[AML/CFT] 최근 AML 경영유의사항 및 실무 시사점 : “시스템은 있었지만, 작동하지 않았다”

최근 금융당국은 국내 대형 증권사에 대한 자금세탁방지(AML) 검사 결과를 바탕으로, 경영유의 및 개선사항을 공개하였습니다. 제재나 제재 예고가 아닌 ‘개선 권고’ 사례이지만, AML 운영체계 전반에 중요한 실무적 시사점을 제공합니다.

이번 조치는 이미 구축된 AML 시스템과 내규가 실제 영업 환경에서 실질적으로 기능하고 있는지를 정밀하게 점검했다는 점에서 의미가 큽니다. 특히 비대면 채널의 확산, 불공정거래 리스크의 상시화, 자동화 시스템 의존도 증가 상황에서 감독기관은 AML 시스템 “운영의 실효성” 감독에 집중하고 있습니다.

본 뉴스레터에서는 이번 개선 요구 사항을 유형별로 분석하고, 이를 통해 즉시 점검해야 할 AML 운영상의 구조적 취약지점과 실무적 대응 방향을 살펴보고자 합니다.

1. 검사에서 확인된 주요 취약 유형

(1) 고객확인(CDD): 절차는 있으나 운영이 따라가지 못한 구조

AML 관련 지침과 절차서가 장기간 개정되지 않아 상위 법령이나 실제 업무 방식과 괴리가 발생한 사례가 확인되었습니다. 특히 급증하는 비대면 채널을 통해 수집된 고객확인 정보에 대해 주기적인 적정성 점검이 충분히 이루어지지 않아, 정보의 정확성과 최신성이 저하될 우려가 지적되었습니다.

또한 고객확인 재이행 주기 도래 전·후 고객에 대한 관리 기준과 거래 제한 조치가 내규에 충분히 반영되지 않고 시스템 통제에만 의존하는 운영 방식도 개선이 필요한 부분으로 언급되었습니다. “시스템은 존재하지만, 왜 해당 조치가 이루어졌는지 설명하기 어려운 상태”가 중대한 문제로 지적될 수 있음을 시사합니다.

(2) 고객위험평가(RA): 평가모형과 운영 기준의 분리

고객위험평가 모형과 정의서는 존재하였으나, 해당 모형의 운영·관리 기준 및 정기적 점검·개선 절차가 명확히 정립되지 않아 위험등급 산정이 사실상 전산시스템에만 의존하고 있는 사례가 확인되었습니다. 특히 불공정거래 모니터링 조치 이력이나 사기이용계좌 등록 이력 등 중요 위험 신호가 고객위험평가에 충분히 반영되지 않고 있어 위험기반접근(RBA)의 실효성을 근본적으로 약화시키는 요인으로 지적되었습니다.

(3) 요주의 인물 확인(WLF): 채널·고객유형별 통제 수준의 불균형

요주의 인물 여부 확인과 관련하여, 고객 유형이나 국적에 따라 확인 방식이 상이하게 운영되고 있는 점도 개선 필요 사항으로 언급되었습니다. 외국인 고객은 시스템으로 확인하는 반면, 한국 국적자는 수기로만 확인하고 있어 확인의 적시성과 정확성이 크게 저하될 우려가 있는 문제점이 지적되었습니다.

(4) 불공정거래·신상품 영역: AML과 타 규제 영역 간 연계 부족

불공정거래 관련 의심거래(STR) 모니터링에서는 추출 기준과 실제 운영 간 불일치, 그리고 지급정지 요구 계좌에 대한 수기 검토로 보고의 적시성이 저하될 수 있는 사례가 확인되었습니다. 또한 신상품·신서비스에 대한 자금세탁 위험평가가 단순히 'Y/N' 방식으로 형식적으로 이루어지고, 그 평가 결과가 고객위험평가의 '상품 위험' 관리에 충분히 연계되지 못하고 있다는 점도 주요 개선 사항으로 제시되었습니다.

2. 실무적 시사점: 금융당국은 무엇을 보고 있는가

이번 경영유의사항은 AML 업무에서 “규정과 시스템의 존재”보다 “실제 운영과의 연결성”이 핵심 판단 기준이 되고 있음을 명확히 보여줍니다.

첫째, AML 관련 문서와 시스템은 최신 법령과 실제 업무 흐름을 반영하여 지속적으로 관리되어야 하며, 과거에 수립된 지침을 유지하는 것만으로는 충분하지 않습니다.

