향후 국내 금융 기관의 뉴욕 지점에서 주의해야 할 사항이기도 하다.
 
셋째, 2016 6 30일 뉴욕금융감독이 채택한 뉴욕의 AML 준수를 위한 최종 룰에 따르면, 2017 1 1일부터 새로운 규정이 발효되어 2018 4 15일까지 뉴욕금융감독에 준수 확인 결과를 제출해야 한다특히새로운 Part 504 규제 항목인 ‘금융 거래 모니터링 및 필터링 요구사항 및 인증(Banking Division Transaction Monitoring & Filtering Program Requirements and Certifications)’에 따르면구축된 시스템의 유지보수에 그치지 않고 지속적으로 개선해야 한다그리고 모든 개선 사항의 투명성을 제공하기 위한 문서 및 근거개선 전후 테스트 결과탐지 시나리오기본 규칙임계 값매개 변수 등에 대한 지속적인 분석 및 평가 여부 등을 뉴욕금융감독청에 매년 인증 받아야 한다따라서 향후 금융기관이 AML 시스템을 운영하기 위해 상당한 비용이 발생할 것으로 예상된다.
 
위에 언급한 EU와 미국의 신규 규정 및 규제 사항은 큰 범주에서 국내와 크게 다르지 않다그러나 세부 항목과이를 검증 및 평가하기 위한 항목에서 금융기관의 입증 책임을 더욱 강하게 하고 있으며향후 자금세탁방지를 위한 조직적ㆍ비용적 투자가 지금과는 비교가 되지 않을 정도로 많이 이뤄져야 할 것으로 생각된다또한 국내에서 비용과 효과를 고려하여 도입하는 In-House 방식의 시스템이나 국제적으로 인식되어 있지 않은 자금세탁방지 시스템을 활용할 경우,화면과 로직데이터 처리알고리즘 등 모든 영역에서 문서화 및 입증 책임을 금융기관이 필연적으로 떠안을 수밖에 없다또 구축된 시스템을 이용하여 지속적인 개선 활동과 최신성을 투명하게 유지하고 매년 인증을 받는 일이 금융기관에는 큰 부담이 된다.
 
다음 세 번째 기고에서는 국내 금융 기관이 해외 점포 및 지점을 위해 고려해야 할 점을 보다 구체적으로 살펴보고자 한다.


http://www.bikorea.net/news/articleView.html?idxno=15789

“강도를 더하는 글로벌 ‘자금세탁’ 규제” BI Korea 2016.12.19



송고한 기사 원문 -------



대통령 탄핵 의결로까지 이어진 일련의 사태로 전세계인의 이목이 우리나라로 집중된 가운데, 사법 기구에 의한 검찰 조사와 특검, 입법 기관에 의한 국정조사 등 국가적 차원에서 다양한 조사와 수사가 이뤄지고 있다. 그런가 하면 우리가 알지 못한 사이, 먼 나라에서도 또 다른 조사와 수사가 한창이다. 독일 헤센주 프랑크푸르트 검찰이 한국인 세 명과 그 중 한 사람이 보유한 한 독일 법인에 대한 자금세탁 혐의를 조사 중인 것. 독일 검찰은 한 은행의 고발에 따라 2016 5월부터 수사를 하고 있었다고 한다. 보도에 따르면 자금세탁 규모는 무려 ‘300만 유로+α’에 이른다.


 


이제 시간을 좀더 거슬러 올라가보자. 2016 4, 국제탐사보도언론인협회(ICIJ)는 사상 최대 규모의 역외 탈세 자료인 ‘파나마 페이퍼스’ 프로젝트를 공개했다. 파나마 최대 로펌인 모색 폰세카가 보유한 2.6TB에 달하는 약 1,150만 건의 비밀문서를 확보하고, 추가 취재하여 각국의 정치 지도자, 마약상, 무기상, 연예인, FIFA 관계자, 기업가, 범죄자, 그리고 스포츠 스타, 한국 기업 등이 포함된 21 4천 여 개의 역외 회사(Offshore Company) 정보를 공개한 것. HSBC, UBS, 크레디트 스위스, 소시에테 제네랄 등 전세계 500여 은행이 모색 폰세카의 도움을 받아 수천 개의 역외 엔티티를 등록시킨 것이 밝혀졌다. 역외 회사 정보는 지금도 계속 드러나고 있다.


 


더위가 한창 기승을 부리던 2016 8. 뉴욕금융감독청(NYDFS)은 대만의 가장 큰 은행 중 하나인 Megabank 뉴욕 지점에 1.8억 달러의 제재금을 부과했다. 자금세탁 위험이 높은 파나마에 위치한 다른 지점과의 의심스러운 금융거래를 보고(STR; Suspicious Transaction Report)하지 않았다는 이유에서다. 이 일로 Megabank는 별도의 컨설턴트 고용 및 뉴욕 지점의 자금세탁 방지 준수 강화를 위한 단계적인 모니터링 수행을 뉴욕금융감독청과 합의했다.


