기본분류

어느덧 9.11 테러 20년… 점점 블랙홀로 변해가는 AML 대응 과제

박기록
금융권, AI · RPA기반 ‘AML시스템 고도화’ 투자 강화
美 이어 EU·中도 자금세탁방지 강화 추세... 국가간 파워게임 양상도
비트코인 등 ‘가장자산’ 이용한 자금세탁 우려로 글로벌 규제 대폭 강화
KoFIU(금융정보분석원), 올해부터 차세대 AML시스템 본격 가동
올해로 美 9.11 테러 20주기다. 마약자금, 중대범죄의 자금세탁을 감시하기위해 1989년 G7의 합의로 출범했던 FATF(자금세탁방지기구)는 이 사건 이후 ‘테러자금 조달’(2001년), ‘대량살상무기 확산 금융’(2012년)으로 감시의 범위를 크게 넓혀왔다. 이제는 ‘가상화계’ 등 디지털화된 자산도 중요한 감시 대상이다. AML은 금융회사가 글로벌 비즈니스를 진행하는 데 가장 위협적인 규제 리스크로 부상하고 있다.
올해로 美 9.11 테러 20주기다. 마약자금, 중대범죄의 자금세탁을 감시하기위해 1989년 G7의 합의로 출범했던 FATF(자금세탁방지기구)는 이 사건 이후 ‘테러자금 조달’(2001년), ‘대량살상무기 확산 금융’(2012년)으로 감시의 범위를 크게 넓혀왔다. 이제는 ‘가상화계’ 등 디지털화된 자산도 중요한 감시 대상이다. AML은 금융회사가 글로벌 비즈니스를 진행하는 데 가장 위협적인 규제 리스크로 부상하고 있다.

[디지털데일리 박기록기자] ‘자금세탁방지’라는 단어의 조합을 다시 조각 조각 분리해서 살펴보면 그 대응이 만만치 않음을 알 수 있다.

우선 ‘자금’, 즉 크게 확장되고 있는 돈의 범위, ‘세탁’이라는 교묘한 기술의 진화, ‘방지’라는 규제적· 기술적 대응의 강화가 필수적이다.

'자금세탁방지'는 이 세가지 요소가 동시에 진화하고 있기때문에 마치 블랙홀과 같은 끊임없는 대응이 요구된다. 국내 금융회사의 입장에서는 그 대응이 어렵고 고통스럽지만 AML 대응 미흡시 따르는 고강도의 제재때문에 현실적으로 이를 회피할 수 있는 방법은 없다. 국내 금융권에서 AML시스템의 강화는 모든 IT 투자에 우선한다고 해도 과언이 아니다.

‘자금세탁방지기구’(FATF)는 강력한 영향력을 갖는 국제 금융조치 이행기구다. 테러자금조달방지(CFT)와 대량살상무기(WMD ; Weapon of Mass Destruction) 조달 의심 자금에 대한 정밀제재도 포함한다.

미국은 대량살상무기(WMD) 보유국가로 북한과 이란을 대표 국가로 꼽고 있다. 지정학적 이슈와 맞물리면서 국내 은행권 및 금융회사들이 각별히 AML(자금세탁방지) 규제에 민감하게 반응할 수 밖에 없는 이유이기도 하다.

◆코로나19 팬데믹 와중에도 美 AML제재 강화

미국을 중심으로 한 글로벌 AML 규제는 점점 더 내용이 복잡해지고 있고, 제재 강도도 높아지고 있다. 실제로 지난해 코로나19로 전 세계가 패닉에 빠져있을때도 글로벌 AML 감시망은 오히려 더욱 강화됐다. AML 규정 위반 등 다양한 사유로 몇몇 글로벌 금융회사들은 막대한 벌금 제재를 받았다.

