금융IT

[기획⑦] 미국발 ‘AML 공포’, 금융권 어떻게 대응해야하나?

박기록
* 이 기사는 디지털데일리가 올해 6월30일자로 발간된 '2018년판 디지털금융 혁신과 도전'에 수록된 내용중 일부를 요약한 것입니다. 온라인 편집으로 일부 내용이 책의 내용과 다를 수 있습니다.


[기획 ⑦] ‘AML 공포’, 금융권 어떻게 대응할 것인가? - 심층대담 : 송근섭 유니타스 대표

- ‘당근과 채찍’, 美 금융당국 AML 기준 갈수록 강화
- EU도 회원국 격차 감안한 AML시행… ‘UBO’ 등 미국과 달라
- “암호화폐거래소에 AML 솔루션 적용, 피해예방해야”

[디지털데일리 박기록기자] “미국은 이제 ‘Part 504’ 도입 등 더욱 강화된 AML 규제를 내놓고 있다. 지금부터 대응하지 않으면 1~2년 뒤에 새로운 규제 및 제도를 바탕으로 한 벌금 폭탄이 예상된다. 또한 올해 11월5일 이후 재개되는 미국의 ‘이란 제재 프로그램’에도 국내 금융기관들이 철저히 대비해야한다.”

AML 및 리스크관리시스템 분야 국내 최고 전문가로 손꼽히는 송근섭 유니타스 대표(사진)의 분석이다.

최근 AML 이슈 등 미국을 비롯한 글로벌 감시체계가 크게 강화되면서 컴플라이언스(Compliance, 규제대응) 관련 문의가 크게 늘고 있다. 글로벌 컴플라이언스 분야는 어렵고 국내 금융권에 관련 전문인력이 크게 부족하다. 송 대표는 “AML 대응이 미국을 포함한 전세계에서 점점 더 중요해지고 있다”며 “특히 미 감독당국의 요구 수준은 매우 높고 이상적임을 고려해야한다”고 지적했다.

송 대표는 “현재 미국에 진출한 국내 은행들은 주어진 여건에서 최선을 다하고 있으나 전문인력 부족, 뉴욕지점의 수익 대비 AML 관련 비용 과다소요, 본사 AML 시스템의 글로벌 AML 요건 지원 미흡 등으로 대응에 여전히 어려움을 겪고 있는 게 현실”이라고 상황을 진단했다.

송근섭 (주)유니타스 대표
송근섭 (주)유니타스 대표
한편 암호화폐를 통한 자금세탁 위험성과 관련, 송 대표는 “기존 AML시스템을 암호화폐거래소에 도입할 필요가 있다. 암호화폐거래소를 이용하는 고객에 대한 ‘요주의 인물 리스트 필터링’(WLF)과 고객확인제도(KYC)을 금융권과 동일하게 적용할 수 있다”고 설명했다.

다만 송 대표는 “혐의거래 거래보고(STR)의 경우는 블록체인 환경 특성상 국경없이 거래되고, 암호화폐 소유자를 파악하기 곤란하기때문에 기존 혐의거래 모니터링 방식으로는 접근이 힘들다”며 “P2P 등 우회로를 통한 거래는 100% 감시가 현실적으로 불가능하기때문에 기존 유저들이 거래소를 이용할 있도록 더 빨리 유도해야 한다”고 조언했다.

다음은 AML과 관련한 주요 현안을 송 대표의 인터뷰를 중심으로 정리했다. <편집자>

Q : 지난해 12월, 농협은행이 미 금융당국으로부터 벌금을 부과받은 이후 다른 국내 은행들도 상당히 긴장하고 있다. 국내 은행들의 AML 대응상황에 대한 전반적인 평가는?

A : 먼저, 작년 농협은행 뉴욕지점이 받은 검사결과를 되짚어 볼 필요가 있다. 농협은행 뉴욕지점의 경우 6개 항목에서 지적을 받았다. 2014년부터 2016년까지 3번의 검사과정에서 지적당한 항목은 ▲모니터링 미흡 ▲문서기록유지 미흡 ▲리스크 파악 실패 ▲KYC 업데이트 실패 ▲워치리스트(Watch List)프로그램 및 내부통제 미흡 ▲인력의 전문성 부족이다.

그러나 지적당했다는 것이 꼭 개선하지 않았다는 것을 의미하지는 않는다. 해당 기간 동안 규제와 법안이 비정상적으로 증가했기때문이다. 이미 사안을 해결했음에도 미 감독 당국의 질의 과정에서 원하는 답변을 하지못한 부분도 있다고 생각한다. 다행스러운점은 미국에서 금융기관이 처벌받은것 치고는 벌금액수가 적은 편이다. ‘적당한 선’(?)에서 끝났기때문에 국내 금융기관들이 적절한 긴장감을 가지고 최선의 준비를 할 수 있게 됐다고 생각한다.

