가상자산과 자금세탁방지 시스템

스테이블코인을 이용한 자금세탁을 방지하기 위한 시스템 고안

2020년 유럽 위원회(European Commission)는 디지털 금융 전략과 관련하여 가상자산에 관한 입법과 디지털 회복력에 관한 입법을 통과시켰다. 암호자산 시장에 관한 규정(MiCA)은 가상자산과 가상자산 서비스 제공자에 대한 법적 틀과 정의를 제공하는 것을 목적으로 한다. 2021년 7월, 위원회는 유럽연합 전반에 걸쳐 적용될 새로운 자금세탁방지(AML/CFT) 관련 입법을 제안하였다. 이러한 입법을 추진한 이유 중 하나는 가상자산 이용자의 정보 공유에 관한 국제자금세탁방지기구(FATF)의 최신 권고를 이행하기 위해서였다. 국제자금세탁방지기구(FATF)는 가상자산 서비스 제공자(VASPs) 간 가상자산 이전에 관한 정보를 공유하고 해당 정보를 권한 있는 당국이 이용할 수 있어야 한다고 권고했기 때문이다.

제5차 자금세탁방지 지침(Fifth Anti-Money Laundering Directive)에 따라 위원회는 해당 지침을 이행하기 위한 보고서를 작성하여야 했다. 이에 위원회는 “금융정보분석기관이 중앙 데이터베이스에 가상자산 이용자의 신원 및 지갑 주소를 등록할 수 있는 시스템을 구축 및 유지할 권한 그리고 가상자산 이용자의 자기신고 양식”에 관한 보고서를 작성하였다.

국제자금세탁기구(FATF)는 가상자산(Virtual assets)을 “디지털 방식으로 거래되거나 이전될 수 있고, 지급 또는 투자 목적으로 사용될 수 있는 가치의 디지털 표현”으로 정의하고 있다. 가상자산에는 구조상 규제 범위에 포함되는 법정통화, 증권 및 기타 금융자산의 디지털 표현은 포함되지 않는다. 즉 단순히 화폐를 디지털화한 것이나 증권을 디지털 형태로 전환하여 블록체인에서 발생하는 것은 가상자산에 포함되지 않는다는 것이다. 본 연구를 위해 수행된 문헌조사(desk research)와 인터뷰를 통해 수집된 정보에 따르면 전 세계적으로 4,000개가 넘는 가상자산 서비스 제공자(VASPs)가 존재하며 다양한 관할권에서 가상자산을 제공하고 운영하고 있다. 또한 가상자산을 가장 많이 보유하고 사용하는 국가들은 신흥경제국과 개발도상국인 것으로 나타났다. 본 연구에서는 가상자산을 (1) 지급/교환형(payment/exchange), (2) 투자/증권형(investment/security), (3) 유틸리티형(utility) 가상자산으로 구분한다.

가상자산은 P2P(개인 간 거래) 방식을 사용하여 더 저렴하고 더 빠른 지급을 가능하게 할 수 있다. 그러나 익명의 거래를 수행할 수 있기 때문에 자금세탁 및 테러자금 조달 위험 또한 초래할 수 있다. 특히, P2P 거래, 비수탁 지갑(unhosted wallets)과의 거래, 탈중앙화 금융(DeFi) 등은 이러한 우려를 더욱 증가시키고 있다. 가상자산 서비스 제공자(VASPs)는 가상자산을 이용한 자금세탁 및 테러자금 조달(ML/TF) 이슈에서 중요한 역할을 하게 된다. 여러 연구에 따르면 대부분의 자금세탁 범죄는 모든 단계에서 가상자산 서비스 제공자(VASPs)를 이용할 수 있다. 가상자산의 불법적 사용 규모에 대해서는 정확하고 신뢰할 수 있는 정보가 존재하지 않으며 현재 이용 가능한 대부분의 정보는 매우 넓은 범위의 추정치만을 제시하고 있을 뿐이다.

국제자금세탁방지기구(FATF)와 유럽연합은 가상자산이 범죄 활동에 점점 더 많이 이용되는 것에 대한 규제당국의 우려가 증가함에 따라 이를 해결하기 위한 조치를 취해 왔다. 국제자금세탁방지기구(FATF) 권고를 실제로 적용하기 위해서는 해당 권고가 각 국가의 국내 법률에 의해 이행되어야 한다. 2021년 7월 기준으로 “트래블 룰(travel rule)”이 도입된 지 2년이 지났음에도 불구하고 전 세계적으로 국제자금세탁방지기구(FATF) 권고에 부합하도록 자국의 법률을 정비한 국가는 매우 소수에 불과하다. 유럽연합(EU)은 자체 규정 등에 국제자금세탁방지기구(FATF) 기준을 반영하기 위한 조치를 취해 왔으며, 27개 회원국 전체에 적용될 공통 규제를 마련하고 있다. 이러한 체계는 가상자산과 가상자산 서비스 제공자의 일반적인 규제를 위한 것((MiCA)과 국제자금세탁방지기구(FATF)의 “트래블 룰”을 적용하기 위한 것(자금 이전 규정의 개정안(Recast regulation on transfer of funds))을 모두 포함한다.

