수동 KYC가 UAE 금융 서비스에 미치는 비용과 자동화가 실제로 변화시키는 것

아부다비(Abu Dhabi)에 위치한 중형 은행의 컴플라이언스(Compliance) 팀은 매주 새로운 고객 신청 건을 처리합니다. 각 신청 건마다 Emirates ID, 여권 사본, 급여 증명서 또는 사업자 등록증(Trade License), 최근 은행 거래 내역서, 그리고 주소 증명 서류를 수집해야 합니다. 컴플라이언스 담당자는 각 문서를 수동으로 확인하고, 정부 데이터베이스와 교차 참조하며, 제재 명단(Sanctions Lists)을 통해 이름을 조회하고, 리스크 평가(Risk Assessment) 보고서를 작성합니다. 이 프로세스는 컴플라이언스 외부의 사람들이 인식하는 것보다 고객 한 명당 훨씬 더 오랜 시간이 걸리며, 법인 계좌(Corporate Accounts)의 경우 그 시간은 현저히 더 길어집니다.

동일한 팀은 서류 누락이나 불일치로 인해 상당한 비율의 신청을 거절합니다. 또 다른 일부는 해결하는 데 며칠이 걸리는 강화된 고객 실사(Enhanced Due Diligence, EDD) 대상으로 분류됩니다. 그 사이 미처리 업무(Backlog)는 쌓여가고, 관계 관리자(Relationship Managers)들은 불만을 제기하며, 컴플라이언스 책임자는 다음 CBUAE 검사를 걱정합니다.

핵심 요약 (Key Takeaways)

• UAE에서 수동 KYC(Know Your Customer)는 비용이 많이 듭니다. 담당자가 문서 데이터를 다시 입력하고, 게이트웨이 확인을 반복하며, 오탐(False Positives)을 해결하고, 사후에 감사 추적(Audit Trails)을 재구성해야 하기 때문입니다.
• 자동화는 업무 패턴을 변화시킵니다. OCR(광학 문자 인식), 신원 확인, 스크리닝(Screening), 은행 거래 내역 분석이 먼저 실행되며, 이후 컴플라이언스 담당자가 예외 사항(Exceptions)을 검토합니다.
• 규제 대상 팀에게 중요한 결과물은 단순히 속도만이 아닙니다. 무엇을, 언제 확인했는지, 그리고 왜 특정 파일이 에스컬레이션(Escalated)되었는지에 대한 일관된 기록입니다.
• 가장 빠른 도입 방식은 보통 Emirates ID 검증과 제재 스크리닝(Sanctions Screening)에서 시작하여, 은행 거래 내역, 소득 확인, 그리고 법인 KYC(Corporate KYC)로 확장하는 것입니다.

UAE에서 수동 KYC의 실제 모습

UAE 금융 서비스의 수동 KYC는 지난 10년 동안 크게 변하지 않은 패턴을 따릅니다. 고객이 방문하거나 신청을 시작하면, 기관은 서류를 수집하고, 정부 기록과 대조하여 검증하며, 제재 및 PEP(정치적 주요 인물) 명단을 기준으로 스크리닝하고, 리스크를 평가한 뒤 온보딩(Onboarding) 결정을 내립니다.

**개인 고객 (Individual customers)**의 경우, 제출 서류 목록은 다음과 같습니다:

• Emirates ID (앞면 및 뒷면 사본, ICP — 연방 신원, 시민권, 관세 및 항만 보안국 — 데이터베이스를 통해 검증)
• 유효한 UAE 거주 비자가 포함된 여권
• 고용주가 발행한 급여 증명서 또는 소득 증빙 서류
• 최근 3개월간의 은행 거래 내역서
• 주소 증명 서류 (90일 이내에 발행된 공공요금 고지서 또는 임대차 계약서)

**법인 계좌 (Corporate accounts)**는 상황이 더 심각합니다. 사업자 등록증(Trade license), 법인 설립 증명서(Certificate of incorporation), 정관(Memorandum of association), 모든 주주 및 이사의 여권 사본, 실소유자 선언서 (UBO declaration, Ultimate Beneficial Owner), 그리고 감사 보고서(Audited financials)가 필요합니다. 법인 KYC 파일은 쉽게 수십 페이지에 달할 수 있습니다.

그 후 컴플라이언스 담당자(Compliance officer)는 이 데이터를 핵심 뱅킹 시스템(Core banking system)에 수동으로 입력하고, 제재 스크리닝(Sanctions screening, 보통 별도의 도구를 통해 수행)을 실행하며, 내부 감시 명단(Internal watchlists)을 확인하고 전체 과정을 문서화합니다. 일반 소매 고객(Retail customer)의 경우 이 과정에 상당한 시간(약 1시간의 상당 부분)이 소요됩니다. 다층적 소유 구조를 가진 DIFC 또는 ADGM 자유 구역의 법인 고객의 경우에는 며칠이 걸리기도 합니다.