최근 외신에 따르면, 지난 2011년 이란 중앙은행 원화계좌를 개설중이였던 기업은행은 위조된 원장으로 요청된 거액의 송금 거래를 승인해 지적을 당한바 있고, 우리은행도 이란 정부의 터키 자금줄이였던 은행과 거래한 사실이 이슈가 된 적이 있다.

어쩌면 미국 입장에선 이게 훨씬 더 심각하게 받아들여졌을 것이다. 우리 금융권은 2018년11월5일 이후 재개되는 미국의 이란 제재 프로그램에 철저히 대비해야한다. 올해는 뉴욕금융감독청(NYDFS)외에도 FRB(미 연방준비제도) 검사 대상인 다른 은행들도 있기 때문에 미국 연방,주립 법안과 규정을 준수하기위해 국내 은행들도 대응에 매우 분주한 상황이다.

Q : 최근 국내 주요 은행들의 AML 대응 전략과 구체적인 진행상황은?

A : 먼저, 최근 동남아 등에 신규지점을 오픈 한 국내 은행들의 경우 ‘TBML(무역금융기반 자금세탁)’, ‘CRI(국가위험지수)’도입에 관심이 높다. TBML과 CRI는 새로운 AML분야다. TBML은 향후 몇년뒤에 중점적으로 다뤄질 것이기 때문에 반드시 필요한 조치다. 유니타스도 CRI를 자체 개발해 금융기관이 사용하고 있는 기존의 국가 위험도 자료를 대체하고, KYC 리스크평가 뿐 아니라 STR 시나리오 생성에도 가볍게 적용하도록 하고 있다.

이어 국내 상황을 보면, 글로벌 AML 솔루션 도입과 시스템통합(SI)이 활발하다. 농협은행 뉴욕지점 벌금부과 이후, 은행권에선 기존 해외지점과 본사 간 다르게 사용하던 솔루션을 글로벌 솔루션으로 통합하는 사례가 늘고 있다. 각 지점들이 처한 상황을 한눈에 확인하고 대처하기위한 특단의 조치다. 또 용어 및 역할 정의를 통일해 혼선을 예방하는 노력도 보인다.

금융권의 AML 전문인력 충원도 속도를 내고 있다. 자금세탁방지부서 신설 및 격상, 추가인원 채용, ACAMS 및 국내 AML 교육 수료 및 자격증 취득을 독려하고 있다. 우리에게도 ACAMS 취득 정보나 난이도 관련 문의가 많이 들어온다.

우리 직원들이 새금융사회연구소, 한국금융연수원이 주관하는 AML교육에 직접 참여한 결과, 뜨거운 열기를 확인할 수 있었다. 해외에선 부서 추가 인력채용과 현지 미국 변호사를 채용해 내부통제 및 AML 프로그램 집중 점검함으로써 현지화에 중점을 둔 대응에 나서고 있다.

물론 AML관련 사항들을 이미 다 대응하고도 여전히 불안해하는 은행들도 있다. AML 업무 담당자들이 신규 법안과 규정의 문장 및 단어 하나까지 자세히 신경쓰고 있다. 반면 뉴욕지점이 없거나 분야가 다른 후발 주자들은 아직 눈치게임을 하면서 상황을 관망하는 분위기다. 선발 주자들이 도입한 신규 시스템과의 차이점을 파악하고, 얼마나 리스크를 줄일 수 있는지 또는 너무 과도하게 또는 앞서나가는 것은 아닌지 고민하고 있는 것으로 보인다.

자금세탁방지, 대테러자금조달 및 제재관련 업무를 위한 AML 대응이 전세계적으로 점점 더 중요해지고 있다. 특히 미 감독당국의 요구 수준은 매우 높고 이상적이다. 미국에 진출한 국내 은행들은 주어진 여건에서 최선을 다하고 있으나 전문 인력 부족, 뉴욕지점의 수익 대비 AML 관련 대응비용 과다 소요, 본사 AML 시스템의 글로벌 AML 요건 지원 미흡 등으로 어려움을 겪고 있는 게 현실이다.

