가상자산과 자금세탁방지시스템(2)

COMMISSION STAFF WORKING DOCUMENT 22/554

유럽연합 위원회는 2022년에, 2017년 및 2019년 초국가적 위험 평가(SNRA, Supra-National Risk Assessment)에서 사용된 방법론을 이용해 범죄자들이 사용하는 수법과 연관된 자금세탁 및 테러자금조달 위험을 체계적으로 분석하는 보고서를 발표했다. 본 보고서의 목적은 특정 분야의 서비스와 상품이 자금세탁(ML) 또는 테러자금조달(TF) 목적으로 악용될 수 있는 상황을 파악하는 것이었다.

이전 보고서들과 마찬가지로, 본 SNRA는 법적 체계와 그 실질적 적용 측면 모두에서 유럽연합의 취약성에 중점을 둔다. 본 보고서는 역내 시장에 대한 주요 위험 요소와 해당 분야 전반에 영향을 미칠 수 있는 취약성을 모두 검토했다. 또한 이러한 위험에 대응하기 위해 EU 및 국가 차원에서 취해야 할 조치를 제시하고 관련 행위자에 대한 여러 권고 사항을 제시하고 있다.

지침 2015/849('제4차 자금세탁방지지침') 제6조 제4항 및 지침 2018/843('제5차 자금세탁방지지침', 이하 '자금세탁방지지침' 또는 'AMLD')에 따라, 회원국이 이전 SNRA 권고 사항 중 일부를 적용하지 않기로 결정하는 경우, 집행위원회에 그 결정을 통보하고 이에 대한 정당한 사유를 제시해야 한다. 2022년 당시까지는 집행위원회에 이와 관련한 어떠한 통보도 받은 바 없다고 명시되어 있다.

동 보고서의 가상자산 관련 페이지를 살펴보면 그 내용은 다음과 같다.

자금세탁·테러자금조달 위험 노출을 증가시키는 주요 요인으로는 가상자산 거래의 제한적인 투명성과 해당 거래에 관여하는 개인의 신원 파악 어려움이 지적된다. 다만, 공개 분산원장에서 이루어지는 가상자산 거래는 변경 불가능한 흔적을 남기며 누구나 열람할 수 있다는 점을 유의할 필요가 있다. 이러한 가상자산 거래를 통해 자금세탁·테러자금조달에 가담하는 자는 자신의 거래가 공개적인 감시에 노출되는 위험을 감수하게 된다.

수탁형 지갑 서비스 제공자와 가상자산-법정화폐 간 환전 서비스 제공자는 현재 자금세탁방지지침(AMLD)상 의무 대상 기관으로 정의됨으로써 자금세탁방지·테러자금조달차단(AML/CFT) 법적 체계의 적용을 받는다. 관련 규정은 이미 적용 중이며 모든 회원국이 2020년 1월까지 국내법으로 전환했어야 하는데, 아직 해당 규정을 국내법으로 전환하지 않은 회원국이 존재하는 상황이다.

2020년 9월 발표된 유럽집행위원회의 가상자산 시장에 관한 규정(MiCA) 제안은 유럽연합의 금융서비스 규제 범위를 가상자산 분야로 확대하는 효과를 가져올 것이 기대된다. 2021년 7월 유럽연합이 자금세탁방지/테러자금방지(AML/CFT) 체계 강화를 위해 발표한 제안에 따라, 자금세탁방지(AML) 규정은 가상자산 시장에 관한 규정(MiCA)의 적용을 받는 모든 가상자산 서비스 제공자로 확대될 예정이다. 이는 또한 유럽연합의 자금세탁방지/테러자금방지(AML/CFT) 규정을 국제자금세탁방지기구(FATF)의 최신 국제 기준 및 지침과 일치시키는 효과도 있을 것이 기대된다.