아무도 말하지 않는 검증 단계

Emirates ID 검증을 위해서는 ICP 검증 게이트웨이(Validation gateway)에 연결해야 합니다. 실제로 많은 기관이 여전히 이를 반수동(Semi-manually) 방식으로 처리합니다. 담당자가 게이트웨이에 로그인하여 ID 번호를 입력하고, 응답을 확인한 뒤, 그 내용을 다시 KYC 파일에 복사해 넣는 방식입니다.

급여 검증은 종종 고용주에게 전화를 걸거나 인적자원부(Ministry of Human Resources)를 통해 WPS (임금 보호 시스템, Wage Protection System) 기록을 확인하는 것을 의미합니다. WPS는 은행 시스템을 통해 민간 부문의 모든 임금 지급을 추적합니다. 이는 소득 검증을 위한 노다지(Gold mine)와 같지만, 이를 수동으로 확인하는 것은 매우 느립니다.

은행 거래 내역서(Bank statement) 검토는 매우 지루한 작업이 발생하는 지점입니다. 담당 직원은 설명되지 않은 거액의 입금, 순환 송금, 고위험 관할 구역과의 거래와 같은 위험 신호(Red flags)를 찾기 위해 3개월 치의 거래 내역을 읽어 내려갑니다. 거래 내역서가 판독 가능하고 표준 형식이라고 가정하더라도, 내역서 한 건당 소요되는 시간은 상당합니다.

문서 및 각 검증 단계의 상세 내용

UAE KYC 파일에 포함된 모든 문서가 동일한 수준의 노력을 요구하는 것은 아닙니다. 각 문서가 실제로 요구하는 사항은 다음과 같습니다:

Emirates ID (에미리트 ID)

Emirates ID는 ICP(Federal Authority for Identity, Citizenship, Customs & Port Security)가 모든 UAE 거주자와 시민에게 발급하는 스마트 카드입니다. 여기에는 생체 인식 데이터와 고유한 15자리 식별 번호(형식: 784-YYYY-NNNNNNN-C)가 포함되어 있습니다. 검증이란 카드의 만료 여부, 사진과 신청자의 일치 여부, 그리고 ID 번호가 ICP 데이터베이스에서 유효한지를 확인하는 것을 의미합니다. 자동화된 API 호출을 사용하면 거의 즉시 결과를 반환합니다. 반면, 직접 로그인하고, 데이터를 입력하고, 응답을 복사하는 등의 수동 작업은 훨씬 더 많은 시간이 소요됩니다.

여권 및 비자 (Passport and Visa)

여권은 국적과 신원을 확인합니다. UAE KYC의 경우 비자 페이지도 그만큼 중요합니다. 비자 페이지는 거주 상태, 스폰서, 비자 유형을 확인해 주기 때문입니다. 자동화된 여권 스캔(Passport scanning)은 데이터를 다시 입력하는 작업을 줄여주며, 담당 직원이 파일을 검토하기 전에 만료, 형식 및 문서 품질 문제를 사전에 포착합니다. 담당 직원은 CBUAE(Central Bank of the UAE)의 요구 사항에 따라 각 사본에 대해 "원본 확인 및 검증됨(Original Sighted and Verified)"이라고 표시해야 합니다. 고위험 관할 구역(CBUAE는 FATF 분류와 일치하는 목록을 유지함) 출신의 고객은 자동으로 강화된 고객 실사(Enhanced Due Diligence, EDD) 대상이 됩니다.

급여 증명서 및 WPS (Salary Certificate and WPS)

급여 증명서(Salary Certificate)에는 직원의 직위, 입사일, 월급이 명시되어 있습니다. 문제는 급여 증명서가 위조하기 쉽다는 점입니다. WPS(Wages Protection System) 데이터와 교차 검증하는 것이 더 신뢰할 수 있는데, WPS 기록은 은행 시스템에서 직접 생성되기 때문입니다. 하지만 검증을 위한 WPS 접근 권한이 항상 용이한 것은 아닙니다.

은행 거래 내역서 (Bank Statements)

은행 거래 내역서 분석 (Bank statement analysis)은 KYC 작업 중 가장 시간이 많이 소요되는 작업입니다. 담당자는 자금 출처(Source of Funds) 확인을 위해 3~6개월 치의 내역서를 검토합니다. 여기에는 증명서와 일치하는 급여 입금 내역, 비정상적인 현금 입금, 제재 대상 엔티티(Sanctioned entities)로의 송금, 그리고 명시된 직업과 일치하지 않는 패턴 등이 포함됩니다. 수백 건의 거래가 포함된 단 하나의 기업 거래 내역서를 제대로 검토하는 데에도 상당한 시간이 걸릴 수 있습니다.