지난해 가장 대표적인 제재 사례로는 말레이시아 전직 총리가 연루된 1MDB 사건이 꼽힌다. ‘1MDB 부패 스캔들’은 말레이시아 공영개발 프로젝트로 조성된 수십억 달러의 자금을 나집 라작(Najib Razak) 前 말레이지아 총리 등이 포함된 조직이 횡령한 사건으로, 미국 수사 당국이 이를 밝혀냈다. 이 결과 세계적인 투자은행인 골드만삭스는 자금세탁 및 위험관리 결함을 이유로 미국 법무부로부터 23억 달러의 벌금을 부과받았다. 골드만삭스 아시아법인도 같은 사안으로 홍콩 증권선물위원회로부터 3억5000만달러의 제재금(벌금)을 부과받았다.

또 같은해 미국 재무부 산하의 자금세탁 전담기구(FinCEN)는 호주의 ‘헬릭스/코인닌자’ 암호화폐 거래소 운영자인 래리 딘 하몬(R.D.Harmon)에게 암호화폐 자금세탁, BSA(금융보안법)위반 등의 혐으로 6000만 달러의 벌금을 부과했다.
<자료>SAS코리아
<자료>SAS코리아

씨티그룹도 ‘위험관리시스템 지속적인 결함’으로 미국연방수사국(FRB) 등으로부터 총 4억 달러의 벌금을 부과받았다. 앞서 호주의 대형 은행인 웨스트팩(Westpac)은 국제자금 이체보고 결함 등의 사유로 13억 호주 달러(한화 약 1조5000억원)의 벌금을 부과받았다. 외신에 따르면, 웨스트팩 은행은 지난 2013년~2018년까지 6년간, 1950만 건 이상의 신고대상 거래들을 호주금융정보분석센터(AUSTRAC)에 보고하지 않은 혐의다.

또 지난해 1월에는 독일 코메르츠방크 런던 법인이 위험관리시스템 부재, DD결함, 거래모니터링 결함 등의 사유로 영국 금융위원회(FCA)로부터 3800만 파운드의 벌금을 부과받았다. 이같은 대규모 AML 제재 사례는 매년 나오고 있다.

최근 주목할 것은, 그동안 미국 금융 당국 주도의 AML 제재가 최근에는 영국, EU, 아시아 주요국으로 확산되고 있다는 점이다. 올해 1월, 미국은 쿠테타를 일으킨 미얀마의 주요 군부 인사들에 대한 자금거래를 긴급 중단시켰다. 이러한 AML 제재는 사실상 강력한 경제제재의 효과를 갖기때문에 국가간 파워게임으로 변모하고 있다는 지적도 제기되고 있다.

한편 글로벌 금융시장 확대에 나서고 있는 국내 은행 및 2금융권(증권, 보험사 등)의 대형 금융사들은 이제 미국 뿐만 아니라 글로벌 금융 허브를 가진 거점 국가들을 의식한 AML 대응도 중요한 과제가 되고 있다. 무엇보다 각국의 복잡한 규제대응 체계를 수용하기위한 ‘AML 대응 고도화’ 노력이 요구되고 있는 것이다.
지난 2016년 외환은행을 합병한 하나은행은 현재 국내 은행권에서 가장 방대한 해외 점포망을 운용하고 있다. 하나은행은 올해 AML규제 강화에 선제적으로 대비하기 위해 차세대 국외점포 AML 모니터링 시스템 고도화를 올해 역점 사업으로 설정했다.

하나은행은 1월부터 본격적인 AML시스템 고도화에 착수, 연내 완료를 목표로 하고 있으며, 이를 통해 국외 AML 분야에서 선도적인 입지를 더욱 공고히 하겠다는 전략이다. 현재 24개국에 진출해 있는 하나은행은 앞서 지난 2008년 은행권 최초로 글로벌 은행 수준의 국외 AML 시스템을 도입한 바 있다. 이어 2012년과 2017년 두차례 걸쳐 시스템 고도화 프로젝트를 진행했다. 이번이 세 번째 고도화 사업이다.

국외점포 차세대 AML시스템 고도화 프로젝트를 통해 하나은행은 ▲차세대 사례 분석 도입 ▲자금세탁 유형론을 활용한 시나리오 확장 ▲고도화된 자동 보고서 작성 지원 등 레그테크(Reg-tech) 기반의 모니터링 기능을 대폭 강화할 계획이다. 앞서 하나은행 뉴욕지점은 지난 2017년 현지 AML 평가에서 미국에 진출한 국내 은행 중 가장 높은 수준의 등급을 획득한 바 있다.