보다 근본적으로 AML 업무에 대한 인식의 변화를 통해 글로벌 스탠더드에 맞춰서 본사 AML 시스템을 전면 재구축하고, 본사 시스템을 기준으로 뉴욕 등 해외 현지법인 및 금융계열사를 통합 관리하는 AML 운영 조직 개편도 필요하다고 생각한다.
Q : 미국 금융당국은 최근 1~2년간 테러자금조달 차단 등 국제금융 제재의 강도를 더욱 높여왔다. 트럼프 정권 출범이후, 최근 동향은?

A : 당근과 채찍 전략, 그리고 ‘시험기간’으로 정의할 수 있다. 적어도 올해까지는 미 금융당국이 채찍과 당근을 동시에 주었기 때문에 충분히 심도있게 검토하고 실험할 수 있는 기간이라고 생각한다. 더 이상 빠져나갈 구멍이 없을 정도로 논리적이다.

구체적으로 보면, 2018년 4월부터 NYDFS의 요구에 따라 금융기관들은 ‘Part 504’ 자체검사 결과를 제출해야한다. 앞서 2017년1월1일부터 시행된 ‘Part 504’ 는 뉴욕 주에서만 적용되지만 해외 금융기관중 뉴욕지점을 거치지 않을 수 없기때문에 사실상 전세계적에 영향력을 미치는 무서운 규정이다.

'Part 504' 에 따라 자체 점검 결과를 제출하고, 스스로를 평가한 결과와 NYDFS의 평가가 얼마나 차이가 나는지, 즉 갭을 확인하는 시기다. 이 갭이 평가때마다 벌어지면 참담한 결과가 나올 수 있다. 올해 첫 검사 때 갭의 차이와 포인트를 정확히 파악하고 논의해야 하는 시기라고 볼 수 있다.

또 2018년5월에는 미국 재무부 금융범죄단속반(이하 ‘FinCEN’)의 주도로 법인 고객의 실소유자를 파악하는 고객확인제도(CDD) 룰이 시행됐다. 그나마 다행인 점은 해외의 감독 당국들이 완벽한 이점을 갖지않고 시작했다는 점이다.

그동안 EU내 주요 국가들은 정부와 협의해 법인의 실소유자를 법인이 직접 등록하고, 이를 정부가 관리해 필요한 이들에게 제공하는 시스템을 갖췄다. 하지만 미국은 '프라이버시'를 중시했기때문에 이를 시행하지는 않았다. 이 제도는 금융기관이 압박을 받는 상태에서 어디까지 이행할 수 있는가를 평가하는 스트레스 테스트와 성격이 유사하다. 따라서 완전한 준수가 불가능하다고 판단되는 구간은, 비록 실패했더라도 결과와 관점을 구체적으로 기술하고, 감독당국에게 개선해달라고 당당하게 요청해도 큰 처벌은 받지 않을 것으로 보인다.

한편 최근에는 미국 미술품과 골동품 딜러도 BSA 준수 금융기관 대상에 포함시킬지가 논의되고 있다. 아직 논의단계지만 비밀요소가 강한 미술품과 골동품 시장도 이제 BSA 준수기관에 포함된다는 것은 금융기관에겐 부담이다.

법안이 통과되면 표면적으로 힘든 것은 AML 프로그램을 도입해야 하는 딜러 및 법인들이지만, 더 힘든것은 이들의 금융거래를 감시해야하는 금융기관들이다. 시장 특성상 고객의 KYC, 제품의 실제가격과 도난 여부 등을 확인할 수 없어 암시장을 조사하는 것과 같다. 최근 부분적인 마리화나 합법화보다 더 복잡할 수 있다.

이처럼 올해는 제출기한이나 시행령을 비슷한 날짜에 맞춤으로써, 금융기관및 비금융기관이 신규 법안과 규정을 한번에 파악하고, 스스로 자신들의 AML프로그램에 접목시킬 수 있도록 '시험 공부를 시키는 기간'이라 볼 수 있다.

이처럼 미 금융 당국의 압박이 무섭지만 '당근'정책도 있다. 미 의회는 완화된 SAR/STR & CTR 기준을 골자로하는 ‘CTIFA’ 법안을 발의했다. CTR의 경우 기존 1만달러(미화) 이상의 거래 보고 조건을 3만달러로 상향시켰다. 유럽은 2015년 4차 자금세탁방지 공동 법안을 통해 1만5천유로에서 1만유로로 변경하는 정책을 펼치는 반면 미국은 물가상승률을 반영, 금융기관의 부담을 덜어주자는 취지로 제안했다.

물론 트랜잭션 모니터링을 다뤄본 입장에선 ‘3만달러보다 낮은 금액이 기준으로 잡혀있는 시나리오’를 사용하는 금융기관에겐 사실 큰 의미는 없다. CTR 로 자동 보고하던 것을 STR 로 대신하는 것이기 때문이다.

