Financial Crime & Compliance

첨부 참조

NHBank Written Agreement with FRB(20170117).pdf

뉴욕 DFS는 2017년 1월 5일 언론 발표를 통해

새로운 위험기반(Risk-Based) 테러 방지 및 자금 세탁 방지 규제가 현재 시행되고 있다고 발표했다.

DFS의 규제에 따르면

2017년 1월 1일부터 규제 의무 기관은 은행 보안법(Bank Secrecy Act, BSA) 및 자금 세탁 방지(AML) 위반의 가능성이 있는

거래와 제재 대상의 거래를 방지하는 모니터링 및 필터링 프로그램을 반드시 유지하고, DFS에게 매년 규제 준수를 인증받아야 한다.

2016년 6월 이후, DFS는 Intesa Sanpaolo S.p.A.에 대한 AML법 위반으로 집행 조치를 이끌고 벌금 2억 3,500 만 달러를 받았다.

중국 농업 은행 (Agricultural Bank of China)에게는 벌금 2억 1,500만 달러를 받았고,

대만의 메가 뱅크 (Mega Bank of Taiwan)는 1억 8,500만 달러의 벌금을 지불했다.

새로운 규정에 따르면 관련 규제 기관이 거래 모니터링 및 필터링 프로그램을 검토하고

그러한 프로그램이 규제 수단에 부합하도록 작동하는지 확인해야 한다.

또한, 금융 기관은 2018년 4월 15일부터 DFS의 규정을 준수한다는 것을 증명하기 위해

연례 이사회 결의안이나 고위 임원의 준수 증명서를 제출하여야 한다.

규정의 발효일을 준비하기 위해 DFS는 지난 연말 모든 은행 검사관을 대상으로 포괄적인 교육을 실시했으며,

새로운 규정에서 요구하는 추가 규정을 반영하여 새해 첫날 규정을 업데이트하였다.

2017.01.10 머니투데이 단독 기사

美당국, 국내은행 뉴욕지점 자금세탁 조사... 금융권 긴장

- 농협은행, 이달초 FRB로부터 '서면합의' 조치 통보... "글로벌 수준에 맞는 시스템 / 인력 필요" 지적

http://news.mt.co.kr/mtview.php?no=2017010915483891931&MTS

이라는 기사가 떴다.

드디어 올 것이 오고 있다는 느낌이다.

작년부터, 대만 메가뱅크, 중국농업은행, 이태리 인테사상파올로 은행이 뉴욕 금융감독청으로부터 대대적인 과징금을 받았고,

뉴욕에 지점을 가지고 있는 모든 해외 은행을 감시/감독하는 FRB of NY과 NYDFS의 화살이 

이제 한국의 금융기관을 가리키고 있다는 느낌이다.

알다시피, 기업은행이 작년 초 "서면합의" 이행 조치를 받아, 

국내 준법지원팀에서 근무하던 CAMS(Certified Anti-Money Laundering Specialist)가 

작년 중순 경 국내 AML 프로젝트를 진행하고 있는 중간에 뉴욕지점으로 발령이 나서 뉴욕에서 근무하고 있고,

전 직원이 24명인 뉴욕지점에 준법지원 관련 인원을 6명까지 충원하였다.

필자가 앞선 BIKorea.net에 기고했던 글 처럼(http://www.bikorea.net/news/articleView.html?idxno=15974)

향후 AML과 관련된 인력은 해외지점을 운영하는데 가장 큰 도전이 될 것이다.

또, 국내 규제에 맞추어 시스템과 조직을 운영하던 금융기관에게도 

뉴욕의 규제는 KoFIU의 규제의 강도와 감독의 디테일함에 비할바 못된다는 것을 알게 될 것이다.

AML 관련 마지막 기고문.

http://www.bikorea.net/news/articleView.html?idxno=15974

"글로벌 AML 규제 방향-국내 금융사 고려사항” BI Korea 2017.01.08

송고한 기사 원문

-----------------------------------

지난 연말 2회의 기고를 통해, 미국과 유럽을 중심으로 강화되고 있는 자금세탁 규제와 그에 따른 국내 금융기관의 영향을 단편적으로 살펴봤다. 또한 글로벌 규제는 해외에 지점 및 점포를 둔 국내 모든 금융기관에도 영향을 주는 이슈로, 더 이상 다른 나라 이야기로 치부할 일이 아니라는 것도 언급했다. 이번 기고에서는 지난 2회의 기고 내용을 기반으로 글로벌 자금세탁 규제의 방향성을 알아보고, 그와 관련하여 국내 금융기관(Financial Institution)이 고려해야 할 점을 구체적으로 살펴보고자 한다.