◆핀테크, 가상화폐, 카지노… AML 감시체계 더 강해져

비트코인, 이더리움과 같은 ‘가상자산’의 시장 확대는 기존 AML 규제 당국이 입장에서 봤을땐 매우 도전적이고 난해한 과제일 수 밖에 없다. FATF가 연차 총회때마다 ‘가상자산’에 대한 대응을 강조하고 있는 이유다. 여기에다 올해들어 주목을 받기 시작한 NFT(대체불가토큰)과 같은 새로운 자산도 감시체계에 포함시켜야할 대상이다.

‘결제’는 ‘구매 가치의 이동’을 의미한다. 때문에 논리적으로 모든 결제 수단은 AML의 대상이다. 이런 인식에서 올해 2월에 열린 국제 FATF 제32기 제2차 총회(2021.2.22~25)에서도 역시 가장 집중적으로 논의됐던 현안은 ‘가상자산’이었다. 이번 FATF 2차 총회에서는 ➊ 위험기반감독 지침서(Risk-Based Supervision Guidance) 채택 ➋ 가상자산/가상자산사업자 관련 논의 ➌ FATF 국제기준 미이행국에 대한 제재 논의 등이 다뤄졌다.

‘위험기반감독’은 자금세탁, 테러자금조달 고위험 분야(업종, 회사 등)에 한정된 자원(인력, 예산 등)을 집중해 자금세탁 위험을 효과적으로 완화하고, 자원을 효율적으로 배분하는 것을 목적으로 한다. 즉, 위험이 있는 곳에 한정된 감독 역량을 집중하자는 의미다.

앞서 FATF는 2019년 6월 발간된 가상자산 관련 지침서 개정 논의를 2021년 3월 공개 논의로 전환했다. 이를통해 가상자산(VA) 및 가상자산사업자(VASP)의 정의, 가상자산 사업자의 신고 및 등록에 관한 사항, 개인간 거래의 위험성, 트레블룰 관련 사항 등에 대한 논의가 이뤄졌다.

‘트레블룰’이란 가상자산 이전 등 전신송금에 준하는 행위에 대해 보내는 VASP가 보내는 자와 받는 자의 정보를 확보하여 받는 VASP에 정보를 제공하도록 하는 규정을 말한다. FATF는 가상자산 관련 지침서 개정 최종안을 2021년 6월 총회에서 채택하기로 했으며, 이같은 가상자산에 대한 AML 대응체계 구축과 관련 지난 3월23일 금융위원회는 ‘특정 금융거래정보 보고 및 감독규정’ 개정을 완료하고 시행에 들어갔다. 이를 통해 가상자산과 관련된 개정 특정금융정보법 및 시행령에서 위임하고 있는 사항을 구체적으로 정하고, 금융회사등이 의심거래보고(STR)를 해야 하는 시점을 보다 명확하게 했다.

한편 가상자산사업자는 자신의 고객과 다른 가상자산사업자의 고객간 가상자산의 매매‧교환을 중개하고자 할 경우에도 요건을 구체화했다. 즉, 다른 가상자산사업자가 국내 또는 해외에서 인허가등을 거친 사업자일 것, 또한 가상자산사업자는 다른 가상자산사업자의 고객에 대한 정보를 확인할 수 있어야 한다.

이와함께 거래내역 파악이 곤란해 자금세탁 위험이 큰 가상자산(소위 ‘다크코인’)은 가상자산사업자의 취급을 금지했다. 가상자산사업자 대한 이같은 관련 규정은 앞으로도 추가될 것으로 예상된다. 이는 사실상 제도권 AML 감시체계시스템으로 가상자산을 포함시켰다는 점에서 의미를 크게 부여할 수 있다.

