[박만성 옥타솔루션 대표이사] 자금세탁방지 시스템 주기적 재구축 필연인가

자금세탁방지 시스템을 구축하여 평균적으로 1~2년 정도 사용하다 점점 수작업에 의한 업무 처리가 늘어나기 시작하더니 급기야는 시스템 사용을 포기하고 거의 전면 수작업에 의존하여 업무를 하고 있는 다양한 사례들과 그런 상담이 급격히 증가하고 있다.

이들과 상담을 진행한 결과 감가상각도 끝나지 않은, 도입한 지 길어야 2~3년도 채 되지 않은 시스템의 전면 재구축을 피할 수 없었는데, 왜 이렇게 된 걸까? 과연 이것은 자금세탁방지와 같은 준법 업무 시스템의 빈번한 규정 변경에 따른 필연일까?

자금세탁방지 업무는 ‘특정금융거래 정보의 보고 및 이용 등에 관한 법률’(이하 특금법)이라는 다소 긴 이름의 법률에 의하여 규정되어 있다.
그리고 금융위, 금융정보분석원 및 금감원 같은 금융 감독기관들은 그 때 그 때 필요하다고 판단이 되는 경우 비정기적으로 규정을 변경한다.

예를 들면 가상자산과 같은 새로운 형태의 금융 서비스가 시장에 출현하게 되면 시장 건전성 확보와 소비자 및 사업자 보호를 위해 다양한 보완 조치를 취하게 되고 그에 따라 특금법 및 그 시행령에 대한 변경 공표 및 준수를 요구하게 된다.

이러한 변경이나 개정이 발생하게 되면 각 금융사는 수정 개발을 통해 사용 중인 시스템의 현행화를 진행해야 한다. 전면 재구축을 고려하는 대부분의 금융사들이 이구동성으로 하는 얘기는 ‘규정 변경에 대한 현행화 유지보수 지원이 안 된다’는 것이다. 이해를 돕기 위해 일반적으로 알고 있는 시스템 장애나 버그를 잡기 위한 것을 ‘시스템 유지보수’ 그리고 규정 변경에 따른 현행화를 위한 것을 ‘업무 유지보수’로 구분하여 얘기하고자 한다.

국내 자금세탁방지 솔루션은 외국업체 2~3개사 그리고 국내업체 6~7개사가 공급하고 있다. 은행들은 주로 외국업체 솔루션을 국내 SI 개발업체를 통하여 각 사의 요구사항을 반영하여 개별적으로 구축하고 있고, 은행을 제외한 대부분의 금융사들은 국내업체를 통해 개별 구축하고 있다.

이들 공급업체 대부분은 동일 업권에 적용했던 경험을 기반으로 각 고객사 별로 소위 ‘싸이트 버전’을 구축하게 된다. 즉 각 고객사 별 소스코드가 다른 별개의 시스템들을 구축하게 되는 것이다. 문제는 여기에서부터 시작된다.
간단한 계산을 해 보자. 대부분의 규정 변경은 모든 금융사에 동시에 적용 된다. ‘A’ 라는 공급업체가 100개의 고객사에 자금세탁방지 솔루션 공급했다면, ‘A’ 사는 규정변경 효력 발생일까지(통상 공표일로부터 3개월 정도) 변경된 규정을 반영하기 위해 100개 고객사와 100개의 수정 개발 프로젝트를 계약하고 모두 완수해야 한다.

변경 내용에 따라 다르겠지만 견적-계약-수정개발-테스트-적용까지 최소 1~2개월이 소요되며 100개의 고객사를 적시 지원하기 위해서는 상시적으로 최소 50명의 유지보수 엔지니어가 필요하고, 고객사는 수 백만원에서 수 천만원의 비용을 공급자에게 지급해야 한다.

비용도 비용이지만 공급업체들의 해당 제품 매출액이나 직원 수 그리고 원활한 지원을 위해 유지해야 하는 엔지니어의 수를 생각하면 매우 비현실적이다. 즉 공급업체가 현행화를 위한 ‘업무 유지보수’를 태만히 하는 것이 아니라 현실적으로 지원이 불가능하다는 것이다.

그렇기 때문에 솔루션 도입 후 일정 시간이 지나면 현행화 미비로 수작업으로 처리하게 되며 이것이 점차 늘어 나게 되면 결국 시스템 사용을 포기하고 수작업에 의존할 수 밖에 없어 결국 전면 재구축이라는 결론에 도달하게 된다.
그 외에도 전면 재구축을 해야 하는 이유는 다양하다. ① 공급업체가 해당 사업을 중단해서 더 이상 지원이 안 되는 경우, ② 공급업체가 유지보수의 범위를 버그 수정으로 제한하는 경우, ③ 공급업체가 유지보수 지원 체계를 갖추지 않고 적정 인력을 투입하지 않는 경우, ④ 도입된 솔루션이 패키지 구축 방식이 아닌 일반 개발 방식으로 구축되어 각각의 고객별로 개별 대응해야 하는 경우, ⑤ 고객별 개발/수정 이력이 잘 보존되어 있지 않고 구축을 담당했던 인력이 이직했거나 다른 업무에 투입되어 지원이 불가한 경우

그렇다면 규정 변경에 따른 현행화가 필수적인 준법 대응 업무의 주기적 전면 재구축은 필연적인 것일까? 결론은 ‘그렇지 않다’ 이다.

필자는 우리나라 자금세탁방지 의무가 지금과 같은 체계로 시작되던 2008년부터 현재까지 약 15년 째 자금세탁방지 솔루션 사업에 참여하고 있다.

이 15년의 경험으로 자금세탁방지와 같은 준법업무 솔루션은 현행화 즉 ‘업무 유지보수’가 필수불가결한 요소라는 것이 결론이며, 현실적으로 가능한 ‘업무 유지보수’ 지원을 위해서는 첫째, ‘싸이트 버전’ 즉 각 고객사별 개별 소스코드 개발 방식이 아닌 ‘단일 소스코드’ 기반의 패키지화 된 솔루션이어야 한다는 것이며, 둘째 업권 별로 다른 기준값, 가중치, 혐의거래 시나리오 등은 템플레이트(Template)화 하여 업무 프로세스를 지원하는 기본 소스코드와 분리하여야 하고, 셋째 그 위에 각 사별 특성이나 요구 사항을 반영할 수 있는 커스터마이징 부분을 분리하여, 최소 3 레이어 아키텍쳐로 구조화 하여 개발해야 한다는 것이다.

즉 규정 변경에 따른 현행화 작업 시에 비현실적인 소스코드 개별 수정이 아닌 현행화 ‘업데이트 패치’ 적용 방식으로 수정할 수 있도록 설계 개발 되어야 한다는 것이다.

더 나아가서 대부분의 준법대응 업무는 사용하는 데이터와 기능의 중복이 꽤 많은 업무이다.

따라서 ‘업무 유지보수’를 현실적으로 지원함과 동시에 ‘레그테크를 (IT 기술을 이용한 준법대응업무의 혁신) 이용한 플랫폼’ 기반으로 구현하고, 금융서비스의 다양화, 복잡화 및 글로벌화에 따라 지속적으로 늘어나면서 변경이 빈번해지고 있는 준법 대응 업무를 단순화하고 구조화하여 구현한다면, 더 이상 소모적이고 비효율적인 전면 재구축 없이 준법 대응 업무를 획기적으로 개선할 수 있을 것으로 확신한다.

[박만성 옥타솔루션 대표이사]