지난 20년 동안 미국에서 가장 빠르게 성장한 직업은 매니큐어사와 페디큐어사였습니다.
하지만 그 뒤를 바짝 쫓고 있는 직업은? 바로 규정 준수 담당자(Compliance Officer)입니다.

규정 준수는 생각보다 훨씬 큰 비즈니스입니다. 기업에 들어오거나 나가는 모든 돈, 즉 직원 급여 지급(급여, 임금 관련 법률), 수익 보고(세금 신고), 자본 이동(결제, AML/KYC)은 모두 규정 준수의 대상입니다. 규제 산업에서는 회사가 고객과 소통하는 방식과 빈도조차도 규정 준수 활동에 해당합니다!
현재 미국에는 400,000 명 이상의 규정 준수 담당자가 고용되어 있으며, 이는 연간 400억 달러 이상의 인건비를 의미합니다(여기에 규정 준수 관련 컨설팅 및 아웃소싱 업무까지 포함하면 수백억 달러가 더 추가됩니다). 은행 업계만 보더라도, 2010년부터 2014년까지 연방 규정집(CFR) Title 12(은행 및 금융)에 추가된 규제 제한 사항이 1980년 당시 해당 Title 전체에 포함된 내용보다 더 많았습니다. 하지만 이러한 수요에도 불구하고, 규정 준수 분야의 인재 파이프라인은 여전히 부족한 실정입니다. 미국 노동통계국(BLS)은 향후 10년간 매년 33,300 개 이상의 규정 준수 일자리가 생길 것으로 예상합니다. 이러한 수요는 업계에서 87%의 신규 진입자가 결국 이직하고 연간 이직률이 20%를 초과하여 조직이 전문 인력을 채용하고 잃는 악순환을 반복하는 상황에서 더욱 심각해집니다.

세상이 더욱 복잡해지고 기업에 대한 법적 요구사항이 증가함에 따라, 기업들의 대응 방식은 단순했습니다. 문제에 인력을 더 투입하는 것이었습니다.
하지만 더 많은 인력이 더 나은 결과를 의미하지는 않았습니다. 예를 들어 2024년, TD Bank는 거래의 92%를 모니터링하지 못한 혐의로 30억 달러의 벌금을 부과받았습니다. 여기에는 2018년부터 시작된 70,000 건의 탐지 알림 백로그도 포함되어 있었습니다. 그리고 TD Bank만 특별한 사례가 아닙니다. 팀 규모가 커지고 백로그가 증가하는 동일한 패턴이 지난 10년 동안 거의 모든 주요 금융 기관에서 나타났습니다. 그 기간 동안 업무는 완고하게 수동으로 처리되었습니다.
규정 준수는 "힘든 일(schlep work)"입니다. 고통스럽고, 관료적이며, 종종 종이 기반으로 이루어지기 때문에 수동적이고 인간 집약적인 방식이 지속되어 왔습니다. 이러한 마찰과 관성은 규정 준수를 스타트업의 역사적 무덤으로 만들어 왔습니다.
그렇다면, 왜 지금은 다를까요?
1. 기술이 "파일럿하기에 충분한 수준"에서 "신뢰하기에 충분한 수준"으로 발전했습니다.
때로는 어떤 것을 아주 잘 처리하는 시장은 그저 그럭저럭 처리하는 시장보다 100배 더 큽니다. 이것이 규정 준수 분야의 경우입니다. 90% 정확한 제품도 여전히 100% 틀릴 수 있기 때문입니다.
대표적인 예가 문서 처리입니다(규정 준수 활동의 많은 부분을 차지합니다). OCR은 수십 년 동안 존재해 왔으며, 대부분의 작업을 처리해 왔습니다. 하지만 "대부분"이라는 것은 모기지 인수, 비즈니스 온보딩, 보험 청구 심사와 같은 경우에는 충분하지 않습니다. 그러나 이제 문서의 더 넓은 맥락을 이해하고 오류를 줄이는 비전 언어 모델(VLM)이 등장하면서, 기업들은 계약서에 서명하는 속도가 빨라지고 있습니다. 기술이 점진적으로 좋아진 것이 아니라, "파일럿하기에 충분한 수준"에서 "신뢰하기에 충분한 수준"으로 임계점을 넘어선 것입니다.
