AML 데이터 문제는 컴플라이언스 문제가 아닙니다
요약
AML(자금세탁방지) 등급 미달의 근본 원인은 컴플라이언스 문화가 아닌 데이터 통합의 부재에 있습니다. 흩어진 네 가지 핵심 데이터 저장소를 실시간으로 연결하는 엔지니어링 파이프라인 구축의 중요성을 강조합니다.
핵심 포인트
- AML 실패는 데이터 통합 및 파이프라인 구축의 엔지니어링 문제임
- KYC, 지갑, 게임 세션, CRM 데이터를 플레이어 기준으로 결합해야 함
- 수동 SQL 쿼리 방식은 규제 대응 시 오류와 비효율을 초래함
- 지불 능력(Affordability) 체크를 위한 실시간 데이터 레이어링 필수
작성자: Luke Sobieraj, Digital Colliers 설립자 및 COO
영국 라이선스를 보유한 운영사에서 컴플라이언스(Compliance) 또는 데이터를 담당하고 있다면, 여러분은 이미 그 수치를 알고 있을 것입니다. 대략 4곳 중 1곳의 운영사가 첫 평가에서 만족스러운 AML(자금세탁방지) 등급을 받지 못합니다. 이것은 컴플라이언스 문화의 문제가 아닙니다. 그것은 컴플라이언스의 탈을 쓰고 있는 데이터의 문제입니다.
통과를 위해 필요한 데이터는 거의 항상 이미 여러분의 시스템 안에 있습니다. 단지 서로 통신하도록 설계되지 않은 네 개의 저장소에 흩어져 있을 뿐이며, 아무도 그 사이를 잇는 파이프를 구축하지 않았을 뿐입니다.
아무도 통합하지 않은 네 가지 데이터 저장소
제가 본 모든 운영사는 대략적으로 동일한 형태를 띠고 있습니다. 플레이어 및 KYC(고객 확인 제도) 데이터는 한 곳에 있습니다. 지갑(Wallet), 입금 및 출금 데이터는 다른 곳에 있습니다. 게임 및 세션 데이터는 플랫폼 제공업체나 그 창고(Warehouse) 복사본에 있습니다. 그리고 상호작용 데이터, 즉 RCI(Responsible Customer Interaction, 책임 있는 고객 상호작용) 관련 데이터는 CRM 또는 고객 서비스 도구에 있습니다.
AML을 위해서는 이 네 가지 모두가 플레이어(Player)를 기준으로 결합되어야 하며, 시간축이 정렬되어야 하고, 며칠이 아닌 몇 분 내에 쿼리(Query)가 가능해야 합니다. 대부분의 운영사는 이 중 두 가지를 깔끔하게 결합할 수 있습니다. 세 가지는 무리입니다. 네 가지 모두를, 요구 시점에, 그 위에 지불 능력(Affordability) 신호까지 레이어링하여 제공하는 것? 그것은 대부분의 팀이 아직 완료하지 못한 엔지니어링 작업입니다.
위원회(Commission)가 고객의 지불 능력 위반을 어떻게 포착했는지 물었을 때, 답변은 이야기가 아니라 쿼리(Query)여야 합니다.
대부분의 스택을 무너뜨리는 지불 능력 사례
영국의 지불 능력 점검(Affordability checks)은 이동 30일(Rolling 30 days) 동안 순 입금액이 £150를 초과할 때 트리거됩니다. 간단해 보이지만, 그렇지 않습니다.
순 입금액(Net deposits)이란 입금액에서 출금액을 뺀 금액을 의미합니다. 이동 30일이란 단순히 달력상의 월 단위로 실행할 수 없음을 의미합니다. 플레이어당(Per player) 기준이라는 것은 중복 계정, 공유된 결제 수단, 그리고 복잡한 예외 상황들을 처리할 수 있는 ID 식별(Identity resolution)이 필요함을 의미합니다. 또한 임계값이 넘었는지뿐만 아니라, 언제 넘었는지, 그리고 그 직후에 어떤 상호작용이 일어났는지도 알아야 합니다.