그러나 가상자산 및 관련 산업과 연관되어 있으나 해당 분야의 기존 법적 체계에 완전히 부합하지 않아 발생할 수 있는 문제에는 여전히 각별한 주의가 요구된다. 특히 대체불가능토큰(NFT)의 경우가 그에 해당하는데, 대체불가능토큰(NFT)은 디지털 자산에 대한 복제 불가능한 디지털 소유권 증서로 기능하는 고유 토큰을 나타내는 자산으로, 그 법적 성격은 관할권에 따라 달리 분류될 수 있다. 자금세탁 위험에 대한 노출은 주요 대체불가능토큰(NFT) 플랫폼에서 고객 확인(CDD) 절차가 제한적으로 적용되는 점, 그리고 대체불가능토큰(NFT)을 이용해 자금의 출처와 목적지를 은폐하기 위한 목적으로 설계된 서비스들이 다수 등장하고 있다는 점에서 비롯된다. 범죄자들은 계정을 개설하고 다수의 대체불가능토큰(NFT)을 등록한 뒤, 해당 대체불가능토큰(NFT)을 부풀린 가격으로 자기 자신에게 구매하는 방식을 사용할 수 있다. 현재 대체불가능토큰(NFT)이 누리는 높은 인기와 그에 따른 고가격은 어떤 거래가 허위 거래(워시 트레이딩)이고 어떤 거래가 정상적인 매매인지를 구별하는 과정을 더욱 복잡하게 만들어 악의적인 판매로 얻은 수익을 비교적 손쉽게 은닉할 수 있는 환경을 조성한다.

또 다른 핵심 우려 사항은 가상자산 교환, 대출 또는 이체 서비스와 관련하여 발생한다. 이러한 활동은 통상적으로 규제를 받는 가상자산 서비스 제공자가 제공하지만, 분산형 또는 분산 애플리케이션을 통해 이루어지는 경우가 있다. 이는 흔히 분산원장 위에서 운영되며 이를 통제하거나 영향을 미칠 수 있는 법인 또는 자연인이 존재하지 않는 구조로, 흔히 '탈중앙화 금융(DeFi)'으로 불린다. 다수의 관할권에서는 DeFi 애플리케이션에 대한 책임을 질 수 있는 주체가 식별되지 않는 경우 이를 가상자산 서비스 제공자로 볼 수 없다는 데 광범위한 공감대가 형성되어 있는 것으로 보인다. 이는 '탈중앙화 금융(DeFi)' 애플리케이션이 기존의 자금세탁방지/테러자금방지(AML/CFT) 법령 및 국제자금세탁방지기구(FATF)가 규정한 '트래블 룰(travel rule)' 의무를 회피하는 데 활용될 수 있어 '탈중앙화 금융(DeFi)'의 자금세탁·테러자금조달 위험 노출 수준을 상당히 높이는 요인이 된다. 다만, 자격 요건과 무관하게 책임 주체 또는 관리 기구가 식별될 수 있는 경우 해당 DeFi 애플리케이션은 가상자산 서비스 제공자로 취급되어 동일한 AML/CFT 의무를 부담하게 된다. 따라서 대체불가능토큰(NFT)과 마찬가지로, '탈중앙화 금융(DeFi)' 역시 가상자산 관련 규정의 적용을 사안별로 받을 수 있으나 아직 완전히 해결되지 않은 규제상 과제를 내포하고 있어 추가적인 조치가 요구된다.

법집행 기관들은 가상자산 활동에 관여하는 거래의 제한적 투명성과 최종 고객 신원 파악의 어려움을 사기, 불법 재화·서비스 거래, 테러자금조달 등 불법 활동을 조장할 수 있는 가장 중요한 위험 요인으로 지목한다. 유로폴은 비트코인을 대다수 범죄자들이 선호하는 가상자산으로 보고 있으나, 더 높은 익명성과 거래 은폐 능력을 제공하는 익명성 강화 가상자산으로의 전환이 두드러질 것으로 예상한다. 다만, 일부 익명성 강화 가상자산은 비트코인에 비해 취득 및 거래가 더 어렵다는 점을 고려해야 할 것이다. 거래소는 거래 추적을 어렵게 하는 가상자산 간 교환 거래를 제공할 수 있으며, 탈중앙화 믹서(decentralised mixer)도 활용되고 있다.

이는 다음과 같은 특수한 어려움을 발생시킨다.

