규제 프레임워크¶
5.1 모형 리스크 관리의 필요성¶
신용평가모형은 여신 심사, 충당금 적립, 규제자본 산출 등 금융 의사결정의 핵심 인프라다. 모형이 잘못되면 부실 여신이 늘어나고, 충당금이 과소 적립되며, 규제자본이 부족해진다. 이 때문에 주요국 감독당국은 모형의 개발·검증·운영 전 과정에 걸친 체계적인 리스크 관리를 요구한다.
5.2 SR 11-7 — 모형 리스크 관리의 근간 (미국)¶
미국 연방준비제도(Fed)와 OCC가 2011년 발표한 SR 11-7 "Guidance on Model Risk Management"은 금융 모형 리스크 관리의 글로벌 표준 프레임워크다. 미국 금융기관을 대상으로 하지만, 국내 금융회사도 이를 벤치마크로 삼는 경우가 많다.
핵심 원칙¶
| 원칙 | 내용 |
|---|---|
| 개념적 건전성 (Conceptual Soundness) | 모형의 이론적 기반이 타당하고, 가정이 합리적인가 |
| 개발 검증 (Developmental Evidence) | 데이터 품질, 변수 선정 과정, 통계적 유의성이 문서화되었는가 |
| 결과 분석 (Outcomes Analysis) | Back-testing, OOT 검증 등 실제 성과와의 비교가 수행되었는가 |
| 독립적 검증 (Independent Validation) | 개발자가 아닌 독립 부서가 모형을 검증하는가 |
| 거버넌스 (Governance) | 모형 목록(Inventory) 관리, 변경 이력 추적, 경영진 보고 체계가 갖춰졌는가 |
전통 스코어카드에서의 적용¶
전통 스코어카드는 SR 11-7 관점에서 상대적으로 검증이 용이한 모형이다:
- 변수 효과가 투명: WoE 변환 → 로지스틱 회귀 → 점수표로, 각 변수의 기여가 점수로 직접 표현됨
- 개념적 건전성 설명이 직관적: "연체 횟수가 많으면 점수가 낮아진다"를 점수표로 보여줄 수 있음
- Back-testing 용이: 등급별 예측 PD와 실현 PD 비교가 명확
- Adverse Action (거절 사유): 점수 기여가 가장 큰 변수를 거절 사유로 제시 가능
ML 모형과의 대비
ML 모형(XGBoost, Random Forest 등)은 SR 11-7의 "개념적 건전성"과 "독립적 검증"에서 추가적인 노력이 필요하다. 변수 간 비선형 상호작용이 존재하고, SHAP 등 사후 해석(post-hoc explanation)에 의존해야 하기 때문이다. ML 모형의 규제 대응에 대해서는 ML 섹션 — 규제 프레임워크에서 다룬다.
5.3 Basel IRB — 내부등급법 모형 검증 요건¶
Basel II/III 내부등급법(Internal Ratings-Based Approach, IRB)을 적용하는 은행은 자체 신용등급 모형으로 규제자본을 산출한다. 이에 따라 모형의 품질이 은행의 자본 적정성에 직접 영향을 미치며, 감독당국은 엄격한 검증 요건을 부과한다.
IRB 모형 검증의 핵심 요건¶
| 요건 | 내용 |
|---|---|
| 최소 연 1회 검증 | 변별력, Calibration, 안정성 지표를 종합 검증하고 결과를 문서화 |
| Back-testing 의무 | 등급별 예측 PD와 실현 PD의 괴리를 통계적으로 검정 |
| 등급별 부도율 단조성 | 등급이 나쁠수록 부도율이 높아야 함 — 역전 시 원인 분석 및 조치 |
| OOT 검증 | 개발 기간 이외 데이터에서의 성능 확인 필수 |
| 모형 변경 보고 | 중대 변경(변수·구조 변경) 시 감독당국 사전 보고 또는 승인 |
| 재개발 시 문서 제출 | 개발 데이터, 검증 결과, 기존 모형 대비 성능 비교 포함 |
| Override 관리 | 모형 점수를 무시한 심사 건의 비율·사유 추적, 과도한 Override 시 모형 재보정 검토 |
Capital Add-on — Calibration 실패의 대가¶
Back-testing에서 예측 PD가 실현 PD를 체계적으로 과소 추정하는 것이 확인되면, 감독당국은 자본 추가 적립(Capital Add-on)을 요구할 수 있다. 이는 은행의 수익성에 직접 타격을 주므로, Calibration 모니터링은 단순한 통계 검증이 아니라 경영 이슈다.