하지만 비금융기관과 예금을 취급하지 않는 금융기관에겐 반가운 소식이다. 또 'SAR/STR' 보고서의 실효성도 논의되고 있다. 만약 통과된다면 가장 환영을 받게 되는 법안이다. 보고기한 연장, 이미 진행중인 SAR보고를 제한, 형식 중 ‘중요’ 항목수 감소 등 그동안 금융기관을 괴롭혔던 불필요한 절차들을 과감히 생략하자는 취지다. AML 제도에 큰 영향력을 줄 것으로 보인다.

한편 지난 2014년부터 올해 5월말 현재까지 미국의 주요 감독당국(FRB, OFAC , OCC, FinCEN , nyDFS)이 AML 및 컴플라이언스 미준수로 부과한 벌금부과 금액은 지금까지 119억달러10만달러(한화 12조8,364억)에 달한다. 같은 기간 미국의 주요 감독당국의 처벌내역을 집계한 결과 1월(10건),11월(8건), 3월(7건) 순서로 처벌 집행 횟수가 가장 많았다.

상반기인 1월, 3월에 대형 벌금 처벌내역이 빈번함을 알 수 있다. 조사가 2~3개월 정도 걸리기 때문에 실제로는 10월~1월이 가장 주의해야 하는 시기다. 시행령 및 신규 검사제도 (Part 504) 도입 기간이 5월이고, 본 감사가 남아있기 때문에 1~2년 뒤에 새로운 규제 및 제도를 바탕으로 벌금폭탄이 예상된다.

Q : ‘유니타스 GRC 랩’에서 제공되는 최신 자료들을 보면 EU의 AML 정책도 점차 강도가 세지고 있다. 실제로 EU내 국가들의 움직임은 어떤가?

A : 현재 EU회원국들의 ‘AMLD’4차 법안 시행령이 이행중이다. 작년부터 영국(Brexit 이후), 프랑스, 룩셈부르크, 체코 등 유럽 및 EU 회원국들이 법인 UBO(궁극적 실소유자)등록 시행령을 이행하기 시작했다. 유럽이 미국과 다른 점은, 법적으로 충분히 준비할 기간을 주고, 처벌내역도 상대적으로 적다는 점이다. EU는 회원국들이 선발 주자에 따라올 수 있도록 여유를 주는 편이다. 개인정보보호 관련법인 GDPR이 AML 제도에 어떤 효과를 가져올지는 미지수지만 유럽은 다양한 제도를 적절한 수준에서 모두가 준수할 수 있도록 독려하고 있다.

구체적으로보면, EU에서 주목되는 것은 ‘법인의 UBO/PSC 등록시스템 중앙 DB관리’제도다. 이는 미국과의 가장 큰 차이점 중 하나다. 법인의 실소유자(UBO)를 법인 스스로 국가시스템에 등록해 국가에서 직접 금융기관, 어떤 국가는 일반인까지 조회할 수 있도록 했다. AML제도와 법안 준수의무가 있는 개인 및 기관 입장에선 한시름 덜었다. 다만 본 제도를 아직 이행하지않은 회원국에 지점을 둔 해외 금융기관에게는 큰 메리트가 없어 보인다.

한편 최근 유럽에선 '비회원국과 주변, 통치, 행정 관리구역에도 적용을 강요함에 따라 마찰이 일고 있다'는 외신 보도가 있었다. 영국이 영국령 국가에 이 제도 도입을 요청해 마찰이 생겼는데 영국뿐 아니라 네덜란드, 프랑스 등도 영토외 지역에 통치권을 갖고 있어 어떻게 마무리가 될지 결과를 지켜보는 중이다.

EU와 관련해선 현재 ‘AMLD 5차 법안’ 이 주목된다. 올해 4월 중순, 5번째 AMLD가 발표됐다. ▲실소유자 등록 의무화 연장선 ▲암호화폐 관련 산업에도 AML제도 적용 ▲선불카드 결제 금액 한도 제한 강화 ▲정보 공유 범위 확대 ▲EDD(고객확인제도) 등이 주요 내용이다.

국내는 암호화폐거래소 가이드라인이 출시되긴했지만 생각보다 구체적이지 않다. 유럽의 경우, 암호화폐거래소가 단체로 해킹을 당해 금액이 증발한 사례가 많아 어떤 방안이 나왔는지 확인해 볼 필요가 있다. 선불카드 결제의 경우, 국내는 관심이 적지만 해외에 진출하는 금융기관 및 기타 AML제도 준수 대상에 포함되는 법인들은 해외에서 사용되는 선불카드의 개념과 활용도를 자세히 파악할 필요가 있다.