이 외에도 AI는 훨씬 더 많은 기능을 가지고 있습니다. 첫째, 거의 인간 수준의 정확도로 문서를 읽고, 추출하고, 추론할 수 있습니다: 설립 서류, 재무 제표, 400 페이지 분량의 규제 PDF 등이 가능합니다. 둘째, 컴퓨터 사용 에이전트는 API나 6개월 통합 프로젝트를 기다리지 않고 인간이 하는 방식으로 레거시 소프트웨어를 탐색할 수 있습니다. 셋째, 장기 작업 실행은 에이전트가 단일 단계를 지원하는 것이 아니라 데이터 가져오기, 데이터베이스 상호 참조, 예외 사항 플래그 지정, 보고서 제출 등 전체 워크플로우를 처음부터 끝까지 실행할 수 있음을 의미합니다.
법률 분야에서는 폭넓은 모델 선택과 지속적으로 높은 정확도 덕분에 팀이 AI를 도입할 자신감을 얻었습니다. 많은 LLM이 현재 LegalBench의 162 가지 법적 추론 작업에서 80-100%의 점수를 기록하고 있습니다. 이는 규정 준수에 직접적으로 중요한데, 규정 준수는 본질적으로 운영 제약 하에서의 응용 법적 추론이며, 규제 텍스트 읽기, 사실 패턴에 규칙 적용, 예외 사항 식별, 모호성 플래그 지정 등 동일한 핵심 작업을 기반으로 하기 때문입니다.

2. 판매 주기가 "느린" 단계에서 "빠른" 단계로 전환되었습니다.
사상 처음으로, 기업이 규정 준수 스택을 현대화하지 않음으로써 발생하는 위험이 변화의 위험보다 더 커졌습니다. 규제를 받는 기업들은 오랫동안 투박한 GRC(거버넌스, 위험 및 규정 준수) 도구와 취약한 레거시 시스템을 고수해 왔습니다. 이는 마이그레이션이 고통스럽고, 감사 누락의 비용이 너무 높으며, "그럭저럭 괜찮은" 것이 변화보다 더 안전하게 느껴졌기 때문입니다.
AI가 이러한 상황을 바꾸었습니다. 규정 준수는 더 이상 단순한 비용 센터가 아니라 수익 창출 동력으로 진화하고 있습니다. 금융 서비스에서 더 빠른 KYC/B는 더 빠른 온보딩을 의미하며, 이는 이탈 가능성을 낮추고 수익 실현 시간을 단축시킵니다. 더 나은 AML 모니터링은 더 적은 오탐지(false positive)를 의미하며, 이는 합법적인 고객이 플래그 지정되거나 관계가 손상되는 경우를 줄여줍니다. 더 빠른 마케팅 검토는 광고 콘텐츠를 적시에 고객에게 제공할 수 있음을 의미합니다. 이는 경쟁 논리를 재구성합니다: 현대화하는 기업은 비용을 절약할 뿐만 아니라, 느린 경쟁업체가 온보딩에 실패하는 고객을 전환하고 있습니다. 경쟁은 AI 자체가 아닙니다. AI를 사용하는 다른 기업들과의 경쟁입니다.
더 나아가, 에이전트가 곧 웹에서 주요 구매자가 될 것이라고 가정한다면, 이는 완전히 새로운 위험 범주를 열게 됩니다. 전통적인 규정 준수는 인간 행위자를 중심으로 설계되었습니다. 이제 상대방이 자율 에이전트일 때 신원 확인, 의도 평가, 책임 설정을 위한 현대적인 AI 접근 방식이 필요합니다.
이 모든 것은 역사적으로 소프트웨어를 구매하지 않던 기능이 갑자기 적극적으로 도입하기 시작했다는 것을 의미합니다.
규정 준수의 세 가지 계층
모든 규제 기업의 모든 규정 준수 기능은 동일한 세 가지 구성 요소로 구축됩니다.
- 업무를 규율하는 규정: 규칙, 내부 정책, 그리고 이 둘 사이의 끝없는 변환 작업.
- 해당 규정을 코드화하려는 소프트웨어 시스템: GRC 플랫폼, 케이스 관리 시스템, 제재 스크리닝 도구, 그리고 이들을 연결하는 취약한 자동화 시스템.