둘째, 고객위험평가(RA)와 모니터링은 독립된 기능이 아니라, 상호 연계되어 위험을 상향·조정하는 구조로 작동해야 합니다. 불공정거래, 사기계좌, 신상품 리스크가 AML 평가에 즉각 반영되지 않는 경우 위험기반접근(RBA)은 형식에 그칠 수 있습니다.

셋째, 비대면·자동화 환경일수록 사후 점검, 로그 관리, 판단 근거 기록이 중요해지며, 이는 단순한 IT 문제가 아니라 내부통제 설계와 운영 책임의 문제로 인식될 필요가 있습니다.

[핵심 점검 포인트]

• 비대면 CDD 정합성 점검 신설

대면 중심의 적정성 점검 로직에만 머물러 있는 현행 실무의 한계를 보완하여, 급증하는 비대면 채널의 특성을 반영한 주기적인 데이터 정합성(정확성·최신성·일관성) 점검이 필요합니다.

• 국적 불문 요주의 인물 실시간 스크리닝 체계 정비

내국인에 대한 수기 점검 관행을 재검토하고, 국적을 불문한 전산 기반 실시간 스크리닝 체계를 원칙으로 운영할 필요가 있습니다. 예외가 존재하는 경우에는 예외 사유, 대체 통제, 검토·승인 절차를 문서화해야 합니다.

• 위험평가(RA) 유효성 검증 및 위험요소 반영 체계 고도화

외부 솔루션 도입 이후 모델의 유효성 검증을 방치하는 리스크를 줄이고, 불공정거래 조치 이력·사기이용계좌 등록 이력 등 실질적 위험요인을 평가모형의 핵심 요소로 반영하는 개선이 필요합니다. 아울러 모델 변경 시 승인 절차와 변경 이력 관리 체계도 함께 정비하는 것이 바람직합니다.

• 신상품 평가와 고객위험평가의 연계 강화

기능 간 연계 부족으로 인해 신상품 자금세탁 위험평가 결과가 고객 위험평가 시스템으로 이관되지 않고 단절되는 문제를 해소할 필요가 있습니다. 신상품 위험등급이 고객의 상품위험 점수(Score) 및 모니터링 기준에 반영되도록 연계 로직을 설계하는 것이 효과적입니다.

3. 법무법인(유) 린의 제언

이번 경영유의사항은 금융기관 전반에 공통적으로 적용될 수 있는 감독 방향을 보여주는 사례로 볼 수 있습니다. “시스템이 있으니 괜찮다”는 인식과, “수기로 관리하면 된다”는 과거의 방식 모두가 더 이상 유효하지 않을 수 있다는 점을 분명히 보여줍니다. AML 운영의 핵심은 자동화 자체가 아니라, 자동화된 통제가 어떻게 설계·검증·기록되고 있는지가 중요해지고 있습니다. AML 체계를 점검할 때에는 다음과 같은 관점이 중요합니다.

• 기능 간의 유기적 연계성 점검: 고객확인, 위험평가, 모니터링, 신상품 위험평가가 각각 존재하는지 여부가 아니라, 서로 어떻게 유기적으로 연결되어 실제 조치(등급 상향, 모니터링 강화, 재이행 요구 등)로 이어지는지를 중심으로 점검해야 합니다.

• 설명 가능한 내부통제 체계 구축: 시스템 통제에 의존하더라도 판단 기준과 운영 절차가 내규·절차서·로그를 통해 명확히 설명 가능한 상태인지 확인해야 합니다. 검사 대응의 핵심은 “통제가 있었다”는 주장보다 “어떻게 작동했고 왜 그렇게 판단했는지”를 재현할 수 있는지 여부입니다.

• 사각지대 전면 진단 및 잔존 수시 프로세스 점검: 비대면 채널, 자동화 프로세스, 잔존 수기 절차, 타 규제 영역(불공정거래 등)과의 접점에서 통제 공백이 발생하지 않는지 전면적인 재점검이 필요합니다. 특히 수기 절차가 남아 있는 영역은 예외 통제인지, 구조적 미비인지 구분하여 우선순위를 정할 필요가 있습니다.

***

법무법인(유) 린 AML/CFT팀은 금융당국 검사 대응, AML 운영체계 진단, 내규·절차 정비, 시스템 통제 로직 및 규제 적합성 검토, 모델 운영·검증 체계 점검 등 실무 전반에 대한 자문을 제공하고 있습니다.

이번 가이드라인에 따른 이슈 및 관련한 내용에 상세한 논의가 필요하시다면
언제든지 법무법인(유) 린 AML/CFT팀(Tel. 02-3477-8695)에 문의해 주시기 바랍니다.