물론 정치적인 배경도 작용하고 있다. 러시아 외 동유럽 국가에 만연한 자금세탁 관례를 없애겠다는 메시지다. 최근 영국이 런던 부동산을 이용한 외국인 PEP의 자금세탁 위험을 중점 점검하고 있다. 특히 러시아 등 외국 범죄조직 및 정치인들이 파나마 페이퍼스 등에 등재된 조세피난처를 이용해 런던 부동산을 구입하는 등 구체적인 액수와 세탁 통로가 드러나고 있다.

Q: 최근 암호화폐를 이용한 불법 자금세탁의 우려가 제기되고 있다. 기존 AML 솔루션으로 대응이 가능한 것인지, 아니면 새로운 해법이 제시돼야 하는 것인지?

A: AML솔루션으로 대응이 가능할지는 ‘절반’이라고 답변하고 싶다. 지금까지 나온 감독 당국들의 정책과 가이드는 ICO 또는 암호화폐 거래과정에서 사용되는 금융기관의 계좌, 거래소가입 및 거래감시 위주였다. 국내 거래소만 봐도 거래소 가입과정과, 금융기관을 통해 거래소에 돈을 송금하는 과정이 상당히 복잡해졌다. 그만큼 KYC, EDD, STR (시나리오 추가) 이행 속도가 빨라졌고, 준수 강도가 높아졌다.

하지만 당국이 정말로 두려워하는 것은 거래소를 통한 거래가 아니다. 광산 채굴자, 전자지갑, 코인소지자가 암호화폐거래소에서 거래하지 않고 OTC나 P2P로 거래하는 경우다. 이 경우 테러 자금조달을 감시하는 것은 불가능하다. 현재 세계 각국의 노력으로 암호화폐 가격을 시장가격 수준으로 끌어내렸고 일부 국가에선 암호화폐 소유, 유통, 거래를 원천봉쇄해 자국 코인 거래자들을 해외거래소로 이동하게 만들었다. 또 이들을 받은 암호화폐거래소와 금융기관에 강력한 규제를 가해 많은 이용자들이 AML제도 안으로 들어올 수 있도록 유도했다. 지난 1년 반 동안 이런 ‘몰아넣기’ 과정이 이제 중간지점을 향해 가고있다고 본다.

이제는 감독 당국이 P2P, OTC 등을 통해 ‘버티고’ 있는 자들을 어떻게 몰아넣을지 고민해야 하는 시기다. 카지노, 하왈라, TBML 등 이제 시작하거나 잡기 어려운 분야들도 여전히 남아있다. 코인 자체에 KYC 룰을 적용해 해당 코인 보유자를 감시하지 않는 한, 이 두 번째 몰아가기 과정이 어떻게 진행될지 지켜봐야 한다.

한편 AML시스템을 암호화폐거래소에서 도입하는 것은 유효하다. 거래소를 이용하고자하는 고객에 대한 ‘요주의 인물 리스트 필터링’(WLF)과 KYC를 금융권과 동일하게 적용하는 것이 가능하다. 다만 혐의거래 거래보고(STR)의 경우는 블록체인 환경 특성상 국경없이 거래되고, 암호화폐소유자도 파악하기 곤란해 기존 혐의거래 모니터링 방식으론 접근이 힘들다. 거래패턴 시나리오 또는 룰의 추가가 지속되겠지만, KYC 시스템 도입 이전의 가입자들이 정보 업데이트를 하지않은 경우 P2P, OTC 거래와 비슷한 거래 정보밖에 확인할 수 없다.

또 패턴으로만 STR을 보고한다면 남은 짐은 감독 당국이 질 수 밖에 없다. 때문에 기존 유저들의 현 KYC 프로그램 참여를 더 빨리 유도해야 한다. 현재 암호화폐에 특화된 해외 솔루션 등이 개발돼 일부 암호화폐거래소에서 적용하고 있는 것으로 파악된다.

지문, 음성, 홍채인식, 특정 지역에서의 접선 등 다양한 형태의 KYC 준수 기술이 소개되고 있고, 금융기관과 거래소간 거래, 거래소 내 특정 금액 초과시 자동보고 등 준수 강도가 높아지고 있다. 암호화폐 1차 버블을 강압적으로 터트린 지금 이 순간이 가장 중요하다고 본다. 다음 버블이 오기까지 금융기관과 거래소가 완전한 준비를 할 수 있어야한다

Q : 우리 금융당국이 보다 강력한 AML 대응을 위해 추가해야할 정책은 무엇인가?