본 연구를 위해 수행된 문헌조사와 여러 유럽연합 회원국 및 제3국 관할권과의 인터뷰 결과는 각 국가가 가상자산과 가상자산 서비스 제공자를 서로 다른 방식으로 규제하고 있음을 보여준다. 일부 국가는 기존 법률로 이를 규제하는 반면, 다른 국가는 맞춤형 법률(tailor-made laws)을 제정하고 가상자산 서비스 제공자(VASP) 등록 제도(registers)를 도입하였다. 그러나 모든 국가는 가상자산 서비스 제공자(VASPs)를 자금세탁방지 및 테러자금조달방지(AML/CFT) 법률의 적용 대상에 포함시키고 있다. 또한 유럽연합 내부와 유럽연합 외부의 일부 국가는 이미 국제자금세탁방지기구(FATF)의 “트래블 룰”을 자국 법체계에 도입하였거나, 현재 도입하는 과정에 있다.

본 연구에 따르면 모든 관할권의 자금세탁방지 및 테러자금조달방지(AML/CFT) 법률은 가상자산 서비스 제공자(VASPs)를 규제 한다. 이 경우 다른 의무 이행 주체(obliged entities)와 마찬가지로, 가상자산 서비스 제공자(VASPs)는 고객과 거래 관계를 시작하거나 일회성 거래를 수행할 때 고객확인(Know-Your-Customer, KYC) 및 고객실사(Customer Due Diligence, CDD) 정보를 수집하고 보관할 의무가 있다. 또한 의심스러운 가상자산 거래가 있을 경우 의심거래(Suspicious Activity Reports/Suspicious Transaction Reports, SARs/STRs)를 국가의 금융정보분석기관(FIU)에 보고해야 한다. 이러한 보고에는 고객확인 및 고객실사(KYC/CDD) 정보가 포함된다. 그러나 국제자금세탁방지기구(FATF)의 “트래블 룰(travel rule)”이 아직 도입되지 않은 국가에서는, 거래의 당사자인 두 가상자산 서비스 제공자(VASPs) 간에 거래 송신자(originator)와 수취인(beneficiary) 정보를 공유할 의무가 존재하지 않는다. 또한 의심스러운 가상자산 거래나 의심 거래 보고(SARs/STRs), 금융정보분석기관(FIU)의 요청이 있는 경우를 제외하면 가상자산 서비스 제공자(VASPs)가 금융정보분석기관(FIUs)에 가상자산 이용자 정보 등을 공유할 수 있는 체계가 존재하지 않는다. 따라서 금융정보분석기관(FIUs)은 특히 등록되지 않은 가상자산 서비스 제공자(VASPs), 비수탁 지갑(unhosted wallets), 그리고 국경 간 불법 가상자산 이전과 관련된 정보를 얻기 위해 자국 내 규제 대상 가상자산 서비스 제공자(VASPs)가 제출하는 의심스러운 거래보고(SARs/STRs)에 크게 의존할 수 밖에 없다. 그럼에도 불구하고, 본 연구는 가상자산 서비스 제공자(VASPs)가 고객확인 및 고객실사(KYC/CDD) 의무를 이행하고 국제자금세탁방지기구(FATF)의 “트래블 룰(travel rule)”을 구현하는 데 도움을 줄 수 있는 기술적인 해결 방안이 점점 더 많이 개발되고 있으며 이러한 기술적 방안들이 정기적으로 시장에 출시되고 있음다는 사실을 발견했다.

가상자산과 가상자산 서비스 제공자(VASPs)의 규제는 규제당국에게 여러 가지 과제를 제기한다. 그 중 가장 큰 과제는 기술 발전의 빠른 속도와 새로운 가상자산의 등장이다. 또한 국제자금세탁방지기구(FATF)의 “트래블 룰(travel rule)”의 이행은 규제당국과 가상자산 산업 모두에게 공통적인 과제를 야기한다. 이 규칙이 아직 많은 국가에서 도입되지 않았다는 점, 서로 다른 기술적 해결책들이 등장하고 있으나 상호 운용되지 않는(interoperable) 경우가 있다는 점, 그리고 등록되지 않았거나 국제자금세탁방지기구(FATF)의 트래블 룰을 준수하지 않는 가상자산 서비스 제공자(VASP)를 다른 서비스 제공자가 어떻게 정확히 식별해야 하는지에 관한 문제 등이 주요한 우려 사항이다.

가상자산 서비스 제공자(VASPs)는 이 규칙을 이행하고 그 준수를 보장하는 데 드는 비용을 가장 우려하고 있다. 규제당국의 경우 가상자산 이용자의 식별을 용이하게 하는 기술을 개발하기 위해 충분한 자원을 확보하는데 많은 신경을 쓰고 있다. 가상자산 서비스 제공자(VASPs) 간 이용자 정보를 교환하는 과정에서 데이터 보호와 프라이버시 문제 또한 문제될 수 있으며 가상자산 서비스 제공자(VASPs)가 비수탁 지갑(unhosted wallets) 간 거래를 제한 규칙 등을 어떻게 적용해야 하는지에 관하여 관할권 간 명확하고 일관된 규칙이 존재하지 않는 다는 것도 문제된다.

