범죄자의 돈 흐름을 막아라, QA를 위한 자금세탁방지(AML) 테스트

TMS (Transaction Monitoring System):
- 모든 사용자의 거래 데이터를 실시간으로 분석합니다.
- 그리고 “1회에 1천만 원 이상 현금 입금”과 같이, 미리 설정된 ‘룰(Rule)’에 해당하는 의심스러운 거래 패턴을 자동으로 탐지해 냅니다.
STR (Suspicious Transaction Report):
- TMS가 의심스러운 거래를 탐지하면, 금융회사는 이를 금융정보분석원(KoFIU)과 같은 감독 기관에 보고해야 합니다.
- 이때 제출하는 보고서가 바로 ‘의심스러운 거래 보고(STR)’입니다.

AML 테스트의 핵심은, TMS가 정해진 룰에 따라 의심스러운 거래를 ‘정확하게’ 탐지하고, ‘빠짐없이’ STR을 생성하는지를 검증하는 것입니다.

1. 룰 기반 시나리오 테스트:
- “특정 국가로 한 달에 5번 이상 송금 시 탐지” 와 같은 룰이 있다면, QA는 이 조건에 정확히 일치하는 테스트 데이터를 만들어 시나리오를 수행합니다.
- 그리고 실제로 TMS가 해당 거래를 탐지하고, STR 생성 후보로 올리는지 확인합니다.
1. 룰 우회 시나리오 테스트 (구조화/Smurfing):
- 범죄자들이 룰을 우회하기 위해 사용하는 수법을 테스트합니다.
- 예를 들어, “1천만 원 이상 입금” 룰을 피하기 위해, ‘990만 원씩 10분 간격으로 여러 번 입금’하는 시나리오를 테스트합니다.
- 좋은 AML 시스템은 이러한 패턴까지 감지할 수 있어야 합니다.
1. 고위험군 거래 테스트:
- 고위험 고객(EDD 대상)이나, 자금세탁 위험이 높은 국가와의 거래가 발생했을 때, 시스템이 이를 더 민감하게 감지하고 알림을 주는지 확인합니다.

AML 테스트의 핵심은 단순히 룰을 통과하는지 보는 것이 아닙니다. 너무 많은 ‘정상 거래’를 ‘의심 거래’로 잘못 탐지하는 ‘오탐’이 발생하면, AML 담당 부서의 업무가 마비됩니다.

QA는 정상적이지만 룰의 경계에 있는 애매한 시나리오를 집중적으로 테스트하여, 오탐률이 허용 가능한 수준인지 검증해야 합니다.

까다로운 AML 시나리오를 검증하려면, 그에 맞는 ‘가짜’ 고객과 ‘가짜’ 거래 내역을 만드는 것이 매우 중요합니다.

고객의 직업, 나이, 평균 거래액, 국적 등 다양한 변수를 조합하여, 현실적인 의심 거래 패턴 데이터를 직접 설계하고 생성할 수 있어야 합니다. 때로는 이를 위한 별도의 데이터 생성 도구를 개발팀과 함께 만들기도 합니다.

AML의 기준은 기술이 아닌 ‘법’에서 나옵니다. QA는 회사의 컴플라이언스(준법감시)팀과 긴밀하게 소통해야 합니다.

새로운 규제 변경 사항이나, 감독 기관의 최신 가이드라인이 테스트 시나리오에 잘 반영되었는지 항상 확인하고 검증하는 것이 QA의 중요한 역할입니다.

AML 테스트는 단순한 버그를 찾는 것을 넘어, 우리 사회를 금융 범죄로부터 보호하는 보이지 않는 방패를 만드는 과정입니다.

QA가 자금세탁방지 시스템의 동작 원리를 깊이 이해하고, 현실적인 시나리오를 통해 그 견고함을 검증할 때, 비로소 우리의 금융 서비스는 신뢰를 얻을 수 있습니다.