A: 벌금과 처벌의 증가가 정답은 아니라고 본다. 특히 국내 2금융권의 AML은 STR 처리위주다. 원인이 무엇인지부터 파악해야한다. 1금융권도 마찬가지지만 2금융권인 저축은행, 보험, 증권사는 특히 STR에 골머리를 앓고 있다. 턱없이 부족한 인력도 문제다. 처음부터 컨설팅, 솔루션업체로부터 받은 거래패턴 시나리오 및 룰을 그대로 사용하다보니 이미 생성된 수 천, 수 만 건의 거래들은 검토하는 것이 힘들다.

오탐(False Positive)이 많은 것 같아 고치려해도 업무량이 많아 엄두를 못낸다. 동종업계와 정보를 공유해 해결책을 찾아보려 하니 솔루션업체가 달라 용어도 맞지않는 등 총체적 난국인 상황을 몇 년째 겪고 있다. 여기에 감독당국의 점검까지 겹쳐 가끔 강의장에서 울다시피 하소연을 하는 저축은행 AML 담당자들의 모습을 볼 수 있었다. 감독당국도 인력이 여유로운 것은 아니지만 서로가 편하게 하려면 발생 건수, 즉 오탐을 잡도록 여유기간을 줘야한다.

이들에게 모든 고통의 근원은 ‘건수’ 이다. 하루에 많게는 수 천 건씩 발생하는 이들에게 1금융권 IT담당자 등과 공동 세미나 등의 기회를 주거나, 금융기관이 스스로 전문 레그 테크와 장기 프로젝트를 진행해 좀 더 효율적인 방향으로 STR 검토를 할 수 있는 환경을 만들어 줘야한다.

2금융권은 위아래를 연결하는 허리다. 허리가 무너진다면 뒤를 따라오던 제3, 4 금융기관과 후에 AML 제도를 준수해야 하는 기관들에게도 좋지않다. 현 상황이 지속된다면 감독당국, 금융기관, 집행기관 모두에게 득이 될 수 없다. 따라서 미국처럼 과도한 벌금부터 부과한다면 격차만 벌어져 비효율적인 결과를 초래할 것으로 우려된다.

현재 우리 금융감독 당국이 지향해야 하는 곳은 미국이 아닌 유럽이라고 생각한다. 미국은 자본주의와 비즈니스의 종착지이며, 글로벌 금융회사들도 완벽한 준비가 돼야 겨우 버틸 수 있는 곳이다. 반면 유럽은 회원국 수준 차이가 현저해 AMLD 등을 수시로 발표하며 차이를 좁히고 있다. 우리도 은행, 증권, 보험, 카지노의 격차를 좁히는 것에 중점을 둬야한다. 처벌 및 규제 보다는 조금씩 따라올 수 있도록 유도해야 한다.

이와 관련한 국내 법안, 시행령, 업무규정 분량 및 내용이 부족한 것이 사실이다. 미국의 자금세탁방지법 분량과 내용은 방대하고 구체적, 일독하는데만 몇 달 소요되는 반면 국내는 하루도 안 걸린다. 선진국의 AML 법안과 규정은 강력하면서도 상당히 구체적이다. 반면 국내 AML 관련벌령 및 규정은 핵심 분야는 다루고 있으나 그 깊이나 범위의 차이가 아직 외국에 미치지 못한다. 따라서 기존 AML 관련 법안의 핵심사항들을 연장해, 더 굵고 정확하게 정비해야 후발주자들이 따라갈 수 있다.

또 자금세탁이 파생범죄가 아닌 전제범죄로서 자리잡아야 발전 가능하다고 생각한다. 파생범죄로 인식되면, 전제범죄의 포함 여부에 따라 자금세탁행위가 밝혀지지 않는다는 문제점이 지적됐기 때문이다. AML 가이드라인에 따르면, 국내 전제범죄는 약 90여가지에 달한다. 유형이 정해져 있기때문이기도 하지만 AML전문 조사팀이 모든 중범죄, 또는 모든 범죄에 대해서 자금세탁 여부를 확인 할 수 있는 방향으로 나아가야 한다고 생각한다.

금융감독 당국의 선진화 기술도입, 인력 충원도 필요하다. 해외규정, 암호화폐, 기타 분야에서 발생한 문제점들까지 한번에 소화하려다 보니 과부화가 걸린 것으로 판단된다. 선진국들의 법안 도입 사례를 보면 우리 나라에 이미 존재하거나 우리 나라의 시스템이 월등하다고 느낄 경우가 많다. 금융감독원 DART처럼 국내 모든 기업들의 경영정보를 조회할 수 있는 ‘특권’을 해외에서는 찾아볼 수 없다.