 


한편 뉴욕금융감독청은 지난 11, 자산 기준 전세계 6, 중국 내 3위인 중국 농업은행에도 2.15억 달러의 제재금을 부과했다. 미화 환전을 위한 TMS(Transaction Monitoring System)를 업그레이드하라는 당국의 지시 묵살, 미화 결제의 지불 주체를 숨기려는 시도, 이에 따른 준법감시인의 요구 묵살, 러시아와 중국의 회사 간 비정상적인 대규모 현금거래 미 보고 건에 대한 의도적인 은폐 혐의 등 다수의 규정 및 법규를 위반한 것이다. 지금까지 예로 든 네 건의 사건은 모두 최근에 가장 큰 주목을 받는 자금세탁방지 위반 사례로, 향후 우리 금융기관에도 큰 영향을 줄 수 있다는 점에서 결코 가볍게 넘길 일만은 아니다


 


자금세탁방지를 선도하는 유럽과 미국의 규제 벤치마킹


2001, 국내에서 특정금융거래보고법과 범죄수익규제법이 시행되면서 금융정보분석원(KoFIU)이 출범했다. 이후 최근까지 우리나라는 FATF(Financial Action Task Force, 자금세탁방지 국제기구) 의장국을 수임하면서 국제적인 위상을 높이고 있다. 또한 자금세탁/테러자금조달 방지를 위한 국제 기준의 선도적인 조치를 수행하여 제3차 라운드 FATF 국제기준 이행 평가과정을 성공적으로 마침으로써 자금세탁 분야에서 선진국 입지를 다지고 있다.


 


한편, FATF 회원국 상호 평가(2018. 11 ~ 2019. 10)를 위해 금융기관은 물론, 범국가적 차원에서 다양한 대비를 진행하고 있다. 각 금융기관에는 위험기반접근법(Risk-Based Approach)이 도입되었고, 국가적 위험 평가를 위해 금융정보분석원(KoFIU) 내에는 국가 위험평가 시스템이, 각 금융기관에는 금융기관 위험평가 시스템과 금융정보분석원의 이행지표 보고 기능이 도입되어 개발 중 혹은 운영 중에 있다


 


이미 도입되어 국내에서 잘 운영되고 있는 자금세탁방지와 관련된 글을 다시 지면으로 끌어 올린 이유는 이쯤에서 다시 기본으로 돌아가 문제가 될 점은 없는지, 무엇을 해야 하는지를 살펴보기 위해서다. 자금세탁방지 제도는 전세계 금융권뿐만 아니라 자금이 흐르는 곳과 자금과 관련된(변호사, 부동산, 카지노 등) 모든 곳에 적용되는 컴플라이언스로, 세계 금융 시스템에 가장 큰 임팩트를 주고 있는 규제 사항이다. EU와 미국, 캐나다, 일본의 주도로 만든 FATF의 특성상 유럽과 미국의 규제가 자금세탁방지를 선도하고 있으며, 전세계적으로 제재금이나 규제의 강도 또한 유럽과 미국이 가장 강하다.


 


특히 다수의 감독 기관(FinCEN, FRB, OCC )이 동시에 규제를 하는 미국의 경우, 자국에서 영업하고 있는 전세계 모든 금융기관에게 동일한 의무 준수를 강하게 요구하고 있다. 특히 사례에서 언급한 바와 같이 최근에는 금융기관의 뉴욕 지점에 제재금이 부과되고 있다. 몇몇 국내 금융 기관도 2015년과 2016년에 뉴욕 연방준비은행(FRB of NY)과 뉴욕금융감독청(NYDFS)의 현지 검사에서 각 각 지적을 받았으며, 향후 더욱 강화된 자금세탁업무 개선을 약속한 상황이다.


 


자금세탁방지와 관련한 규제 사항은 KoFIU의 규정과 국내 법만으로 해결될 이슈가 아니다. 전세계에서 영업을 진행하는 한 해당 국가의 모든 규제 사항을 지켜야 하며,이를 위해 국내 법에서는 ‘자금세탁방지 및 공중협박자금조달금지에 관한 업무규정 제27 3항’에 해외 지점/자회사가 위치한 현지법의 기준이 다를 경우, 소재국의 법령과 규정이 허용하는 범위에서 국내 기준과 해외 기준 중 더 높은 기준을 준수하도록 명시하고 있다.


 


이에 따라 현재 우리나라 금융기관의 해외 지점 현지 규정 준수 및 해외 감독에서 미흡하거나 보완해야 할 영역은 무엇인지, 그리고 향후 FATF와 해외 규제 기관의 규제 방향에 따라 국내 금융 기관이 선제적으로 수행해거나, 무엇을 고려해야지 다음 기고에서 살펴보고자 한다.


+ Recent posts