앞선 기고에서 언급한 미국 규제 당국의 규제와 유럽의 ‘4차 EU 자금세탁방지지침(이하, 4MLD)’을 종합하면 크게, 다음과 같이 세 가지 단어로 방향성을 정리해볼 수 있다.

첫째, 투명성(Transparency)

미국과 유럽 4MLD이 가장 크게 강조하는 것은 ‘투명성’이다. 모든 규제 사항과 적용 내용에 대한 입증 및 요인을 설명해야 하며, 개선 및 수정 사항에 투명성을 제공하기 위한 문서화 및 근거 제시를 필수로 요구하고 있다. 특히, 2016년 6월 뉴욕금융감독청(NYDFS)이 채택한 AML 준수를 위한 최종 룰에 의거하여 2018년 4월까지, 그리고 그 후 매년 받아야 하는 인증을 위해서도 시스템과 내부 통제와 관련한 모든 내용에 대한 문서화는 물론, 개선 전후 테스트, 탐지 시나리오, 기본 규칙, 임계값, 매개 변수 등을 추적할 수 있는 근거 및 결과를 제시해야 한다.

이러한 규제의 근간이 되는 규제가 바로, 미국 통화감독청(OCC; Office of the Comptroller of the Currency)의 OCC 2011-12 감독 지침이다. 이에 따라 향후 미국 및 유럽에서는 자금세탁 규제의 투명성 및 시스템 일관성, 검증이 갈수록 중요시될 수밖에 없다.

투명성 측면에서 또 하나의 중요한 영역은 ‘궁극적 실소유자(UBO; Ultimate Beneficial Ownership) 확인’이다. 실소유자는 금융기관에 확인 의무가 있을 뿐만 아니라, 일반 법인에까지 법인의 실질적인 소유권에 대한 최신의 정확한 정보를 규제 기관 및 금융기관을 포함한 자금세탁 방지 준수 의무 기관이 즉시 이용할 수 있도록 제공해야 한다. 페이퍼 컴퍼니, 무기명 채권 등의 실제 소유자를 밝히고, 자금세탁의 우려를 없앨 수 있는 투명성을 제공하기 위해서다. 이는 자금세탁뿐만 아니라 역외 탈세 등을 방지하기 위한 미국의 해외금융계좌신고법(FATCA; Foreign Account Tax Compliance Act)과 기타 국가를 위한 공통보고기준(CRS; Common Reporting Standard)에서도 필수적으로 요구하는 상황이기도 하다.

고객실사확인(CDD; Customer Due Diligence) 또한 투명성을 위해서다. 특히, 4MLD에 의거하여 보고 의무 기관은 고객에게 간소화된 고객 확인(SCDD; Simplified CDD)을 적용한 근거를 직접 입증/제시해야 한다. 이를 위해 고객위험평가 모델에서 저 위험 고객으로 분류한 근거/활용된 리스크 팩터, 고객위험평가 모델 결과 및 테스트 결과를 소명할 수 있어야 한다.

정리하면, AML을 위한 모든 규칙 및 모델에 대한 활용 데이터, 결과, 방법론 등을 문서화 및 근거화해야 한다. 이를 위해 AML 시스템의 운영 측면에서 변경 가능한 모든 영역에서 ‘감사 추적(Audit Trail)’ 기능을 제공해야 하며, 그 결과를 직접 눈과 문서로 확인할 수 있어야 한다.

둘째, 온-고잉(On-going)

고객에 대한 위험 평가는 항상 최신으로 유지하며 모니터링해야 한다. 즉, 온-고잉 모니터링(On-going Monitoring)을 지원해야 하며, 고객의 모집단(Population)이 변경되거나, 새로운 상품 등이 출시될 경우 위험 평가의 기준 및 모델을 항상 최신으로 유지하고, 이를 활용하여 모니터링한다. 또한 앞서 언급한 투명성(Transparency)를 고려하여 규칙/모델의 변경 전후에 대한 테스트 결과, 변경한 임계값에 따른 개선 효과 및 개선 사유를 입증해야 한다. 규칙/모델에 대한 최신성을 유지하는 것도 중요하지만, 개선의 투명성도 담보돼야 한다는 것이다.

고객의 온보딩/이벤트 기반의 모니터링을 위한 온-고잉 모니터링뿐만 아니라, 거래에 대한 모니터링을 수행하는 트랜잭션 모니터링(Transaction Monitoring)을 위해서도 지속적인 개선과 최신성을 유지해야 한다(On-going Transaction/Sanction Monitoring). 이는 앞서 언급한 뉴욕금융감독청의 AML 준수를 위한 최종 룰 Part 504 규제 항목인 '금융 거래 모니터링 및 필터링 요구사항 및 인증'과 관련된 내용으로, 지속적인 개선을 보장하고 매년 인증을 받아야 한다(On-going Certification)는 의미이다. 거래 모니터링의 지속적인 개선(임계값, 리스크팩터), 제재 리스트(Sanction List)의 최신성 유지에 대해 보장하고 인증을 받으라는 규제로, 향후 금융기관이 AML 시스템을 운영하기 위해 가장 많은 비용이 소요될 수 있는 영역이기도 하다.