유니타스가 GRC리포트나 페이스북 소식에 해외 법안과 규정 소식을 주기적으로 업데이트하는 것도 타국과 국내의 환경을 비교하기 위해서다. 우리 나라는 절대 못하는 축에 속하지 않는다. 기대치가 높아서일뿐 방향만 바로 잡으면 신규분야의 시장 진입 시점과 규제의 구체화 시점의 차이를 더 빨리 줄일 수 있다고 생각한다.

한편 불필요한 업무 중복도 제거해야 한다. 각 금융기관의 고객을 별도의 ID로 매핑해 통합관리, STR을 작성하는 AML담당자들이 불필요한 보고서를 작성하지 않고, KoFIU 직원들이 중복된 STR을 검토하지 않도록 해야한다. 국내 개인정보보호 규정상 쉽지 않겠지만, 금융기관 별 고객을 별도의 ID로 통합함으로써 STR 보고 담당자들이 불필요한 보고서를 작성하지 않아야 한다.

최근 일반인도 자신의 금융상품 및 금융기관 이용내역을 한번에 확인할 수 있는 시스템이 공개됐다. AML전용 서버에 ‘STR 작성자’들이 자신이 현재 작성하는 보고서와 중복 사례가 있는지 직접 확인해 불필요한 작업을 줄이고, 이후에는 금융기관내 AML 소프트웨어와 직접 연계해 거래추출 과정에서 자동 필터링할 수 있는 수준까지 가야한다고 생각한다.

Q : AML을 포함한 컴플라이언스 전문가가 크게 부족하다. 전문 인력을 질적, 양적으로 빠르게 육성하기위한 효과적인 전략이 있다면?

A : 먼저 금융기관 내부적으로 ACAMS(세계자금세탁방지인증협회), 국내 자격증 취득 등이 장려돼야한다. ACAMS나 K-CAMS, 자금세탁방지 핵심요원 등은 비교적 단기간에 해결할 수 있다. 특히 ACAMS는 취득시 단숨에 전문가가 되는것이 아닌 시장과 규정의 흐름을 파악하고, 스스로 무엇을 해야 하는지 깨닫게 해주는데 큰 의의를 둔다. 취득 이후부터가 진정한 시작이다.

준비기간이나 비용이 부담되는 것은 사실이지만 개인은 관련 자격증 취득을 마음잡고 준비한다면 좋은 결과가 예상된다. 금융기관도 매년 특정 우수인원을 선발해 준비과정을 지원하고 육성에 나서야한다. 이외에 금융연수원, 메가넥스트 등 교육컨텐츠 업계에서 AML 맞춤 교육을 제공하고 있다. 어쨌든 모든 금융기관은 임직원들이 동일한 수준의 AML 지식을 갖추도록 기회를 제공해야한다. 현재 AML 또는 컴플라이언스 분야는, ‘그들만의 리그’라는 성격이 강하지만 사실 모두가 공유하고 고민하면 뜻을 함께해야하는 분야다.

외부 전문가 모임도 필요하다고 본다. 최근 몇 년 동안 새금융사회연구소 등 AML 전문가 모임 활성화되고 있다. 서로의 공감대, 용어와 환경을 매핑할 수 있는 구간이 있어야 숨통이 트이고, 자신이 어느 레벨에 있는지 확인할 수 있는 모임이 형성돼야한다. 금융기관들은 부서 인원이 20명 이하이며, 단독으로 특정 분야를 담당하는 경우가 비일비재하다. 이런 답답함을 토로할 수 있고, 서로 배우고 의지할 수 있는 담당자 또는 전문가 모임이 필요하다. 전문교육기관에서 AML 전공 도입이 필요하다. 경제 또는 경영대학원의 금융공학, 금융리스크관리 전공과 유사하게 AML과정을 신설해 체계적으로 전문가를 양성할 필요가 있다.

Q : 이제는 통신, 핀테크 등 비 금융기업들도 ‘사실상의 금융서비스’를 제공함에 따라 AML를 포함한 관련 인프라의 적용이 필요한 시점이다. 비금융기업들의 AML 대응전략은?

A : 암호화폐거래소 사태를 교훈삼아 감독 당국은 착실하게 준비해야 한다. 비금융회사들에게 당장 금융기관에 준하는 AML프로그램을 도입하도록 나간다면 오히려 비효율적이고 더 늦어지는 결과를 초래할 수 있다. 참고로 미국은 비금융회사로 취급되는 전자제품판매점 등은 국세청에서 제공하는 ‘Form 8300’에 ‘특정금액 이상의 상품거래’를 보고하도록 했다. 캐나다와 뉴질랜드도 법안은 시행을 눈앞에 두고 있지만, 업계의 반발이 심해 고충을 겪고 있다.