- 규정에 따라 소프트웨어를 사용하는 사람들: 문서 읽기, 양식 작성, 데이터베이스 상호 참조, 보고서 작성.
규정 준수에서 수행해야 하는 "실제 작업"의 대부분은 문서에서 정보를 복사하고, 해당 정보의 정확성이나 불일치 여부를 수동으로 검토하며, 지속적인 모니터링(이 두 가지 작업을 정기적으로 반복)으로 구성됩니다.
이해를 돕기 위해 은행 업계의 의심스러운 활동 보고서(SAR)를 예로 들어 보겠습니다. NICE Actimize [소프트웨어]에서 비정상적인 거래 활동을 플래그 지정하는 알람이 울리면, 규정 준수 담당자 사라 [사람]가 케이스를 검토하고, 코어 뱅킹 시스템으로 이동하여 전체 거래 내역을 가져온 다음, 별도의 데이터베이스와 공유 드라이브에 있는 온보딩 문서, ID 확인, 자금 출처를 위해 고객의 KYC 파일을 상호 참조합니다. 그녀는 내부 정책 지침 및 규칙 [규정]을 확인하여 해당 활동이 SAR 보고 기준을 초과하는지 평가하고 판단을 내린 다음, NICE Actimize으로 돌아와 방금 방문한 모든 시스템의 거래 내역과 고객 데이터를 수동으로 복사하여 "내러티브"를 작성합니다.
이러한 작업들은 AI 스타트업을 구축할 수 있는 훌륭한 시작점이 됩니다.

1. 규정을 코드로 전환하세요
Title 12(OCC, Fed, FDIC - 70개 이상의 챕터에 걸쳐 있음!), FINRA, SEC, CFTC 및 모든 주 수준 정책 변형에 대한 새로운 항목은 모두 인간이 읽고, 해석하고, 내부 정책으로 변환한 다음 변경 사항을 모니터링해야 하는 PDF로 제공됩니다.
AI는 규정을 코드로 전환할 수 있습니다: 구조화되고, 자동 업데이트되며, 에이전트가 해석할 수 있는 형태입니다. 400 페이지 분량의 규제 문서는 이제 소프트웨어가 검사할 수 있는 구조화된 의무 세트로 구문 분석될 수 있습니다. 규정은 사람이 해석하는 문서에서 시스템이 실행하는 코드가 됩니다. 그 결과 두 가지가 변경됩니다: 모니터링이 정기적에서 지속적으로 바뀌고, 규제 변경이 분기 단위가 아닌 몇 분 만에 기업 전체에 전파됩니다. 브라질의 급여(Payroll) 사례에서 규정 준수 담당자의 전체 업무는 정부 웹사이트에서 규칙 업데이트를 확인하고, 영향을 받는 직원을 스프레드시트로 가져온 다음, 수동으로 급여를 재계산하는 것이었습니다.
예시: Tako는 브라질의 노동 규정(10,000 개 이상의 노조, 연간 거의 900 건의 규칙 변경)을 "지능형 시스템"으로 전환하여 회사 상황에 맞게 급여 및 노조 규칙을 감사하고, 복잡한 인사 운영 질문에 자연어로 답변하며, 위반 사항이 발생하기 전에 실시간으로 정책 외 행동을 플래그 지정합니다.
2. 레거시 시스템을 교체하세요
많은 규정 준수 기능은 클라우드 이전에 구축된 플랫폼에서 실행되며, 인간이 시스템 간에 복사하여 붙여넣고 클릭하는 방식으로 연결되어 있습니다. 이것이 개별 도구 자체는 느리지 않은데도 모든 워크플로우가 느리게 느껴지는 이유입니다. 통합 계층이 사람이기 때문입니다. 게다가 이러한 시스템 중 하나를 교체한다는 것은 최고 위험 책임자(CRO)가 승인하고 싶어하지 않는 수년간의 마이그레이션을 의미했습니다.
이는 많은 기업(특히 은행)이 수십 년간의 인프라 부채를 안고 있으며, 이 부채가 현재 AI 도입의 가장 큰 장애물이 되고 있음을 의미합니다.
따라서 기업 구매자는 이제 AI를 활용하기 위해 세 가지 선택지를 갖게 되었습니다.