◆AI/ML로 진화하는 AML시스템 체계
국제적인 AML 대응 체계는 지난 20여년간 지속적으로 발전을 거듭해왔지만 그 발전의 속도만큼 또 다른 형태의 회피 수단도 늘어나고 있다. 범죄 첨단화의 속도 경쟁에서는 항상 방어가 후행적일 수 밖에 없다. 여전히 비효율적인 CDD(고객주의의무)와 거래 모니터링 수준 미흡, 균질화하지 못한 각국의 대응 수준 등 AML체계의 문제점은 계속 노출되고 있다. 여기에 부정확한 고객 정보를 조사하고 대응해야할 전문 인력들도 상대적으로 부족한 상황이다.

뿐만 아니다. 무역금융과 같이 단순 고객 송금 거래가 아닌 선주, 화주, 수익자 등 복잡한 단계를 거쳐야하고, 결제 프로세스에 참여하는 당사자가 많은 거래에 있어 AML 감시 및 관리체계는 여전히 기술적 한계를 드러내고 있다. 이처럼 각국의 규제 당국은 ▲급속하게 확장되고 있는 AML 감시 대상, ▲상대적인 인력의 부족, ▲범죄의 첨단화 등에 대응해야하는 상황이다.
<자료>FATF
<자료>FATF

이같은 난제를 해결하기위한 해법으로 인공지능(AI)/머신러닝(ML) 기반의 AML 고도화 사업이 확대되고 있다. AI 외에는 늘어나는 규제의 복잡성과 범죄의 다양성을 현실적으로 빨리 파악할 방안이 없다. 이 때문에 ‘AI/ML 기반의 AML체계의 고도화’는 국내 뿐만 아니라 글로벌 시장 전체의 핵심 과제가 되고 있다.

예를들면 ▲사례관리솔루션 ▲CDD컴플라이언스 ▲AML 거래모니터링 등을 중심으로 한 AML체계의 고도화가 대표적이다. 그러나 이를 다 구현하기위해는 많은 IT비용과 인력출이 불가피하다. 따라서 최대한 비용을 절감하면서 AML 체계를 고도화하기위한 방안으로 클라우드 방식의 AML 대응 전략이 제시되고 있다.

한편으론 특정 공공기관을 지정해 관련 업종의 회사들이 ‘공동 AML 플랫폼’을 구축하고, 저렴한 가격으로 이를 이용하는 방안 등도 아이디어 차원에서 제시되고 있다.

국내외 AML 전문업체들도 이같은 ‘AML 고도화’ 체계에 대한 시장 수요에 대응해 기존보다 업그레이드된 AML 솔루션을 제시하고 있다. SAS코리아 조민기 이사는 <디지털데일리>가 지난해 12월11일 온라인으로 주최한 ‘2021년 금융IT 혁신’ 컨퍼런스에 주제 발표자로 나와, 국내 금융권의 AML시스템 체계 고도화를 위한 혁신적인 최신 요소 기술로 ▲개체식별 ▲세그멘테이션 ▲네트워크 분석 ▲무역서류의 텍스트를 파악하기위한 NLP, NLG 등 자연어 분석 ▲RPA ▲지도학습 및 비지도학습 ▲생채인증 적용 등을 제시했다.

SAS에 따르면, 우리은행은 SAS솔루션을 기반으로 글로벌 통합 AML 시스템을 구축하고 이를 싱가포르, 시드니, 런던, 두바이 등 해외 9개국 11개 지점에 도입했다. 국외 지점에는 Anti-TBML(무역기반 자금세탁방지)와 위험평가(RA) 기능을 도입했으며, 고객알기제도(KYC)와 고객위험평가(CRR), 거래 모니터링(TMS) 및 제재 스크리닝 등의 평가 체계로 글로벌 기준을 충족했다. 또 국외 지점의 위험요소 관리 및 현황 점검‧분석 통합 기능을 보유한 국외 AML 포털을 통해 국내 본점에서 이를 체계적으로 관리할 수 있다.

한편 컴플라이언스 및 리스크관리 전문기업인 유니타스는 올해 1월, 전북은행에 AML전용 필터링 솔루션인 ‘GRC 랩 필터링(Filtering) 엔진을 공급했다. 유니타스의 ‘GRC 랩 필터링’ 엔진은 지난해 하반기 자체 개발한 AML전용 필터링 솔루션이다. 유니타스는 올해 5월, AML규제대응 업무에 필요한 모든 외부 데이터를 종합적으로 관리할 수 있는 토털 솔루션 'CDMS‘도 선보였다.

◆가상자산거래소, AML시스템 체계 구축 완료

국내 주요 가상자산 거래소들은 올해 3월 특정금융거래정보의 보고 및 이용 등에 관한 법률(이하 '특금법') 개정안 시행에 맞춰 AML시스템을 도입을 1차적으로 완료한 상황이다. 가상자산사업자(VASP)를 규제하는 특금법은 앞서 지난해 FATF의 권고에 따라 AML에 초점을 맞춰 개정되는 것이다.

각 거래소마다 서로 다른 AML솔루션업체를 선택했지만 대부분 기존 제도권 금융회사들에 AML 솔루션을 공급해온 실적이 있는 업체들인 것으로 파악됐다. 가상화폐거래소들은 실명인증 가상계좌 사용해야하며, 의심거래나 고액현금거래를 보고하는 등 AML 관련 의무를 준수해야 한다.

빗썸의 경우 옥타솔루션의 암호화폐 전용 AML 솔루션인 ‘cryptoAML-PRISM’을 이용, 종합 시스템을 구축했다. 종합시스템은 ▲자금세탁행위 방지를 위한 고객확인(CDD·EDD) 의무 수행 및 의심거래보고(STR) 시스템 ▲이상금융거래탐지시스템(FDS) 시스템 ▲가상자산 거래 추적 시스템으로 구성됐다.

◆금융정보분석원(KoFiu), 차세대 AML시스템 본격 가동 (2020.12.17.)

KoFIU는 조직 출범이후, 국제수준에 역량을 갖춘 자금세탁방지 전문 기관으로서의 국가적인 위상 정립에 큰 기여를 했다는 평가를 받고 있다. 특히 KoFIU 출범이후 자금세탁 방지라는 본연의 역할외에, 선진 금융질서 확립의 핵심 인프라의 역할도 훌륭하게 수행함으로써 범죄 수익 적발 및 탈세 방지에도 크게 기여했다. 실제로 국세청은 KoFIU 정보를 활용, 지난 2015년부터 약 5년간 12조원의 탈세를 추징하는 성과를 거두기도 했다.

그러나 KoFIU의 기능이 지금보다 더 질적, 양적으로 강화돼야한다는 지적이 많다. 자금세탁 유형이 고도화, 다변화되고 있고 자금세탁의무를 부담해야하는 대상 기관들이 기존 금융회사에서 카지노 등 비금융 업종으로 크게 확대되고 있기 때문이다.
<자료>KoFIU
<자료>KoFIU
저장후 닫기
KoFIU에 따르면, 지난 2007년 STR(의김거래보고)건수는 5.2만건이었는데 2013년에는 37.8만건, 다시 2019년에는 92.6만건으로 급증했다. KoFIU는 지난해 12월17일부터 기존 시스템보다 성능이 크게 개선된 차세대 ‘자금세탁방지시스템’(FIU시스템) 가동에 본격 들어감으로써 급증하는 AML 관련 업무에 대한 효율적인 대응에 나설 수 있게 됐다. 차세대 FIU정보시스템은 6000여개의 금융회사가 보고하는 자금세탁범죄 의심거래보고(STR), 고액현금거래보고(CTR)를 분석해 검찰청 등 8개 법집행기관에 제공하는 전산시스템이다.

올해 3월, KoFIU는 차세대시스템 가동이후 약 2개월여간의 운영성과를 바탕으로 의심거래정보 처리성능, 심사분석 업무 생산성, 정보보안 수준 등이 크게 향상됐다는 내용의 운용결과를 발표했다. 이에 따르면, KoFIU는 차세대 사업의 목표인 ▲의심거래보고체계 효율화 ▲심사분석 역량 강화 ▲정보보안 강화의 성과를 확인했다고 밝혔다.

* 본 기사는 디지털데일리가 7월 발간한 <2021년 디지털금융 혁신과 도전>에 수록된 내용을 요약한 것으로, 편집 사정상 책의 내용과 일치하지 않을 수 있습니다.

박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널