감독당국이 비금융회사들을 이해시키려면, 워치리스트와 ‘간소화 된 STR’ 을 이해시켜야한다. 워치리스트는 기존 CRM에 접목시키는데 오랜 시간이 걸리진 않겠지만, 당장 금융기관 수준의 STR을 갖추도록 요구하는 것은 무리다. 각 산업에 따라 자금세탁으로 의심될 만한 핵심요소를 추려내 업계 입장에서 납득할 수 있는 방향으로 가이드를 제공해야 한다.

또 비금융회사는 가이드라인이 나오기 전부터 이미 준비를 해야한다. 2019년 FATF 상호평가가 임박할 때에 한번쯤은 언급될 것이며, 5년 뒤엔 몇몇 산업들에 필수적으로 AML이 적용될 것으로 예상된다. AML도입과 관련해 조금이라도 언급된 산업 관계자들에게는 더 이상 남의 일이 아니다. 회사내 현 시스템, 조직차원에서 AML 제도가 도입될 공간을 만들어야 하고, 이미 시행중인 타 국가들의 동종 산업의 시스템이 어떤 형식으로 운영되는지 확인해야한다.

그리고 IT업계 즉, AML 솔루션 벤더 및 레그테크, AML 솔루션을 제공하는 기업들은 비금융회사들이 감당할 수 있는 가격에서 AML제도를 최대한 준수하는 솔루션을 개발해야한다. 은행의 경우 KYC, 자금의 원천, 자금 이용내역까지 보고해야하기 때문에 개발과 관리에 어려움이 많았지만, 비금융회사들은 준수해야 할 항목들은 적다. 따라서 가벼운 라이트 버전의 저렴한 AML솔루션을 제공할 필요가 있다. 또 산업마다 자금세탁 유형이나 특징이 다르기 때문에 거래 시나리오, KYC 시나리오 등등을 미리 준비해야할 필요가 있다.
유니타스가 매일 산출하는 국가위험도지수(GRI) <자료: 유니타스>
유니타스가 매일 산출하는 국가위험도지수(GRI) <자료: 유니타스>

Q : 유니타스는 AML을 포함해 다양한 형태의 컴플라이어언스 솔루션을 제공하고 있다. 주요 솔루션의 기능/역할은 무엇인가?

A : 유니타스는 리스크관리(자산부채종합관리시스템 등), 컴플라이언스(AML), AFC/TVM (지하철 등 철도기관 지폐처리장치) 솔루션 제공 등 다양한 분야에서 핵심 솔루션을 제공하는 있다. ‘워치리스트’는 글로벌 기업인 다우존스의 단독 파트너로써 국내 은행, 증권, 보험권에 제공하고 있다.

또 글로벌 IT기업인 '이스트넷(Eastnets)'의 세이프워치(SafeWatch Filtering), 페이먼트 가드(Payment Guard)를 제공하고 있다. 현재 유니타스는 국내 시중은행에 워치 리스트 필터링(SafeWatch) 및 핵심 솔루션 공급 및 유지보수 서비스를 담당하고 있다.

‘세이트워치(SafeWatch)’또한 우수한 품질 및 서비스를 바탕으로 높은 시장점유율을 유지하고 있다. 여기에 SAS와 제휴해 글로벌 프랙티스가 검증된 SAS의 AML & 지능형 보안및 사기방지 관련 솔루션 및 서비스를 국내외 금융기관에 제공하고 있다.

AML CRI는 전세계 자금세탁 위험도를 한눈에 파악할 수 있는 국가위험도지수다. 이를 자체 개발해 국내 금융권 시장 진입을 눈앞에 두고 있다. 총 239개국에 대해 35가지 변수 및 지표를 활용해 테러, 마약, 부정부패를 확인할 수 있다.
▶자금세탁방지용 가상화폐(암호화폐). AML규정과 ‘본인 확인(KYC)’ 보안 프로토콜을 준수한 것으로, 마커스 안드레이드(Marcus Andrade)로, NAC재단 CEO이다.
▶자금세탁방지용 가상화폐(암호화폐). AML규정과 ‘본인 확인(KYC)’ 보안 프로토콜을 준수한 것으로, 마커스 안드레이드(Marcus Andrade)로, NAC재단 CEO이다.

<박기록 기자>rock@ddaily.co.kr









박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널