FRAML(FDS+AML)이상거래탐지와 자금세탁방지의 융합

서론

FDS개발자가 말하는 FRAML로 나아가는 미래에 대한 개인적인 견해

 

카드사 FDS담당업무를 맡은지 오래되지는 않았지만, 들어온 역사는 기존 10여년전 FDS(이상거래탐지시스템)에 비해 현재는 그 규모가 점점 커지고있다.

이러한 양상에 더불어, 가상화폐의 등장과 금융 도메인의 확대로 AML(자금세탁방지시스템)의 중요성도 커지고 있다.

2개의 시스템은 룰탐지/AI기반 스코어링 정보를 바탕으로 사전예방/사후탐지하는 업무 프로세스를 공유하고 있다.

 

필자의, 개인적인 견해로는 FDS를 활용하는 은행/카드/증권/가상화폐거래소 등의 도메인에서 위 FDS+AML의 업무는 합치되, 멀티모듈을 넘어서 MSA기반의 아키텍처와 퍼블릭클라우드/API활용을 적극적을 반영하여 설계를 할 필요성을 느낀다. 이를 바탕으로 부하/리스크를 낮출 필요가 있다고 생각한다.

 

카드사의 승인시스템의 빠른 처리를 요하는 거래와 증권사의 많은 순간 트래픽(TPS)을 감당할 수 있는 시스템을 겸비해야 하며, 금융 도메인 특성 상 AI 데이터 학습의 어려움을 한국의 금융감독원의 규제완화를 통해 풀어나갈 수 있어야한다고 생각한다.

 

FRAML에 대한 견해

 

FRAML이란?

: FRAML(FRaud and Anti-Money Laundering)
금융 범죄에 대응하기 위해 사기 방지와 자금 세탁 방지의 융합적이고 협력적인 접근 방식 

 

출처 : SAS KoreaBlog( 통합 금융 범죄에 대처하는 가장 효과적인 방법, 'FRAML')

위 와같은 도메인을 가지며, 서로의 데이터는 데이터분석/AI학습에 상호 퍼포먼스 향상에 도움이 될 것으로 예상함.

 

 

기술의 트렌드 feat. FDS / AML

1. 금융 범죄 대응을 위한 중앙 집중식 운영 방식
   

   	금융 범죄 대응을 위한 중앙 집중식 운영 방식
   외부 데이터 활용	내부 거래 데이터 외에도 외부 정보를 활용하여 사기 및 금융 범죄에 대응함.
   데이터 활용 방법	고객의 모든 계좌, 거래 및 프로필에 걸쳐 데이터를 사용하여 사기를 효과적으로 탐지하고 KYC(고객확인: Know your customer)데이터를 향상시킴.
   클라우드 환경	클라우드 인프라를 활용하여 외부와 API로 실시간 연계되며 100% 실시간 스코어링을 제공함.

2. 실시간 모니터링을 위한 더 많은 외부 데이터 활용
   

   	실시간 모니터링을 위한 더 많은 외부 데이터 활용
   변화 내용	금융 기관들이 사이버 보안, 사기, 자금 세탁 방지 등 광범위한 금융 범죄를 포괄하는 환경으로 변화하고 있음.
   장점	업무 부서, 지점, 채널 간의 장벽을 허물어 위험을 전체적으로 파악하고 일관성 있는 조사 및 처분을 지원함.
   주요 사례	몇몇 주요 은행은 효율적인 구현과 가시적인 비즈니스 가치를 제공하기 위해 AML을 조정하고 있음.

3. 머신 러닝 기술 활용
   

   	머신 러닝 기술 활용
   고급 분석 기술	다양한 고급 분석을 하이브리드화하여 모든 행동에 스코어링을 함.
   주요 기술	머신 러닝 모델, 패턴 외 분석, 비지도 학습, 네트워크 분석, 룰 개발, 로봇 프로세스 자동화(RPA) 등 다양한 기술을 활용하여 사기를 탐지하고 위험을 예측함.

- 머신 러닝 모델은 내부 및 외부 데이터를 결합하여 기존의 if-then 로직으로는 쉽게 식별할 수 없는 복잡한 위험을 탐지합니다. 기존 머신 러닝 알고리즘부터 딥 러닝 모델까지 다양한 모델을 사용할 수 있습니다.

 

- 패턴 외 분석은 고객 활동을 피어 그룹 행동 및 고객의 과거 행동과 비교하여 예기치 않은 변화를 식별합니다.