위에서 설명한 다양한 문제들을 해결하기 위해 본 연구는 지갑 및 거래 데이터 등록 시스템을 관리하기 위한 두 가지 가능한 구조(architecture)를 제시하고 있다. (1) 중앙집중형 구조(centralised architecture) – 모든 데이터가 유럽의 중앙 데이터베이스에 저장되는 방식, 그리고 (2) 분산형 구조(decentralised architecture) – 데이터가 각 회원국의 국가별 데이터베이스에 분산되어 저장되는 방식이다. 두 구조 모두 동일한 기능을 수행할 수 있으며 최종 사용자(end-user)의 관점에서는 두 구조 간 선택이 거의 차이를 가지지 않는다. 두 구조의 핵심적인 차이는 데이터가 저장되는 위치에 있다.

중앙집중형 구조에서는 모든 데이터가 한 곳에 함께 저장되기 때문에 데이터 접근이 더 용이하고 즉시 분석을 수행하는 것이 가능하다. 그러나 단일한 공격이 성공할 경우 모든 데이터가 침해될 수 있다는 추가적인 보안 위험이 존재한다. 분산형 구조에서는 데이터가 회원국 전반에 걸쳐 분산 저장되기 때문에, 데이터 접근이 더 복잡해진다. 이를 위해 분산형 구조에는 ‘단일 검색 인터페이스(Single Search Interface)’가 포함되어 있어 당국이 모든 데이터에 원활하게 접근할 수 있도록 할 필요가 있다. 또한 데이터가 여러 데이터베이스에 분산되어 있기 때문에 효율적인 분석 수행이 어려운 문제가 있다. 따라서 분산형 구조에는 모든 데이터의 익명화된 중앙 사본(anonymised central copy)이 포함되어야 한다. 분산형 구조의 주요 장점은 회원국이 자국 관할권에서 생성된 데이터에 대해 완전한(물리적) 소유권을 유지할 수 있다는 점이다.

두 구조 모두 가상자산서비스제공자(VASPs)와 비수탁 지갑(unhosted wallets) 간 거래를 어떻게 처리할 것인가 하는 문제는 다루지 못하고 있다. 비수탁 지갑을 둘러싼 규제 불확실성 때문에 이를 등록 시스템에 포함시키기 위한 기술적 요구사항은 아직 논의 중이며 그 결과 본 연구의 범위에서 해당 내용을 제외하였다. 향후 의사결정 과정을 지원하기 위하여, 본 논문의 타당성 연구(feasibility study)는 위에서 설명한 두 가지 옵션에 대해 개략적인 비용 분석(high-level cost analysis)도 수행하였다. 아래 표는 이러한 비용 산정 작업의 결과를 보여준다.

다만 이 분석은 개략적인 설계(high-level design)를 바탕으로 한 것이므로, 해당 비용은 상세한 비용 예측이라기보다는 최초의 참고적 지표(indicative reference)로 보아야 할 것이다. 현재 이용 가능한 정보만으로는 이러한 비용을 보다 구체적으로 추정하는 것은 불가능하다. 또한 분석 시스템(analytics system)은 단순한 대시보드 수준의 시스템일 수도 있고, 패턴 탐지와 같은 복잡한 작업을 수행할 수 있는 완전한 빅데이터 시스템일 수도 있다는 점에 유의해야 한다. 따라서 분석 시스템의 비용은 위 표에 포함되지 않았다. 만약 분석 시스템이 도입될 경우, 시스템의 원하는 복잡성 수준에 따라 10만 유로 ~ 1,000만 유로가 각 아키텍처 옵션 비용에 추가될 수 있다.

이와 같은 데이터베이스는 유럽연합(EU) 내에 이미 존재하는 은행 계좌 등록 시스템(bank account registers)과 실질적 소유자 등록 시스템(UBO registers)의 자연스러운 연장선상에 있다고 볼 수 있다. 이러한 데이터베이스를 설립할지 여부와 어떻게 설립할지는 유럽연합 입법자의 정치적 의지에 달려 있다고 본다. 기술적인 관점에서 보면 이 데이터베이스를 구축하는 것은 가능하지만, 데이터 프라이버시 및 보호, 상호운용성(interoperability), 그리고 국경 간 협력과 같은 중요한 문제들은 여전히 정치적 결정 과정에서 중요한 요소로 남게 될 것이다.

참고 : 가상자산 이용자 관련 동향과 금융정보분석기관의 접근을 위한 이용자 신원과 지갑 주소를 등록하는 중앙 데이터베이스의 구축 및 유지 가능성에 관한 연구(Study on developments with regard to virtualassets users and the possibility to set-up andmaintain a central database registering users’identities and wallet addresses accessible tofinancial intelligence units (FIUs))