금융 컴플라이언스 모니터링을 위한 AI 에이전트 구축: 감사인을 통과하는 아키텍처

자신의 결정을 설명할 수 없는 컴플라이언스 AI는 컴플라이언스 AI가 없는 것보다 더 나쁩니다. 여기 설명 가능한 AI를 구축하는 방법이 있습니다.

전통적인 소프트웨어 프로젝트에는 없는, 핀테크 AI 프로젝트를 망가뜨리는 특정한 실패 모드가 존재합니다.

시스템은 작동합니다. 정확도도 좋습니다. 오탐률 (False Positive Rate)도 수용 가능한 수준입니다. 그러다 컴플라이언스 담당자가 이렇게 묻습니다: "왜 이 거래가 플래그(flag)되었나요?" 그리고 답변은 "모델이 0.87의 점수를 부여했습니다"가 됩니다. 이는 규제 기관이 받아들일 수 있는 답변이 아닙니다.

컴플라이언스 AI에서 설명 가능성 (Explainability)은 있으면 좋은 기능이 아닙니다. 그것은 규제 요구 사항입니다. FINRA, FCA, RBI 등 모든 주요 금융 규제 기관은 자동화된 컴플라이언스 결정이 인간 감사인이 검토하고 이의를 제기할 수 있는 문서화된 근거를 필요로 한다는 점을 명확히 하는 지침을 발표했습니다. "AI가 그렇게 말했습니다"는 문서화된 근거가 아닙니다.

이 튜토리얼에서는 감사인이 실제로 활용할 수 있는 결정을 생성하는 컴플라이언스 모니터링 에이전트 아키텍처를 구축하는 방법을 다룹니다.

아키텍처 개요 (The Architecture Overview)

규제 데이터 피드 (REGULATORY DATA FEEDS)
(OFAC, FATF, FinCEN, 지역 감시 목록)
         ↓
...

모든 단계는 구조화되고 사람이 읽을 수 있는 결정 기록을 생성합니다. 이것은 사후 처리 단계가 아니라, 첫날부터 모든 에이전트의 출력 스키마 (Output Schema)에 내장됩니다.

에이전트 1: 규제 데이터 수집 (Agent 1: Regulatory Data Ingestion)

규제 감시 목록은 끊임없이 변합니다. OFAC는 SDN 목록을 일주일에 여러 번 업데이트합니다. FATF의 그레이/블랙 리스트는 분기별로 업데이트됩니다. 지역 규제 기관은 불규칙한 일정으로 업데이트를 발행합니다.

from anthropic import Anthropic
from datetime import datetime
import hashlib
...

감사 목적을 위해서는 출처 추적 (Provenance Tracking)이 중요합니다. 감사인이 "이 거래 시점에 이 엔티티가 감시 목록에 있었습니까?"라고 물었을 때, 여러분은 "네, 지금 목록에 있습니다"가 아니라 "이 엔티티는 [날짜]에 [규제 참조 번호]에 따라 OFAC SDN 목록에 추가되었으며, [타임스탬프]부터 당사 데이터베이스에서 활성화되었습니다"라고 정확하게 답변할 수 있어야 합니다.

**에이전트 2: 실시간 거래 스크리닝 (Agent 2: Real-Time Transaction Screening)

이것이 핵심 컴플라이언스 (Compliance) 에이전트입니다. 이 에이전트는 빨라야 합니다. 대부분의 상황에서 컴플라이언스 체크를 수행하기 위해 결제를 30초 동안 차단하는 것은 용납될 수 없으며, 설명 가능한 (Explainable) 결정을 내려야 합니다.

class TransactionScreeningAgent:

    RISK_THRESHOLDS = {
...

watchlist_versions_consulted 필드는 감사 (Audit) 목적으로 가장 중요한 필드 중 하나입니다. 규제 기관이 "이 거래가 현재의 OFAC 리스트를 기준으로 스크리닝되었습니까?"라고 물었을 때, 스크리닝 시점에 활성화되어 있던 리스트의 정확한 버전 ID를 제공할 수 있습니다.