 

- 비지도 학습 : 신종 사기 및 신종 금융 범죄에 대한 새로운 위험을 모니터링하고 너무 늦기 전에 위험 완화 조치를 강화하는데 도움이 될 수 있습니다.

 

- 네트워크 분석은 엔티티를 해결하고 숨겨진 위험을 식별하며 기관 전반의 불법 행위 패턴을 식별합니다.

 

- Rule 개발: 알려진 행동에 대한 규칙과 특정 시나리오에 대한 특수 규칙을 생성하고 적용하는 작업을 포함합니다.

 

- 로봇 프로세스 자동화(RPA) : 가치가 낮은 활동을 자동화하여 더 중요한 조사를 위해 귀중한 인력을 확보할 수 있습니다.

 

FRAML : FDS+AML 통합적 접근 방식의 이점

1. 사기 및 자금 세탁의 융합적 관점에서 고객의 사기/자금 세탁 위험 노출에 대한 단일 360도 고객 뷰를 확보

두 부서가 동일한 정보에 액세스할 수 있으면 고객에 대한 전체적인 상황을 파악할 수 있으므로 의심스러운 행동을 더 정확하게 발견하고 더 나은 결정을 내려 적절하고 정확한 조치를 취할 수 있습니다.

2. 전사적 사례 관리 및 조사 가속화

사기 및 자금 세탁 활동을 통합적으로 검토하고 권한에 따라 모든 정보를 공유할 수 있는 퓨전 센터 접근 방식을 통해 금융 기관에 단일 시각과 전사적인 사례 관리 및 조사 프로세스를 제공합니다.

(퓨전 센터 : 금융 범죄 사건의 탐지, 예방, 조사 및 해결을 강화하기 위해 다양한 기능, 데이터 소스, 기술 및 이해 관계자를 한데 모으는 금융 범죄 대응을 위한 협업 접근 방식. 사일로를 허물고 사이버 보안, 자금 세탁 방지, 사기, 뇌물 및 부패 방지, 규정 준수, 법무, 리스크, 감사, 사업부 등 다양한 팀 간의 기능 간, 조직 간 협력과 조정을 촉진. 고객 정보, 거래 기록, 알림, 보고서, 감시 목록, 데이터베이스, 오픈 소스 인텔리전스, 소셜 미디어, 다크 웹 등 내부 및 외부 소스의 다양하고 방대한 양의 데이터를 통합하고 분석. 인공 지능, 머신 러닝, 생체 인식, 블록체인, 클라우드 컴퓨팅, 시각화 도구와 같은 고급 기술 및 분석을 활용하여 프로세스를 자동화하고, 역량을 강화하며, 인사이트를 창출하고, 의사 결정을 지원)

3. 위험 지표 및 사기형 집금 계좌 등 사기 및 자금 세탁 전반에 걸친 인텔리전스를 공유

금융 기관 내에 적발되거나 관리되어야 하는 정보와 사례를 기관 내의 사기 및 자금세탁 방지 활동의 자산으로 계속 활용할 수 있습니다.

