[디지털데일리 박현영기자] 은행연합회가 가상자산 거래소의 자금세탁 위험을 식별 및 평가하는 ‘평가방안’을 8일 공개했다. 대표자 및 임직원의 횡령·사기 연루 이력, 외부해킹 발생 이력 등 대형 거래소도 피해가기 힘든 기준들이 다수 포함된 것으로 확인됐다.

앞서 은행연합회는 지난 4월 은행에 이 같은 평가방안을 배포했다. 처음에는 미공개가 원칙이었으나 이를 공개해야 한다는 지적이 잇따라 나오자 이날 공개한 것으로 풀이된다. 다만 평가방안은 은행 결정을 위한 참고사항일 뿐, 거래소에 실명계좌를 발급해줄지 말지 결정하는 것은 은행의 자율 권한이다.

지난 3월부터 시행된 특정금융정보법(특금법)에 따라 원화입출금을 지원하는 거래소들은 은행으로부터 실명확인 입출금계좌(실명계좌)를 발급받아 영업을 신고해야 한다. 이 때 발급 여부를 결정해야 하는 은행이 어떤 기준으로 발급해야 하는지 논란이 됐고, 이에 은행연합회는 은행이 참고할 만한 기준을 마련했다.

은행연합회 측은 “최근 평가 기준의 일부 내용이 알려지면서 잘못된 추측과 오해가 증폭되고 시장의 혼란이 발생함에 따라, 가상자산거래소의 신고를 지원하고 이를 통해 궁극적으로 가상자산 투자자를 보호하기 위해 평가방안의 주요내용을 공개하기로 결정했다”고 밝혔다.

◆특금법에 없는 ‘해킹’도 기준에…대형 거래소도 못 피하는 이슈들

평가방안에 따르면 은행은 ❶필수요건 점검 ❷고유위험 평가 ❸통제위험평가 ❹위험등급 산정 ❺거래여부 결정 등의 단계로 구분한 후 거래소의 자금세탁위험을 평가할 수 있다.

우선 필수요건 점검에는 ISMS(정보보호관리체계) 인증 여부, 고객 예치금과 거래소 재산의 분리 여부 등 특금법 상 요건이 포함된다.

특금법 상 필수 요건이 아닌 기타 평가기준으로는 외부 해킹 발생 이력, 신용등급, 단기 순손실 지속 여부 등이 포함됐다.

특금법 상 영업신고에는 문제가 없어도 해킹이 발생한 적이 있거나, 재정적으로 불안한 경우 실명계좌 발급을 거절할 수 있다는 얘기다. 일례로 국내 최대 거래소 업비트도 지난 2019년 580억 규모 해킹을 당한 바 있다.

또 특금법에서는 대표자 및 임직원의 5년 내 금융 관련 범죄 이력을 영업신고 불수리 사유로 두고 있다. 은행연합회의 평가방안에도 이 같은 내용이 포함됐으나, ‘대표자 및 임직원의 횡령·사기 연루 이력’ 이라는 기준으로 특금법 상 기준보다 더 포괄적으로 제시했다.

이는 5년 내 금융 관련 범죄로 처벌 받은 적이 없더라도, 횡령이나 사기에 연루된 적이 있으면 은행에서 실명계좌 발급을 거절할 수 있다는 의미다.

◆정치인고객 많으면 계좌 NO?…“큰 영향 없을 것”

필수요건 점검 후 고유위험 평가에서는 국가위험, 고위험 고객 관련 위험, 그리고 상품·서비스의 위험 등을 제시했다. 우선 고위험 국적고객의 가상자산 거래가 많을수록, 고위험 업종고객이 많을수록 위험이 가중된다.

당초 거래소에 정치인 고객이 많을수록 실명계좌 확보가 어렵다고 보도된 바 있다. 이에 대해 은행연합회 측은 “FATF(국제자금세탁방지기구) 권고사항과 FIU(금융정보분석원)의 자금세탁방지 규정을 참고해 고객 직업군을 4단계로 분류한 것”이라며 “정치인은 법률가․회계사 등과 함께 4단계 분류 중 3번째 등급으로 분류되어 있어 다른 직업군에 비해 자금세탁위험측면에서 상대적으로 낮은 등급으로 분류됐다”고 설명했다.

이어 “고객 업종은 평가방안에서 제시한 100여 가지 위험평가지표 중 하나에 불과해 실명계좌 발급 자체에 미치는 영향은 크지 않을 것으로 보인다”고 강조했다.

고유위험평가의 상품·서비스의 위험 부분에선 상장된 가상자산을 본다. 신용도가 낮은 가상자산이 많을수록, 상장된 가상자산 수가 많을수록 위험이 가중된다. 신용도는 가상자산 공시 사이트 쟁글을 참고했다고 은행연합회 측은 밝혔다.

최근 거래소들이 잇따라 코인을 대거 상장 폐지하는 일명 ‘코인 정리’를 감행한 것은 이 같은 기준 때문인 것으로 풀이된다.

◆고유위험+통제위험 평가 종합해 실명계좌 여부 결정

필수요건 점검 및 고유위험 평가를 마치면 은행은 통제위험을 평가하게 된다. 통제위험평가에선 AML(자금세탁방지) 시스템과 KYC(고객확인) 시스템을 매우 세세하게 평가한다.

다만 AML 시스템 관련 부분은 거래소가 ISMS 인증을 받을 때 대부분 평가받는 것으로, ISMS를 획득한 거래소라면 통제위험에서 낮은 점수를 받지는 않을 것으로 보인다.

은행연합회 측은 “고유위험과 통제위험 평가를 종합해 위험등급 산정 후, 거래 여부를 결정하는 것을 제시하고 있다”고 밝혔다.