특히, 거래 모니터링의 지속적인 개선은 과거 국내에서 AML 시스템을 개발/운영하던 패턴과는 굉장히 다른 형태로, 기존 룰과 모델을 상시로 분석 및 개선하는 프로세스가 필요하다. 문제는 초대용량의 트렌잭션을 요약 및 분석하는 거래 모니터링 시스템 입장에서 기존 룰/모델 분석 및 개선은 큰 부담이 될 수밖에 없다. 따라서 기존의 AML 시스템과는 접근 방법을 달리하여 상시로 데이터 관리 프로세스와 룰/모델 변경 및 적용 프로세스를 적용할 수 있는 시스템을 구축해야 한다.

마지막으로, 애널리틱스(Analytics)

모든 IT 시스템은 시스템이 완성되면 룰 기반의 애널리틱스(머신러닝까지 포괄)로 발전한다. 자금세탁 방지도 마찬가지다. 과거 룰(규칙) 기반으로 운영되던 것이 ‘위험 기반 접근법(RBA; Risk-Based Approach)’이 도입되면서 모델의 중요성이 강조되고 있다. 고객의 위험 평가를 하는 일은 금융기관이 책임져야 할 영역이다. 평가 결과에 대한 책임도 금융기관에 있다. 때문에 데이터 드리븐(Data Driven) 방식으로 접근해야만 한다. 데이터 드리븐 방식으로 만들어진 위험 평가를 해야만 시스템을 안정적으로 운영하며 항상 최신성을 유지할 수 있다.

애널리틱스는 자금세탁 방지뿐만 아니라 챗봇(Chatbot) 로보 어드바이저(Robo Advisor), RPA(Robotic Process Automation) 등 다양한 영역에서 금융기관의 경쟁력이 되고 있다. 글로벌 선진 금융기관이 빅 데이터 기반의 자금세탁방지 시스템을 도입하고 있는 것도 이러한 추세를 반영한 것이다.

또한, IDG는 최근 금융서비스 분야를 전망한 보고서(Financial Service Top 10 Prediction)에서 금융기관 업무에 가장 빨리 영향을 줄 영역으로 컴플라이언스(Compliance)와 사기&사이버보안(Fraud & Cybersecurity)에 대한 ‘지능형 행동패턴분석(Behavioral Analytics)’를 꼽았다. 그리고 그 예로 AML/KYC 프로세스 상의 SAR/STR과 EU의 4MLD의 RBA 적용을 소개했다. 그만큼 글로벌 금융 기관에게 가장 큰 압박으로 느껴질 수 있는 부분이다.

자금세탁방지에서 애널리틱스가 강조되는 또 한가지 이유는 외부 데이터 분석에 대한 니즈의 증가이다. 특히 최근에는 다양한 금융 범죄가 언론이나 위키리크스 등을 통해 공개되고 있는데, 이것이 금융기관의 잠재적인 리스크로 대두되고 있다. 미국 연방준비은행(FRB; Federal Reserve Bank)의 BSA/AML 담당자는 2016년 말, 자금세탁에 관한 정보 분석 사이트인 MoneyLaundering.com에서 "금융기관들은 테러 공격, 부패 방지법, 법규 준수에 영향을 줄 수 있는 주목할 만한 범죄 뉴스를 어떻게 조사할지 계획을 세워야 한다"고 언급했다. AML상의 OSINT(Open Source Intelligence) 차원에서 스캔들이 발생하면 어떻게 처리할 것인지 은행에서 결정/조사/처리해야 한다는 것이다.

최근 밝혀진 미국 국영 에너지 회사와 국부 펀드, 비정부기구들에 연계된 수십억 달러의 부패/돈세탁 범죄, 2015년 9월 국제탐사보도언론인협회가 공개한 파나마 페이퍼와 FIFA의 뇌물 및 리베이트 등과 같은 다양한 금융 범죄에는 의도하든 의도하지 않았든 다양한 금융기관이 연루된 것으로 나타났다. 따라서 외부 소스로부터 입수된 정보를 은행의 거래 데이터와 고객 데이터로부터 식별하여 텍스트 분석, 복잡한 검색, 정교한 고객 식별(Customer Identification), 원활한 데이터 분석의 필요성이 대두되고 있다. 최근 금융기관들이 규제기관의 요구사항에 대응하고, 비고의성을 증명하기 위해 분석 및 식별할 수 있는 환경을 갖추려는 것도 그 때문이다.