무역 라이선스 (Trade License)

기업 계좌의 경우, 무역 라이선스(Trade License)를 통해 회사가 법적으로 등록되었는지, 어떤 활동에 대한 라이선스를 보유하고 있는지, 그리고 라이선스 만료일이 언제인지를 확인합니다. 자동화된 기업 실사 (Business due diligence)는 라이선스, 소유권 데이터, 스크리닝 결과를 하나의 구조화된 검토 파일로 변환합니다. 무역 라이선스는 서로 다른 기관에서 발행됩니다. 본토 기업을 위한 DED (Department of Economic Development), 원자재 기업을 위한 DMCC, 금융 서비스 엔티티를 위한 DIFC 및 ADGM이 그 예입니다. 각 기관마다 형식이 다르기 때문에 표준화된 검증이 더 어렵습니다.

수동 KYC가 한계에 부딪히는 지점

수동 KYC는 일주일에 소수의 고객을 온보딩(Onboarding)할 때는 문제없이 작동합니다. 하지만 물량이 늘어나면 준법 감시(Compliance) 인력을 더 채용하거나, 절차를 간소화(Cutting corners)해야 하는데, 둘 다 좋은 선택지는 아닙니다.

확장성 (Scaling)

준법 감시 담당자가 서류 작업을 포함하여 하루에 완료할 수 있는 전체 KYC 검토 횟수에는 한계가 있습니다. 하지만 동일한 담당자가 정기 검토(CBUAE는 위험 기반 재검증을 요구함)를 처리하고, 모니터링 경고에 대응하며, 감사(Examination)를 준비하기도 합니다. 현실적으로 신규 고객 KYC는 담당자의 시간을 할애해야 하는 다른 수많은 요구 사항들과 경쟁하게 됩니다.

거래량이 급증하면 미처리 업무(backlog)가 빠르게 쌓입니다. KYC 관련 지연은 기업 온보딩(onboarding) 시간을 연장시키는 잘 알려진 원인이며, 때로는 몇 달까지 늘어나기도 합니다. 이는 더 빠른 프로세스를 갖춘 경쟁사에게 고객을 빼앗기기에 충분한 시간입니다.

일관성 (Consistency)

담당자 A는 한 달 동안 35,000 AED의 현금 예금이 두 차례 발생한 고객을 위험 대상으로 분류할 수 있습니다. 반면 담당자 B는 기준이 다르거나 위험을 다르게 해석하여 분류하지 않을 수도 있습니다. 수동 KYC는 개인의 판단, 교육 수준, 업무량에 의존하기 때문에 일관되지 않은 결과를 초래합니다.

이는 규제 문제로 이어집니다. UAE 중앙은행(CBUAE)이 귀사의 파일을 검사할 때, 그들은 귀사가 자체 정책을 일관되게 적용하고 있기를 기대합니다. 유사한 위험 프로필(risk profiles)을 가진 고객이 서로 다르게 취급되는 것은 지적 사항(finding)이 되며, 이러한 지적 사항은 시정 명령(remediation orders)으로 이어집니다.

오탐 (False Positives)

제재 스크리닝(Sanctions screening)은 가장 많은 노이즈를 발생시킵니다. 제재 스크리닝 경보의 대다수는 오탐(false positives)이며, 이는 업계 전반에서 널리 인식되는 사실입니다. "Mohammed Ali"와 같은 흔한 이름은 수십 건의 일치 항목을 발생시킵니다. 각각의 오탐을 검토하는 데는 상당한 시간이 소요됩니다. 이를 매일 수행되는 수백 건의 스크리닝에 곱해보면, 담당자들이 아무런 결과도 도출하지 못하는 경보에 수 시간을 허비하고 있음을 알 수 있습니다.

높은 오탐률은 **경보 피로 (alert fatigue)**를 유발합니다. 담당자의 주의력이 떨어지게 되어, 실제 일치하는 항목을 무시하게 될 위험이 커집니다. 이것이 바로 사기 탐지 (fraud detection) 시스템이 방지하고자 설계된 바로 그 지점입니다.