- 기존 시스템을 유지하되 "헤드리스(Headless)" 방식으로 전환: 기존 시스템을 백엔드로 사용하고 그 위에 에이전트 또는 새로운 인터페이스를 구축합니다.
- 바이브 코딩(Vibe coding)으로 시스템 교체: 데이터 모델, 권한, 워크플로우, 통합, 감사 가능성을 포함하여 시스템 오브 레코드(System of Record)를 직접 재구축합니다.
- 새로운 AI 네이티브 버전 구매: 에이전트, 기계 판독 가능성, 오케스트레이션을 위해 처음부터 구축된 시스템으로 전환합니다.
시스템이 규정 준수에 중요한 데이터를 보유하고, 수십 개의 내부 및 외부 데이터 소스와 파트너에 연결되어 있으며, 수년간의 제도적 논리를 코드화하고 있다면 — 위험 회피 성향으로 인해 (1)을 선택하고 싶을 것입니다. 하지만 그렇게 하면 AI를 통해 비용을 획기적으로 낮추고 수익을 높일 수 있는 경쟁자에게 뒤쳐지게 됩니다(1990년대 소프트웨어에 읽기/쓰기를 해야 하는 효과적인 음성 에이전트를 추가하는 것을 생각해 보세요).
이제 레거시 시스템을 교체하는 것이 가능할 뿐만 아니라 AI의 가치를 실현하기 위해 필수적이 되었습니다. 레거시 시스템은 인간을 위해 구축되었습니다: 데이터는 사일로화되어 접근하기 어렵고, 규칙은 하드코딩되어 업데이트 속도가 느리며, 워크플로우는 실시간이 아닌 배치(batch)로 실행됩니다. 은행 업계에서 이는 Jack Henry(코어 뱅킹), NICE Actimize(거래 모니터링), Smarsh(직원 감독) 등이 될 수 있습니다.
예시:
- Valon(모기지 서비스)은 처음부터 모기지 서비스 업체를 구축하여 소프트웨어가 손익분기점 마진 운영을 60% 이상의 마진으로 전환할 수 있음을 입증했습니다. 그들은 복잡한 서비스 워크플로우를 ValonOS로 코드화했습니다: 구조화된 워크플로우, 감사 가능한 원장, 프로그래밍 가능한 작업으로 25개 이상의 분산된 레거시 시스템을 대체하는 AI 네이티브 운영 체제입니다. 이제 그들은 이 시스템 오브 레코드를 라이선싱하여 1,000억 달러 이상의 모기지 서비스 산업 전체를 지원하고 있으며, 각 신규 고객은 AI 에이전트를 더욱 지능적으로 만드는 데이터 플라이휠을 강화하고 있습니다.
- Vesta(모기지 대출 실행)는 CFPB(TRID, HMDA 등) 전체, 주 50개 주 간의 차이점, 연방 및 주 기관에 대한 모든 규정 준수 보고 등 실행 시 모든 규정 준수 규칙을 관리하고 조정합니다. 따라서 규정 준수 업데이트는 구현 서비스가 필요한 기업 업데이트가 아닌 코드 푸시(push)입니다. 대출 기관은 정확한 감사 가능성을 얻을 수 있을 뿐만 아니라 25-50%의 효율성 향상도 얻을 수 있습니다.
- Sardine(사기 및 거래 모니터링)는 NICE Actimize를 대체하고 있습니다. Sardine은 클라우드 기반이며 인라인 실시간 사기 탐지와 사후 복잡한 AML 시나리오 실행을 모두 수행할 수 있습니다. 에이전트는 Sardine의 실시간 데이터 위에 위치하여 규정 준수 검토를 최대 30배까지 개선합니다. 예를 들어, SAR(의심스러운 활동 보고서) 요약 에이전트는 엔터티당 60-100개의 다양한 필드(여러 시스템에서 가져옴) 작성을 완전히 자동화하여 SAR 제출당 소요 시간을 30분 이상에서 1분 미만으로 줄입니다.
3. 사람의 업무를 증강하세요
대부분의 규정 준수 작업은 동일한 세 가지 인간 활동이 끊임없이 반복되는 것으로 구성됩니다: (1) 문서 분석, (2) 수동 검토 워크플로우, (3) (1)과 (2)에 대한 지속적인 모니터링.