규제 기관이 요청할 때마다 팀이 매번 SQL을 수동으로 작성하고 있다면, 당신은 이미 패배한 것입니다. 통과하는 운영사들은 이를 한 번에 파이프라인 (pipeline)으로 구축했으며, 임계값 로직 (threshold logic)을 코드로 구현하고 상호작용 트리거 (interaction trigger)를 CRM에 연결해 두었습니다. RCI 가이드라인은 2022년 8월 31일부터 시행되었으며 2024년에 확장되었습니다. 이를 구축할 시간은 충분했습니다. 하지만 대부분은 하지 못했습니다.
시간 압박 속의 SQL 함정
실패하는 평가에서 제가 계속해서 목격하는 패턴이 있습니다. 위원회 (Commission)가 증거를 요청합니다. 시니어 분석가가 노트북을 엽니다. 그들은 지갑 (wallet)을 KYC, 세션 (sessions)과 조인 (join)하는 쿼리 (query)를 작성합니다. 그들은 결과를 눈으로 대충 훑어봅니다. 그리고 보고서를 작성합니다.
그 쿼리는 코드 리뷰 (code-review)를 거친 적이 없습니다. 알려진 사례들을 대상으로 테스트 (test)된 적도 없습니다. 누군가 요청할 때마다 매번 약간씩 다르게 다시 작성됩니다. 그리고 규제 기관의 책상에 놓이는 증거 패키지는 한 달 뒤에는 아무도 재현할 수 없는 애드혹 (ad-hoc) SQL의 결과물입니다.
이것은 컴플라이언스 (compliance) 실패가 아닙니다. 엔지니어링 관행 (engineering practices) 없이 엔지니어링 작업을 수행하고 있는 팀의 문제입니다. 버전 관리 (version control), 테스트 (tests), 그리고 당신의 데이터 모델 (data model)에서
이 중 어느 것도 생소한 것이 아닙니다. 이는 제대로 된 데이터 팀이 수익 보고 (revenue reporting)를 위해 배포하는 일반적인 웨어하우스 및 변환 (warehouse-plus-transformation) 패턴과 동일합니다. 차이점은 대부분의 운영자가 이를 수익을 위해 구축했을 뿐, 리스크 (risk)를 위해 구축하지 않았다는 점입니다. Kindred는 2023년에 컴플라이언스 (compliance) 팀 비용으로 1,400만 파운드를 지출했다고 공개적으로 보고했으며, 업계 전반에 걸친 이러한 지출의 상당 부분은 파이프라인 (pipeline)이 수행해야 할 작업을 사람이 직접 수행하는 데 사용되고 있습니다.
컴플라이언스 등급은 후행 지표입니다
이 부분이 핵심입니다. 귀하의 AML 등급은 6개월에서 12개월 전의 데이터 인프라 (data infrastructure) 상태를 알려줍니다. 등급 미달 판정을 받는 시점에는, 이미 시작하지도 않은 1년 치의 엔지니어링 (engineering) 작업이 해결책으로 남아있게 됩니다.
그리고 그 부작용은 이론적인 것에 그치지 않습니다. 가장 심각한 AML 위반에 대한 영국 (UK)의 벌금은 총 게이밍 수익 (gross gaming yield)의 최대 15%에 달합니다. 이는 수많은 파이프라인 작업을 수행하고도 남을 만큼 큰 금액입니다.
만약 귀하의 팀이 감사를 위해 수동으로 SQL을 실행하고 있다면, 다음에 받게 될 등급은 실제 컴플라이언스 노력에 관한 것이 아닙니다. 그것은 귀하가 데이터 문제를 엔지니어링 (engineering)으로 다루었는지, 아니면 단순한 서류 작업 (paperwork)으로 다루었는지에 관한 것입니다.
출처
이 기사는 원래 Digital Colliers Blog에 게시되었습니다. Digital Colliers는 DACH 및 영국 기업의 AI 도입을 지원합니다 — 저희의 AI 컨설팅 서비스를 확인하거나 문의하기를 이용해 주세요.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기