4. 사기 적발 및 자금세탁 방지 퓨전 센터를 지원하기 위해 공유해야 할 도구

• 데이터 오케스트레이션 : KYC 단계에서 신원을 확인하거나, 제재 스크리닝을 위해 외부 데이터와의 실시간 연계 분석 및 외부 데이터 융합 분석, 코어 뱅킹 시스템과의 실시간 데이터 연계 및 세션 모니터링, 계정 탈취/재인증, 자격 증명, 고객 사용 디바이스의 투명성 확인 등을 실시간으로 지원할 수 있는 API 및 외부 데이터 융합 분석을 제공합니다.
• 데이터 모델 / 데이터 통합 : 사기 및 자금 세탁에 동시에 활용할 수 있는 데이터 모델 및 사전 정의된 데이터 통합 프로세스를 제공합니다.
• 사례 관리 및 조사 분석 : 전문가가 다양한 유형의 조사를 관리하고 수행하는데 도움이 되도록 다양한 데이터 소스로부터 정보와 레드 위험 신호를 포착하고, 조사 담당자나 팀이 사례와 작업을 할당 및 추적하여 진행 상황과 상태를 모니터링합니다. 다양한 출처에서 증거와 정보를 수집 정리하여, 데이터를 분석하고 시각화하여 범죄를 나타내는 패턴, 추세, 연관성, 이상 징후를 식별한 후 규제/사법 기관에 보고 및 소통할 수 있는 환경을 제공합니다.
• 머신 러닝 : 사기 및 자금 세탁에서 주로 쓰이는 규칙의 한계에서 벗어나 모델 기반으로 사기 및 자금 세탁을 찾아내거나, 그 가능성을 식별해 주는 지도/ 비지도/ 준지도 학습을 지원합니다.
• 네트워크 분석 : 금융 범죄에 관여하는 주체들 간의 숨겨진 패턴, 관계, 행동을 발견하는데 탁월한 기능을 제공합니다. 이를 위해 개체 식별 과정이 필요하게 되는데, 서로 다른 데이터를 기반으로 엔티티 간의 연결 관계와 동일한 엔티티인지를 찾아내는 과정을 거치게 됩니다. 그 결과로 여러 계층으로 복잡하고 정교하게 숨겨진 거래, 계좌, 법인, 실소유자, 관할권을 식별하고, 내부자/ 제3자/ 페이퍼 컴퍼니 등과 관련된 공모 사기를 찾을 수 있습니다. 고객 위험 프로파일 및 거래 모니터링 모델과 통합하여 위험 평가 및 위험 스코어를 더욱 신뢰성 있게 강화하게 됩니다.
• 의사 결정 엔진: 신용카드 승인과 같은 매우 빠른 처리를 필요로 하는 모든 유형의 거래를 대상으로 수백 GB 이상의 데이터를 다양한 관점에서 빠르게 해석하고 처리해주는 룰과 머신러닝 모델을 배치방식이나 실시간 방식으로 스코어링하고 의사결정 처리합니다.  또한 API 기반으로 다른 시스템과 실시간 연동과 데이터 연계 등을 지원합니다.
• 리포팅 엔진 : 규제 보고를 지원하기 위한 현금 거래 보고 / 의심 거래 보고 뿐만 아니라, 데이터의 종류 및 양에 관계 없이 내부 경영 정보를 지원하기 위한 경영 정보 시각화 보고서를 제공합니다.

 

FRAML의 운영 모델

 

출처 : SAS KoreaBlog( 통합 금융 범죄에 대처하는 가장 효과적인 방법, 'FRAML')

1. 공동 조사: 알려진 사기 이벤트, 자동화된 시스템 경보 및 수동 의뢰가 공용 사례 관리 시스템으로 수집됩니다. 엔티티 관리가 어렵거나 식별이 부족한 경우 고급 검색이 필수 요건입니다. 일반적으로 SAR/의심 거래 보고서(STR)는 중앙에서 관리되는 프로세스에 따라 제출됩니다.
2. 자동화된 경보 선별: 개별적인 탐지 이벤트가 공통의 스코어 및 우선순위 지정 방법으로 통합됩니다. 고객 단위 또는 외부 파티 단위에서 스코어링하는 것이 바람직합니다. 공통 정책 및 운영 모델은 팀 간의 정보 공유를 개선하는 자동화된 워크플로우를 통해 관리됩니다.
3. 오케스트레이션: 업계 표준 API를 통해 외부 데이터(부정적 미디어, 디바이스 평판/히스토리, 생체 인식 등)를 실시간으로 수집하여 현재 프로파일과 과거 데이터를 보완함으로써 위험 노출에 대한 보다 완전한 관점을 제공합니다. AML 담당자는 이를 통해 조사를 완료하는 데 걸리는 시간을 단축할 수 있습니다. 사기 업무에서는 오케스트레이션을 사용하여 일련의 조건에 따라 강화된 인증을 푸시하거나 지급 보류를 적용할 수 있습니다.
4. 포괄적 모니터링: 머신러닝 전략을 배포하는 데 있어 모델 거버넌스가 더욱 중요해짐에 따라 공통된 사용자 경험과 방법론을 제공하는 것이 필수적입니다. 경우에 따라, 피처와 알고리즘은 기존 유형에 편향되지 않고 생산적인 조사를 식별하도록 설계할 수 있습니다.

 

 

이 글을 마치며..

뉴스/칼럼 등을 통해 한국자금세탁방지위원회 업계에서는 FRAML에 대한 필요성을 많이 내비치고 있는것을 보인다.

 

 현재는 SAS 코리아에서 위 기술에 대한 언급을 많이 하고 있으며, 필자의 개인적인 시각으로도 두 업무의 융합에 대해, 상호 긍정적인 영향을 끼칠 것으로 생각한다.

 

 이러한 시스템이 마련되기 위해서는 기술적인 설계력과 인프라가 뒷바침되어야 할 것을 금융기관/기업에서도 인지해야 할 것이다.