에이전트 3: 감사 추적 에이전트 (Agent 3: The Audit Trail Agent)

감사 추적 (Audit trail)은 단순한 로그가 아닙니다. 그것은 모든 컴플라이언스 결정에 대한 불변하며 (Immutable) 쿼리가 가능한 기록이며, 처음부터 추론 과정을 재구성할 수 있을 만큼 충분한 컨텍스트 (Context)를 포함해야 합니다.

class AuditTrailAgent:

    def __init__(self, immutable_store):
...

실무에서의 설명 가능성 요구사항 (The Explainability Requirement in Practice)

사람이 읽을 수 있는 설명 생성은 컴플라이언스 팀이 지속적으로 가장 가치 있다고 언급하는 부분입니다. 리스크 점수가 아니라, 바로 그 설명입니다.

분석가가 플래그가 지정된 거래를 검토할 때, 그들은 시스템이 단순히 플래그를 지정했다는 사실뿐만 아니라, 규제 기관에 방어할 수 있는 용어로 '왜' 그렇게 했는지를 이해해야 합니다. "리스크 점수: 0.73"은 그들이 조치를 취할 수 있는 정보를 전혀 주지 못합니다. 반면, "거래 플래그 지정: 거래 상대방 이름 'Al-Rashid Trading LLC'가 OFAC SDN 리스트의 제재 대상 엔티티인 'Al-Rasheed Trading'(2024-03-15 추가, 프로그램: SDGT)과 0.87의 유사도를 보임. 거래 금액($47,000)이 거래 상대방 국가의 표준 거래 임계값을 초과함. 패턴이 FinCEN Advisory FIN-2023-A001의 구조화 (Structuring) 지표와 일치함"이라는 설명은 그들이 정확히 무엇을 조사해야 하는지 알려줍니다.

금융 컴플라이언스 모니터링을 위한 AI 에이전트 기사에서는 전체적인 규제 프레임워크 매핑과 어떤 특정 규정이 어떤 유형의 문서를 요구하는지에 대해 상세히 다룹니다.

감사인이 실제로 확인하는 것

컴플라이언스 AI 아키텍처가 검사 과정에서 지속적으로 실패하는 세 가지 요소는 다음과 같습니다:

의사결정 불변성 (Decision immutability): 감사인은 컴플라이언스 기록이 사후에 수정될 수 없는지 확인합니다. 감사 추적 (Audit trail) 저장소는 반드시 추가 전용 (Append-only) 방식이어야 합니다. 만약 기록을 업데이트할 수 있는 데이터베이스에 로깅을 수행한다면, 이 검사에서 탈락하게 됩니다.

감시 목록 버전 추적 가능성 (Watchlist version traceability): "감시 목록을 기준으로 스크리닝했습니다"라는 말로는 충분하지 않습니다. "2026-04-15 14:23 UTC부터 활성화되었던 OFAC SDN List 버전 20260415-1423을 기준으로 스크리닝했습니다"라고 해야 충분합니다.

재량 결정 문서화 (Override documentation): 분석가가 자동화된 의사결정을 재량으로 변경할 때(플래그가 지정된 거래를 승인하거나, 자동으로 승인된 거래를 에스컬레이션하는 경우), 그 근거가 컴플라이언스 기록에 문서화되어야 합니다. 문서화 없이 재량 결정을 허용하는 시스템은 감사 노출 (Audit exposure)을 초래합니다.

컴플라이언스는 하나의 레이어일 뿐입니다

위의 아키텍처는 거래 스크리닝과 자금세탁방지 (AML) 모니터링을 처리합니다. 이는 완전한 에이전트형 AI (Agentic AI) 뱅킹 스택의 한 구성 요소입니다. KYC 자동화, 사기 탐지 (Fraud detection), 대출 의사결정 및 포트폴리오 리스크 관리를 아우르는 전체 아키텍처에 대해서는, 컴플라이언스 모니터링이 통합되는 전체 시스템 설계를 다루는 agentic AI in banking 가이드를 참조하십시오.

컴플라이언스는 뱅킹의 여러 유스케이스 중 하나일 뿐입니다. 대출, KYC, 사기 탐지 및 포트폴리오 관리를 포함하는 전체 아키텍처 가이드를 위해, 저희는 완전한 agentic AI in banking 가이드를 발행했습니다. 여기서 설명된 컴플라이언스 레이어는 이러한 각 유스케이스와 깔끔하게 통합되도록 설계되었습니다.

Published by Dextra Labs | AI Consulting & Enterprise Agent Development