온-고잉 트랜잭션/제재 모니터링(On-going Transaction/Sanction Monitoring)과 투명성(Transparency)은 모두 연결되는 이야기이지만, 향후 뉴욕금융감독청의 감독에 포함되어 있는 ‘지속적 개선’을 위해서도 애널리틱스는 필수이다. 지속적 개선을 위해서는 현재 적용된 룰과 모델의 성능을 지속적으로 판단하고, 긍정 오류(False Positive) 개선을 위한 지속적인 노력이 뒤따라야 한다. 이를 위해서는 ‘데이터 드리븐 애널리틱스(Data Driven Analytics)’가 반드시 수반돼야 하고, 이는 향후 금융기관에서 가장 큰 비용이 소요될 수 있는 영역이다.

지금까지 언급한 글로벌 규제 방향성인 투명성(Transparency), 온-고잉(On-going), 애널리틱스(Analytics)라는 화두는 국내 금융기관의 해외 지점/점포의 자금세탁 방지 영역에서 향후 반드시 고려해야만 한다. 아울러 이를 기반으로 자금세탁방지 시스템 구축 및 내부통제 절차를 수립해야 한다. 과거, 우리나라 금융권에서 추진하던 빅뱅 또는 SI가 아닌 업무 프로세스 상에서의 DevOps(S/W의 Development가 아닌 룰/모델의 Development)로 구축해야 한다. 이를 통해 시스템적 안정성 및 검증, 선진 글로벌 레퍼런스, 시스템 유지보수, 글로벌 활용에 의한 규제기관의 검증 프로세스 간소화 등을 지원해야 한다. 그렇지 않고서는 자금세탁방지 규제 준수는 인력과 비용이 충분하지 않은 해외 지점/점포의 운영에 큰 걸림돌이 될 수밖에 없다.

글로벌 규제 방향성에 적합한 환경의 AML 시스템 구축과 시스템 운영은 향후 해외 지점/점포 운영의 가장 큰 도전이 될 것이다. 이러한 다양한 규제 방향 때문에 최근 글로벌 시장조사기관에서는 AML 영역에서 향후 연평균 53% 이상의 비용 증가와 함께, 인력 충원 톱(Top) 3 부서로 언급하고 있다. 우리 금융기관도 그에 적합한 형태의 투자와 계획이 이뤄져야 하는 이유이다.

2017년도 자금세탁방지 10대 중점 검사항목

이 같은 글로벌 동향에 발맞춰 2016년 12월 16일, 금융정보분석원(FIU)은 ‘자금세탁방지 검사수탁기관 협의회’를 주최했다. 이 협의회에서는 2016년 검사 운영 실적을 점검하고, 2017년 감독/검사 등 정책방향을 논의하고 ‘2017년도 자금세탁방지 10대 중점 검사항목’을 선정하여 공유했다. 그 내용은 아래 표와 같다. 이 중 3), 4), 6), 7), 8), 9)가 필자가 언급한 글로벌 자금세탁 규제 방향성과 일맥 상통하는 내용으로, 향후 더욱 강화될 수밖에 없는 규제이기도 하다.

Pro-Active하게 움직이라!

기고를 마무리하는 지금, 필자는 금융기관 관계자들에게 한 가지 간곡한 당부를 하고자 한다. 규제에 Pro-Active하게 움직이라는 것이다. 자금세탁방지 규제는 앞으로 더욱 강해지면 강해졌지 결코, 약화되지는 않을 것이다. 특히, 시간차가 없이 금융환경의 글로벌화가 진행되고, 핀테크 업체로까지 경쟁이 심화되고 있는 상황에서 규제에 따른 벌금, 자금세탁 및 금융 범죄에 의한 피해 등은 늦게 또는 미온적으로 대처하는 금융기관에 집중될 수밖에 없다. 

따라서 글로벌 규제 및 국내 규제에 대응하여 내부 통제 프로세스를 강화하고, 투명성(Transparency), 온-고잉(On-going), 애널리틱스(Analytics)를 유지/강화할 수 있는 방향으로 접근해야 한다. 이를 위한 초기 비용은 다소 증가할 수 있다. 그러나 장기적으로는 ▶규제기관의 검사 및 인증에 따른 리스크 감소 ▶향후 운영을 위한 비용 감소 ▶새로운 규제가 추가됐을 경우 시스템 개선/재구축 증가 비용 감소 등의 효과를 경험할 수 있다.