은행, 증권사, 핀테크 등 금융 서비스에 새로 가입할 때, 우리는 왜 그렇게 복잡하고 까다로운 절차를 거쳐야 할까요? 신분증을 촬영하고, 얼굴을 이리저리 움직여 인증하며, 다른 은행에서 1원을 받아 인증번호를 입력하기도 합니다.
이 모든 복잡한 과정의 중심에 바로 KYC(고객확인제도)가 있습니다. 이는 단순한 가입 절차가 아니라, 금융 시스템의 안정성과 신뢰를 지키는 최전방 방어선입니다.
이번 글에서는 금융 QA라면 반드시 이해해야 할 KYC에 대해 깊이 있게 알아보겠습니다.
이 글에서 다루는 것
- KYC의 정확한 의미와 법적 배경
- CDD, EDD와의 관계
- KYC 프로세스에서 QA의 핵심 역할
- eKYC 테스트를 위한 미니 체크리스트
KYC(고객확인제도)란?
KYC는 ‘Know Your Customer’의 약자입니다.
말 그대로, 금융회사가 새로운 고객과 거래를 시작할 때, 그 고객의 ‘신원을 확인’하고 검증하는 모든 절차를 의미합니다.
단순히 고객의 신분을 확인하는 것을 넘어섭니다. 고객의 자금 출처나 거래 목적까지 파악하여, 불법적인 금융 거래를 사전에 예방하는 것이 KYC의 핵심 목표입니다.
이는 자금세탁방지(AML, Anti-Money Laundering) 의무를 이행하기 위한, 매우 중요한 법적 요구사항입니다. 금융회사가 KYC 절차를 소홀히 하면 막대한 과징금을 물거나, 최악의 경우 영업 정지까지 당할 수 있습니다.
KYC의 구성 요소: CDD와 EDD
KYC는 고객의 위험도에 따라 다른 수준의 확인 절차를 거칩니다. 이때 등장하는 개념이 바로 CDD와 EDD입니다.
| 구분 | CDD (Customer Due Diligence) | EDD (Enhanced Due Diligence) |
| 의미 | 고객 확인 | 강화된 고객 확인 |
| 대상 | 모든 일반 고객 | 고위험 고객 (예: 고액 거래자, 정치적 주요인물) |
| 절차 | 기본적인 신원 정보 확인 (신분증, 연락처 등) | 신원 정보 외 자금 출처, 거래 목적 등 추가 정보 확인 및 검증 |
CDD (고객 확인)
CDD는 모든 고객을 대상으로 하는 가장 기본적인 수준의 신원 확인 절차입니다. 우리가 보통 겪는 신분증 인증, 계좌 인증 등이 여기에 속합니다.
EDD (강화된 고객 확인)
EDD는 자금세탁의 위험이 더 높다고 판단되는 ‘고위험’ 고객을 대상으로 수행하는, 훨씬 더 깊이 있고 상세한 확인 절차입니다. 예를 들어, 정치적 주요 인물(PEPs)이나 갑자기 거액의 해외 송금을 요청하는 고객 등이 대상이 될 수 있습니다.
QA의 관점에서 본 KYC 프로세스
금융 QA는 KYC 프로세스가 ‘정확하게’, ‘안전하게’, 그리고 ‘원활하게’ 동작하는지 보증하는 핵심적인 역할을 합니다. 특히 비대면으로 이루어지는 eKYC에서는 다음과 같은 사항을 집중적으로 테스트해야 합니다.
1. 정확성 검증
- 신분증 OCR이 이름, 주민등록번호, 주소 등을 오타 없이 정확하게 인식하는가?
- 입력된 정보가 행정안전부나 경찰청과 같은 외부 기관의 진위 확인 시스템과 올바르게 연동되어 검증되는가?
- 1원 계좌인증 시, 인증번호가 정확하게 발급되고 확인되는가?
2. 보안 검증
- 사용자가 제출한 민감한 신분증 이미지나 개인정보가, 전송 및 저장 과정에서 안전하게 암호화되는가?
- 비정상적인 방법으로 인증 단계를 우회하거나, 다른 사람의 정보를 도용할 수 있는 보안 허점은 없는가?
3. 사용성 및 호환성 검증
- 복잡한 KYC 과정에서 사용자가 길을 잃거나 이탈하지 않도록, 안내 문구나 UI가 직관적이고 친절한가?
- 다양한 스마트폰 기기나 OS 버전에서 신분증 촬영, 안면 인식 기능이 문제없이 일관되게 동작하는가?
실무 원칙 (중요)
- 데이터 보안은 최우선이다: KYC 과정에서 수집되는 모든 정보는 최고 수준의 보안으로 처리되어야 합니다. 테스트 중에도 민감 정보가 로그에 평문으로 노출되지 않는지 반드시 확인해야 합니다.
- 규제 준수는 타협의 대상이 아니다: KYC는 비즈니스 요구사항 이전에 법적 요구사항입니다. 관련 법규를 이해하고, 모든 절차가 규제를 만족하는지 검증해야 합니다.
- 사용자 경험과의 균형을 찾아야 한다: 보안을 강화할수록 사용자는 불편해집니다. 안전을 해치지 않는 선에서, 최대한 사용자가 이탈하지 않고 절차를 마칠 수 있도록 돕는 개선점을 찾아 제안하는 것이 QA의 중요한 역량입니다.
결론: 금융 서비스 신뢰의 첫 단추
KYC는 금융 서비스의 ‘첫인상’이자, 금융 시스템 전체의 신뢰를 지키는 ‘최전방 방어선’입니다.
금융 QA에게 KYC 테스트는 단순히 버그를 찾는 것을 넘어섭니다.
이는 법적 리스크를 예방하고, 사용자의 소중한 자산을 보호하며, 안전한 금융 생태계를 만드는 데 기여하는 매우 중요하고 책임감 있는 역할입니다.
부록: eKYC 테스트 미니 체크리스트 ✅
- 신분증(주민등록증, 운전면허증, 여권) OCR 인식률이 기준치를 통과하는가?
- 신분증 위변조(사진 촬영, 복사본 등) 방지 로직이 동작하는가?
- 1원 계좌인증 로직이 정상 동작하며, 실패 시 적절한 안내를 하는가?
- 안면 인식(Liveness) 시도가 비정상적인 방법(사진, 동영상)으로 통과되지 않는가?
- 고객 위험 평가(Risk Scoring) 로직이 기획 의도대로 동작하는가?
- 모든 개인정보는 암호화되어 저장되며, 로그에 평문으로 노출되지 않는가?
참고 자료 (References)
- 금융위원회 – 특정 금융거래정보 보고 및 감독규정 (국내 법규):
https://www.law.go.kr/행정규칙/특정금융거래정보보고및감독규정 - Financial Action Task Force (FATF) – Recommendations