5.4 국내 규제 환경¶
신용평가모형 검증 요건¶
금융감독원은 은행업감독규정 및 관련 시행세칙을 통해 신용평가모형의 개발·검증·운영에 대한 요건을 제시하고 있다. Basel IRB 프레임워크에 기반한 주요 요건은 다음과 같다.
| 요건 | 내용 |
|---|---|
| 적정성 검증 | 최소 연 1회 모형 성능 검증 실시 |
| 안정성 모니터링 | PSI 등 안정성 지표를 정기적 모니터링 |
| 모형 변경·폐기 | 사전 보고 의무 |
| 문서 보존 | 모형 검증 결과 및 조치 이력을 최소 5년간 보존 |
| 개발 기록 | 변수 선정 근거, 모형 구조, 검증 결과를 포함한 개발 보고서 보관 |
금융 분야 AI 가이드라인¶
금융위원회(FSC)는 2021년 금융분야 인공지능(AI) 가이드라인을 발표하고, 2025년 12월에 개정했다. 개정안에서 7대 원칙을 제시한다:
- 거버넌스 — AI 시스템의 책임 소재를 명확히
- 합법성 — 관련 법규 준수
- 보조수단성 — 인간의 판단을 AI가 보완
- 신뢰성 — 정확성, 안정성, 재현성 확보
- 금융안정성 — 시스템 리스크 방지
- 신의성실 — 소비자 이익 보호
- 보안성 — 데이터 보호, 사이버 보안
금융감독원(FSS)은 2026년 1월 금융분야 AI 위험관리 프레임워크(AI RMF)를 발표하여, AI 수명주기 전반의 체계적 리스크 관리를 요구하고 있다.
전통 스코어카드와 AI 가이드라인
전통 로지스틱 회귀 스코어카드는 AI/ML 범주에 해당하지 않으므로 AI 가이드라인의 직접 적용 대상은 아니다. 다만 ML 챌린저 모형을 병행 운용하거나, 향후 ML 기반 모형으로 전환할 경우 이 가이드라인이 적용된다. ML 모형의 규제 대응에 대해서는 ML 섹션 — 규제 프레임워크에서 상세히 다룬다.
5.5 해외 규제 동향¶
EU AI Act — 신용평가 AI는 "고위험"¶
EU AI Act는 신용평가 AI를 고위험(High-risk) 시스템으로 분류한다. 투명성, 설명 가능성, 데이터 거버넌스, 인적 감독, 문서화가 요구된다.
EBA ML for IRB Report (2023)¶
유럽은행감독청(EBA)은 IRB에 ML을 사용하는 은행을 대상으로 실태 조사를 수행했다. 주요 결과:
- 은행의 40%가 Shapley values 활용
- 20%가 시각적 도구
- 28%가 문서화 강화
ECB Internal Models Guide (2025)¶
ECB는 ML 챕터를 신설하여, LIME 등 surrogate를 허용 가능한 해석 접근으로 명시했다.
해외 규제의 시사점
미국(SR 11-7)과 유럽(EU AI Act, EBA, ECB)의 방향은 명확하다: 설명 가능하지 않은 모형은 점점 더 운영하기 어려워진다. 전통 스코어카드는 이 요건을 본질적으로 충족하며, 이것이 규제 환경에서 전통 스코어카드가 여전히 "규제모형의 표준"인 이유 중 하나다.
5.6 모형 문서화 — 무엇을 남겨야 하는가¶
규제 검증에서 가장 빈번한 지적 사항 중 하나가 문서화 미비다. 모형 개발 보고서에 최소한 다음 항목이 포함되어야 한다.
| 구분 | 필수 항목 |
|---|---|
| 모집단 설계 | Target 정의(Good/Bad), 성과 기간, 제외 기준, 샘플 설계 근거 |
| 변수 선정 | 초기 변수풀, Fine/Coarse Classing 과정, WoE/IV 평가, 단변량·다변량 검정 결과 |
| 모형 구조 | 최종 변수, 회귀계수, 스코어카드 변환 파라미터 (Anchor, PDO) |
| 성능 평가 | KS, AR, AUC — 개발/OOS/OOT 대비표 |
| 안정성 검증 | PSI, CSI, 등급별 부도율 단조성 |
| 한계 및 가정 | 모형이 잘 작동하지 않는 세그먼트, 데이터 제약, 가정의 한계 |
| 변경 이력 | 기존 모형 대비 변경 사항, 변경 사유, 성능 비교 |
실무 팁 — 문서화는 개발과 동시에
모형 개발이 끝난 후 문서를 작성하면, 변수 선정 과정의 세부 의사결정 근거가 유실되기 쉽다. 개발 단계마다 의사결정 기록을 남기고, 최종 보고서는 이를 정리하는 방식이 효율적이다.
시리즈 완료
개요 → 이론 → 변수 선정(Classing · WoE/IV · 단변량 LR) → 모델링(Full Model) → 스코어카드(변환 · 성능 평가 · OOT 검증 · 모니터링과 운영 · 규제 프레임워크)까지, 스코어카드 모형의 개발에서 운영·규제까지 전 과정을 다루었다.