제재, PEP 및 부정적 미디어 스크리닝 (Sanctions, PEP, and Adverse-Media Screening)

KYC 자동화는 단순히 문서 OCR(광학 문자 인식)만을 의미하지 않습니다. 문서 확인 결과는 제재 노출, 정치적 주요 인물(PEP), 부정적 미디어 위험(adverse-media risk), 그리고 강화된 고객 실사(enhanced due diligence)가 필요한 소유 구조 패턴을 탐색하는 스크리닝 워크플로우(screening workflow)로 이어집니다. 여기서 FATF의 위험 기반 접근 방식 (FATF risk-based approach)이 중요한 이유는, 동일한 이름이 일치하더라도 모든 고객에 대해 동일한 결정이 내려져서는 안 되기 때문입니다. 맥락(Context)이 위험을 변화시킵니다.

실질적인 스크리닝 계층은 세 가지를 구분해야 합니다: 에스컬레이션(Escalation, 상급 보고)이 필요한 정확한 목록 일치(Exact list matches), 모호성 해소(Disambiguation)가 필요한 퍼지 매칭(Fuzzy matches), 그리고 증거를 통해 해제할 수 있는 약한 일치(Weak matches)입니다. 아랍어 음차(Transliteration), 흔한 이름, 짧은 이름, 그리고 기업 별칭(Corporate aliases)은 모두 노이즈를 생성합니다. 자동화는 경고(Alert)를 중심으로 다음과 같은 증거들을 그룹화함으로써 도움을 줍니다: 소스 목록, 일치하는 필드, 문서 값, 생년월일, 국적, 소유권 연결 고리, 그리고 이전 승인 이력입니다.

이 지점이 바로 담당자(Officer)가 여전히 중요한 이유입니다. 시스템은 경고의 순위를 매기고 설명할 수 있지만, 리스크 결정의 책임은 컴플라이언스 담당자(Compliance officer)에게 있습니다. 개선되는 점은 담당자가 문서, 스프레드시트, 별도의 스크리닝 포털로부터 사실 관계를 다시 구축하는 대신, 미리 준비된 케이스 파일(Case file)을 검토하게 된다는 것입니다.

자동화된 KYC가 실제로 변화시키는 것

자동화된 KYC가 프로세스에서 인간을 제거한다는 의미는 아닙니다. 그것은 데이터 입력, 문서 형식 확인, 제재 목록 매칭(Sanctions list matching), 은행 거래 내역서의 기초 산술 연산과 같이 가치를 더하지 못하는 작업에서 인간을 제거하고, 리스크 판단, 관계 맥락, 예외 처리와 같이 가치를 더하는 곳에 인간을 머물게 한다는 의미입니다.

속도

자동화된 파이프라인(Pipeline)은 표준 소매(Retail) KYC 신청을 수동 검토보다 훨씬 빠르게 처리합니다. 문서 OCR(Optical Character Recognition)은 Emirates ID와 여권 이미지에서 데이터를 거의 즉각적으로 추출합니다. 제재 스크리닝(Sanctions screening)은 여러 목록을 동시에 대조하며 밀리초(Milliseconds) 단위로 결과를 반환합니다. 은행 거래 내역서 파싱(Parsing)은 누군가가 항목을 일일이 읽지 않아도 소득 패턴을 식별하고, 이상 징후를 표시하며, 리스크 지표를 계산합니다. 과거에는 한 시간의 대부분을 소비하던 작업이 이제는 몇 분 만에 해결됩니다.

정확도

자동화는 목요일 오후 4시에 지치지 않습니다. 자동화는 그날의 첫 번째 고객과 마지막 고객에게 동일한 규칙을 적용합니다. 아랍어 이름 음차에 최적화된 퍼지 매칭(Fuzzy matching)은 기본적인 문자열 매칭(String matching)에 비해 허위 양성(False positives)을 대폭 줄여줍니다. 문서 검증(Document verification)은 서두르는 담당자가 놓칠 수 있는 만료된 신분증이나 일치하지 않는 사진을 잡아냅니다.

감사 추적 (Audit Trail)

모든 자동화된 결정은 타임스탬프(timestamp), 데이터 입력값, 적용된 규칙 및 결과와 함께 로그(log)로 기록됩니다. CBUAE(중앙은행) 조사관이 특정 고객이 왜 승인되었는지 물을 때, 3개월 전 해당 업무를 처리했던 담당자를 찾아다닐 필요 없이 바로 로그를 추출하면 됩니다.

CBUAE 규정 준수 요구사항 및 자동화의 역할

CBUAE의 AML/CFT(자금세탁방지/테러자금조달방지) 프레임워크는 2018년 연방법령 제20호 및 2019년 내각 결정 제10호를 기반으로 구축되었습니다. 라이선스를 보유한 금융 기관(LFI)의 경우, KYC 프로세스에 직접적인 영향을 미치는 주요 요구사항은 다음과 같습니다: