- 가상자산사업자의 과거와 현재: 규제 도입 전후 변화
- AML 시스템 구축의 도전: 왜 여전히 문제가 발생하는가?
- 실명확인 의무와 OCR 기술의 한계
김경민 (주)한국디지털거래소 자금세탁방지부
한국자금세탁방지학회(KaAML) 연구위원
동국대학교 국제정보보호대학원 석사과정
정부 및 금융당국은 2021년 특정금융정보법 개정을 통해 가상자산사업자에 대한 법적 기준을 마련, 2022년도 원화 마켓을 시작으로 2023년도에는 코인 마켓까지 가상자산사업자에 대한 금융정보분석원의 검사가 지속적으로 이루어지고 있다.
그렇다면 가상자산사업자의 자금세탁방지의무는 관련법규 및 금융당국 기준에 따라 적절히 이행되고 있는가?
가상자산사업자에 대한 공개된 제재사례에 따르면 “주식회사 H”는 실명확인증표 등을 통하지 않거나 신원정보를 식별할 수 없는 실명확인증표 등을 이용하여 고객확인 및 검증을 하거나, 고객확인을 전혀 이행하지 않은 고객 또한 있었던 것으로 알려졌다.
어떻게 이러한 사례가 발생하였을까? 가상자산사업자의 과거와 현재 그리고 미래에 대해서 논의하고자 한다.
제도권 진입 이전의 가상자산사업자
특정금융정보법 적용 이전의 가상자산사업자는 법적 규제가 마련되지 않은 상태에서 운영되었다.
가상자산에 대한 법적 정의가 부재했으며, 관련 사업자에 대한 신고 또는 등록 의무도 없었다.
따라서 금융당국의 승인을 받거나, 사업자로 등록할 필요가 없는 사실상 마음만 먹으면 누구나 거래소를 설립하고 운영할 수 있는 환경이었다.
이로 인해 초기부터 정상적인 가상자산 매매 또는 교환 거래 시장으로의 성장보다는 블록체인의 특성 등을 이용한 자금세탁 등 음성적 모습이 크게 보였던 것이 사실이다.
그렇기 때문에 국제적으로 큰 이슈가 되었고, 국제자금세탁방지기구(FATF)는 2019년에 가상자산 관련 사업자를 규제 대상으로 포함시키고, 각국이 이를 국내법에 반영할 것을 권고하였다.
국제적 압박과 더불어 국내에서도 해킹, 사기 등으로 인한 피해가 커지자 정부는 2020년 3월, 특정금융정보법 개정을 통해 가상자산사업자를 규제 대상으로 편입하게 된다.
가상자산사업자의 제도권 진입
가상자산사업자가 규제 대상으로 확정되면서 규제 강화에 대해 업계는 지나치게 과도하다고 반발하기도 했었다. 특히 실명계좌 도입 의무화는 거래소의 운영을 크게 제한하는 요인으로 작용되었다.
그럼에도 정부 및 금융당국의 강한 관리정책으로 법 시행 이전 무분별하게 우후죽순 처럼 많았던 사업자들이 대거 문을 닫았고, 2021년 법 적용 이후에도 거래소들이 점차 문을 닫거나 합병되면서, 생존 가능한 거래소만 남게 되었다.
이 시기에 남은 거래소들은 가상자산사업자의 핵심 통제 및 관리 체계인 자금세탁방지 시스템을 신고 유예기간(2021/9/24)안에 구축 및 운영할 수 있도록 총력을 기울였다.
이를 위해 사업자들은 자금세탁방지 전문가를 영입하기 위해 많은 노력을 기울였다. 하지만, 부족한 신고 기간 때문 이였을까? 아니면 전문성 또는 인력 부족의 문제였을까? 그도 아니라면 시스템 솔루션의 문제였을까? 자금세탁방지에 대한 법규준수 의지가 부족했을까?
가상자산사업자들이 제도권 금융회사 등으로 진입하기 위해 급하게 도입한 자금세탁방지 시스템에서 많은 결함이 발견된다.
제도권 진입 이후의 가상자산사업자 그리고 제재
특정금융정보법이 2021년 9월 본격적으로 적용된 이후, 가상자산사업자는 법적규제를 받는 금융산업의 한 채널로 진입했다.
최초 신고 시 은행과 제휴를 통해 실명확인 계좌를 확보한 거래소는 4개 거래소만 있었으며, 나머지는 코인마켓 거래소의 형태로 운영되었다.
그 다음해인 2022년 3월에는 Travel Rule이 시행되었으며, 가상자산사업자는 기존 시스템의 문제점을 확인해 볼 시간도 없이 Travel Rule 시스템 구축에 총력을 기울이게 된다.
시간에 쫓겨 준비한 것에 따른 결과일까?
금융정보분석원은 2022년 원화마켓 사업자를 대상으로 자금세탁방지 의무 이행에 관한 현장 검사를 실시하였고, 확인된 위법 및 부당행위에 대한 제재 절차를 마무리하였다.
2022년도 당시 금융정보분석원은 공시 규정이 마련되어 있지 않아 개별 사업자 제재내용을 당사자 외 공개할 수 없었지만, 주요 지적사항을 사례화 하여 공개함으로써 유사사례 재발을 방지하고자 하였다.
금융정보분석원은 그 다음해인 2023년에는 코인마켓 사업자를 대상으로 현장 검사를 실시하였고, 원화마켓으로 변경신고를 마친 “H 사업자”는 무려 약 20억원의 과태료를 부과 받았으며, 이로 인해 동 사업자는 사업자 유지를 포기하게 된다. (최근 보도된 뉴스에 따르면 법원은 과태료 처분 취소 판결을 내렸다.)
공개된 주요 제재 사례 중 하나는 앞서 말씀드린 실명확인증표를 통한 고객확인절차 소홀과 관련된 내용이었다.
왜 이런 문제가 발생했을까? 업무 담당자가 고객확인시 실명확인증표를 확인해야 한다는 것을 몰랐을까? 그것은 아니라고 생각한다.
자금세탁시스템 구축 과정에서 문제가 있었지만, 미처 확인하지 못하고 고객을 수용한 결과라고 추측된다.
동 사례는 적정한 시스템 구축과 그에 대한 점검과 확인이 얼마나 중요한지 여실히 보여준다.
최근 금융정보분석원에서 국내 가상자산사업자인 “D” 사를 검사하였다. 기사에 따르면, 고객확인제도를 이행한 고객이 사용한 신분증 중 부적정한 것으로 의심되는 사례만 최소 50~60만건 이상인 것으로 전해진다고 한다.
작년 “H” 사와 비슷하게 실명확인증표의 문제이다.
아직 제재사례가 공개되지 않았기 때문에, 정확한 내용은 알 수 없지만, 최소한 고객확인 절차가 적정하게 마련되었는지 그리고 실명확인증표 등 관련 정보와 자료가 규정에 따라 보관 관리되고 있는지 재점검해 볼 필요가 있을 것이다.
가상자산사업자는 비대면 고객확인을 하기 때문에 OCR 기술을 사용하여 고객이 제출한 신분증의 사진에서 정보를 추출해 실시간으로 데이터베이스와 대조하고 신분증 발급 기관과의 연동을 통하여 진위 여부를 확인한다. 하지만, 한계점 또한 명확하다.
첫번째로 실명확인증표의 빛 번짐, 손상 또는 흔들려서 촬영될 경우 흐릿하게 인증되어 육안으로 정보 확인이 힘든 경우가 발생할 수 있다. 이상여부를 체크해주는 솔루션이 있다고 하더라도 100% 신뢰하기는 힘들다.
두번째로 사진부분을 다른 사람의 사진으로 교체하여 위조할 경우 추가적인 솔루션을 도입하지 않는 이상 기본적인 OCR 솔루션만으로는 위조 여부를 알아낼 수 없다.
따라서, 신분증 사진 그리고 홀로그램의 위변조 여부 등을 확인해주는 솔루션을 도입하여 정확한 정보를 획득할 수 있도록 하거나 솔루션을 도입할 여력이 안된다면 고객확인 검수 담당자가 직접 신분증을 확인해야 한다. 솔루션을 사용하더라도 정기적인 샘플 체크를 실시하여 문제가 없는지 확인해야 할 것이다.
결론
가상자산사업자는 급하게 제도권 안에 편입된 만큼 내부통제 및 시스템 문제에 대해 더 유심히 살펴볼 필요가 있다.
AI 기술 발달에 따라 업무효율에 따른 시스템 고도화도 중요하지만, 현재 자금세탁방지 시스템의 기본적인 요소 하나하나가 잘 돌아가는지 되돌아보며 점검해봐야 한다.
이를 통해 자금세탁방지시스템의 견고함을 재 확인하고, 동 시스템을 통해 관련 위험을 예방하고 관리한다면 가상자산사업자로서 투명성과 안정성을 보장받을 수 있을 것이다.
더 나아가 건전한 가상자산 시장의 발전에도 기여하게 될 것이다.
- 가상자산사업자의 과거와 현재: 규제 도입 전후 변화
- AML 시스템 구축의 도전: 왜 여전히 문제가 발생하는가?
- 실명확인 의무와 OCR 기술의 한계
김경민 (주)한국디지털거래소 자금세탁방지부
한국자금세탁방지학회(KaAML) 연구위원
동국대학교 국제정보보호대학원 석사과정
정부 및 금융당국은 2021년 특정금융정보법 개정을 통해 가상자산사업자에 대한 법적 기준을 마련, 2022년도 원화 마켓을 시작으로 2023년도에는 코인 마켓까지 가상자산사업자에 대한 금융정보분석원의 검사가 지속적으로 이루어지고 있다.
그렇다면 가상자산사업자의 자금세탁방지의무는 관련법규 및 금융당국 기준에 따라 적절히 이행되고 있는가?
가상자산사업자에 대한 공개된 제재사례에 따르면 “주식회사 H”는 실명확인증표 등을 통하지 않거나 신원정보를 식별할 수 없는 실명확인증표 등을 이용하여 고객확인 및 검증을 하거나, 고객확인을 전혀 이행하지 않은 고객 또한 있었던 것으로 알려졌다.
어떻게 이러한 사례가 발생하였을까? 가상자산사업자의 과거와 현재 그리고 미래에 대해서 논의하고자 한다.
제도권 진입 이전의 가상자산사업자
특정금융정보법 적용 이전의 가상자산사업자는 법적 규제가 마련되지 않은 상태에서 운영되었다.
가상자산에 대한 법적 정의가 부재했으며, 관련 사업자에 대한 신고 또는 등록 의무도 없었다.
따라서 금융당국의 승인을 받거나, 사업자로 등록할 필요가 없는 사실상 마음만 먹으면 누구나 거래소를 설립하고 운영할 수 있는 환경이었다.
이로 인해 초기부터 정상적인 가상자산 매매 또는 교환 거래 시장으로의 성장보다는 블록체인의 특성 등을 이용한 자금세탁 등 음성적 모습이 크게 보였던 것이 사실이다.
그렇기 때문에 국제적으로 큰 이슈가 되었고, 국제자금세탁방지기구(FATF)는 2019년에 가상자산 관련 사업자를 규제 대상으로 포함시키고, 각국이 이를 국내법에 반영할 것을 권고하였다.
국제적 압박과 더불어 국내에서도 해킹, 사기 등으로 인한 피해가 커지자 정부는 2020년 3월, 특정금융정보법 개정을 통해 가상자산사업자를 규제 대상으로 편입하게 된다.
가상자산사업자의 제도권 진입
가상자산사업자가 규제 대상으로 확정되면서 규제 강화에 대해 업계는 지나치게 과도하다고 반발하기도 했었다. 특히 실명계좌 도입 의무화는 거래소의 운영을 크게 제한하는 요인으로 작용되었다.
그럼에도 정부 및 금융당국의 강한 관리정책으로 법 시행 이전 무분별하게 우후죽순 처럼 많았던 사업자들이 대거 문을 닫았고, 2021년 법 적용 이후에도 거래소들이 점차 문을 닫거나 합병되면서, 생존 가능한 거래소만 남게 되었다.
이 시기에 남은 거래소들은 가상자산사업자의 핵심 통제 및 관리 체계인 자금세탁방지 시스템을 신고 유예기간(2021/9/24)안에 구축 및 운영할 수 있도록 총력을 기울였다.
이를 위해 사업자들은 자금세탁방지 전문가를 영입하기 위해 많은 노력을 기울였다. 하지만, 부족한 신고 기간 때문 이였을까? 아니면 전문성 또는 인력 부족의 문제였을까? 그도 아니라면 시스템 솔루션의 문제였을까? 자금세탁방지에 대한 법규준수 의지가 부족했을까?
가상자산사업자들이 제도권 금융회사 등으로 진입하기 위해 급하게 도입한 자금세탁방지 시스템에서 많은 결함이 발견된다.
제도권 진입 이후의 가상자산사업자 그리고 제재
특정금융정보법이 2021년 9월 본격적으로 적용된 이후, 가상자산사업자는 법적규제를 받는 금융산업의 한 채널로 진입했다.
최초 신고 시 은행과 제휴를 통해 실명확인 계좌를 확보한 거래소는 4개 거래소만 있었으며, 나머지는 코인마켓 거래소의 형태로 운영되었다.
그 다음해인 2022년 3월에는 Travel Rule이 시행되었으며, 가상자산사업자는 기존 시스템의 문제점을 확인해 볼 시간도 없이 Travel Rule 시스템 구축에 총력을 기울이게 된다.
시간에 쫓겨 준비한 것에 따른 결과일까?
금융정보분석원은 2022년 원화마켓 사업자를 대상으로 자금세탁방지 의무 이행에 관한 현장 검사를 실시하였고, 확인된 위법 및 부당행위에 대한 제재 절차를 마무리하였다.
2022년도 당시 금융정보분석원은 공시 규정이 마련되어 있지 않아 개별 사업자 제재내용을 당사자 외 공개할 수 없었지만, 주요 지적사항을 사례화 하여 공개함으로써 유사사례 재발을 방지하고자 하였다.
금융정보분석원은 그 다음해인 2023년에는 코인마켓 사업자를 대상으로 현장 검사를 실시하였고, 원화마켓으로 변경신고를 마친 “H 사업자”는 무려 약 20억원의 과태료를 부과 받았으며, 이로 인해 동 사업자는 사업자 유지를 포기하게 된다. (최근 보도된 뉴스에 따르면 법원은 과태료 처분 취소 판결을 내렸다.)
공개된 주요 제재 사례 중 하나는 앞서 말씀드린 실명확인증표를 통한 고객확인절차 소홀과 관련된 내용이었다.
왜 이런 문제가 발생했을까? 업무 담당자가 고객확인시 실명확인증표를 확인해야 한다는 것을 몰랐을까? 그것은 아니라고 생각한다.
자금세탁시스템 구축 과정에서 문제가 있었지만, 미처 확인하지 못하고 고객을 수용한 결과라고 추측된다.
동 사례는 적정한 시스템 구축과 그에 대한 점검과 확인이 얼마나 중요한지 여실히 보여준다.
최근 금융정보분석원에서 국내 가상자산사업자인 “D” 사를 검사하였다. 기사에 따르면, 고객확인제도를 이행한 고객이 사용한 신분증 중 부적정한 것으로 의심되는 사례만 최소 50~60만건 이상인 것으로 전해진다고 한다.
작년 “H” 사와 비슷하게 실명확인증표의 문제이다.
아직 제재사례가 공개되지 않았기 때문에, 정확한 내용은 알 수 없지만, 최소한 고객확인 절차가 적정하게 마련되었는지 그리고 실명확인증표 등 관련 정보와 자료가 규정에 따라 보관 관리되고 있는지 재점검해 볼 필요가 있을 것이다.
가상자산사업자는 비대면 고객확인을 하기 때문에 OCR 기술을 사용하여 고객이 제출한 신분증의 사진에서 정보를 추출해 실시간으로 데이터베이스와 대조하고 신분증 발급 기관과의 연동을 통하여 진위 여부를 확인한다. 하지만, 한계점 또한 명확하다.
첫번째로 실명확인증표의 빛 번짐, 손상 또는 흔들려서 촬영될 경우 흐릿하게 인증되어 육안으로 정보 확인이 힘든 경우가 발생할 수 있다. 이상여부를 체크해주는 솔루션이 있다고 하더라도 100% 신뢰하기는 힘들다.
두번째로 사진부분을 다른 사람의 사진으로 교체하여 위조할 경우 추가적인 솔루션을 도입하지 않는 이상 기본적인 OCR 솔루션만으로는 위조 여부를 알아낼 수 없다.
따라서, 신분증 사진 그리고 홀로그램의 위변조 여부 등을 확인해주는 솔루션을 도입하여 정확한 정보를 획득할 수 있도록 하거나 솔루션을 도입할 여력이 안된다면 고객확인 검수 담당자가 직접 신분증을 확인해야 한다. 솔루션을 사용하더라도 정기적인 샘플 체크를 실시하여 문제가 없는지 확인해야 할 것이다.
결론
가상자산사업자는 급하게 제도권 안에 편입된 만큼 내부통제 및 시스템 문제에 대해 더 유심히 살펴볼 필요가 있다.
AI 기술 발달에 따라 업무효율에 따른 시스템 고도화도 중요하지만, 현재 자금세탁방지 시스템의 기본적인 요소 하나하나가 잘 돌아가는지 되돌아보며 점검해봐야 한다.
이를 통해 자금세탁방지시스템의 견고함을 재 확인하고, 동 시스템을 통해 관련 위험을 예방하고 관리한다면 가상자산사업자로서 투명성과 안정성을 보장받을 수 있을 것이다.
더 나아가 건전한 가상자산 시장의 발전에도 기여하게 될 것이다.