이러한 활동 간의 연결 조직은 역사적으로 레거시 소프트웨어를 클릭하는 사람이었으며, 이곳이 컴퓨터 사용 에이전트가 활용되는 곳입니다.
비즈니스 뱅킹 온보딩을 예로 들어 보겠습니다. 고객이 온보딩할 때, 규정 준수 담당자 사라는 해당 잠재 고객의 신원 문서(신분증, 여권, 설립 서류) 및 재무 제표에서 주요 정보를 검토하고 추출해야 합니다. 그런 다음 해당 정보를 일련의 레거시 소프트웨어 도구에 입력하고 여러 데이터베이스(제재 명단, 사업자 등록부 등)에 대해 확인하여 검증해야 합니다. AI를 사용하면 전체 워크플로우를 종단 간 자동화할 수 있습니다: 문서가 즉시 수집 및 구문 분석되고, 데이터베이스가 병렬로 확인되며, 예외 사항은 인간이 직접 처리하기보다는 인간 검토를 위해 플래그 지정됩니다.
예시: Factor Labs는 레거시 시스템을 교체하는 대신 그 위에 위치합니다. 그들의 컴퓨터 사용 에이전트는 은행 및 결제 회사의 차지백(Chargeback) 분쟁 처리를 자동화합니다. 각 에이전트 작업은 "플레이북(Playbook)", 즉 각 판매자에 맞춰지고 카드 네트워크의 프로세스를 준수하는 단계별 지침을 따릅니다. 에이전트는 인간 분석가가 하는 것을 모방합니다: 회사 시스템(Outlook, Excel, CyberSource와 같은 사기 방지 플랫폼)에 로그인하고, 증거를 수집하여 클라이언트의 레터헤드가 있는 형식화된 Word 문서로 컴파일한 다음, 최종 PDF를 클라이언트에게 다시 보냅니다.
결론
우리는 이러한 모든 접근 방식을 좋아하며, 결국 대부분의 새로운 시스템은 세 가지를 모두 수행하게 될 것입니다. 가장 효과적인 시작점은 시장에 따라 달라집니다.
(1) 규제 환경 변동성이 높은 경우: 다양한 관할권에 걸쳐 지속적으로 변경되는 많은 규정이 있거나, 집행 조치나 검사 결과로 인해 회사가 감독/규정 준수 환경을 자주 업데이트해야 하는 경우 — "규정을 코드로 전환"하는 것으로 시작하는 것이 유리합니다.
(2) 시스템 오브 레코드를 목표로 하는 것은 다음과 같은 경우에 합리적입니다:
- (a) 그린필드(Greenfield) 기회가 있는 경우, 즉 새로운 고객 하위 집합을 위한 기존 기성 시스템이 없는 경우. 고객이 처음부터 시스템 오브 레코드를 선택하는 경우, 현대적인 AI 네이티브 스택에 대한 선호도가 기본값입니다. 예를 들어 사우디에서 설립되는 새로운 은행(예: Stitch)이나 현재 미국에서 독립하여 사업을 시작하는 많은 RIA(등록 투자 자문사)가 있습니다.
- (b) 기존 시스템이 운영 비용이 너무 많이 들고 데이터 쓰기백(Write-back)이 너무 어려워 AI를 활용하려면 반드시 교체해야 하는 경우.
(3) 대규모 백로그 및/또는 인력 부족이 있는 출력 중심 워크스트림은 사람의 업무를 증강하는 것을 선호합니다. 규정 준수 작업이 특정 결과물(보고서, 서류, 인증)로 이어지는 경우, 가장 시급한 필요는 대기열에 사람(이 경우 24/7 작업하고 실수하지 않는 에이전트)을 추가하는 것일 수 있습니다. 예를 들어, 알람 대기열을 처리하는 것(TD Bank의 70k 백로그 사례)이 있습니다.
궁극적으로 이러한 접근 방식은 함께 수렴될 것이라고 생각합니다. 이 분야에서 승리하는 기업은 규정을 코드로 전환하고, 새로운 시스템 오브 레코드를 보유하며, 그 위에 에이전트 함대를 배치할 것입니다.
이런 것을 구축하고 있다면, 저희에게 연락해 주세요.
@astrange 와 함께 작성함