개인들이 자금세탁방지 규정의 적용을 받는 등록된 가상자산 서비스 제공자의 개입 없이 모든 자산에 대해 대규모의 가상자산 매매를 개인 간(P2P) 방식으로 직접 수행하는 경우, 그리고

가상자산 결제 서비스 제공자의 경우, 초기에는 비트코인만을 대상으로 서비스가 제공되었으나 복수의 가상자산을 지원하는 방향으로 전환이 이루어지고 있는데 이러한 업체들은 모니터링이 어려운 규제 환경을 가진 관할권에 등록하는 경우이다.

법집행 기관은 가상자산 서비스가 송금인 또는 수취인이 소재한 국가(이 자체가 전 세계 어느 곳이든 될 수 있음)가 아닌 다른 국가에서 제공되는 경우 정보 수집에 있어 어려움이 있다고 밝혔다.

1. 테러자금조달

가상자산은 일반적으로 비대면 고객 관계를 수반하며 익명의 자금 조달 또는 구매(현금 자금 조달, 또는 자금 출처가 적절히 확인되지 않는 가상 거래소를 통한 제3자 자금 조달)를 가능하게 할 수 있고, 경우에 따라서는 추적이 어려울 수 있다. 또한 송금인과 수취인이 적절히 식별되지 않을 경우 익명 이체도 허용될 수 있다. 평가 결과에 따르면 테러 단체들이 가상자산을 테러 활동 자금 조달에 활용하는 데 관심을 보일 수 있는 것으로 나타났다. 가상자산과 관련된 사례는 제한적이지만 증가하는 추세로 보고되고 있다. 금융정보기관 에그몬트 그룹(Egmont Group)은 테러 단체의 가상자산 이용 사례를 포착하였으며 일부 단체는 가상자산 이용 방법에 관한 지침을 인터넷(트위터 포함)을 통해 게시한 것으로 알려져 있다.

2. 자금세탁

가상자산은 국가 간 이전의 용이성과 더불어, 일부 관할권이 가상자산에 관한 국제자금세탁방지기구(FATF) 기준의 이행을 지연함에 따라 전 세계적으로 균일한 통제가 어려운 상황이다. 범죄자들은 가상자산 시스템을 이용하여 익명으로 가치를 이전하거나 재화를 구매할 수 있다. 가상자산 관련 자금세탁 위협 평가에 따르면, 조직범죄 단체는 가상자산을 '클린 캐시(clean cash)' 확보(입금 및 출금)에 활용할 수 있는 것으로 나타났다. 가상자산을 이용하는 것은 사이버 범죄자에 국한되지 않으며, 마약 밀매 조직 등 여타 조직범죄 단체들도 범죄 수익을 이동시키고 세탁하는 데 가상자산을 활용한다. 가상자산은 이러한 단체들이 익명으로 현금에 접근하고 거래 추적을 은폐할 수 있도록 한다. 범죄자들은 전자지갑의 개인 키를 취득하거나 현금자동입출금기(ATM)를 통해 현금을 인출하는 방식을 사용할 수도 있다.

3. 취약성

(1) 테러자금조달

유럽연합은 2018년부터 가상자산 관련 서비스를 규제하기 시작했고 자금세탁 관련 추가적인 규제(MiCA 제안 및 새로운 AML/CFT 패키지)를 이행하고 있는 반면, 가상자산이 테러 자금 조달에 악용될 위험은 이제 막 부상하고 있는 단계이다.

가상자산에 관한 국제자금세탁기구(FATF) 기준의 이행은 가상자산 서비스 제공자가 법인의 경우 법적 설립지 또는 법인 등록지에, 자연인의 경우 영업 소재지가 위치한 관할권에 등록하고, 특히 가상자산 이체의 송금인 및 수취인에 관한 정보 제공 의무 등 자금세탁 및 테러자금방지(AML/CFT) 요건을 준수하도록 요구한다. 이를 통해 가상자산 서비스 제공자를 통한 가상자산의 익명 거래 범위가 축소될 것이 예상된다.

테러자금조달 취약성은 종합적으로 평가하기 어렵다. 그러나 관할 당국 및 금융정보기관은 가상자산 서비스 제공자의 테러자금조달 위험에 대한 인식 수준이 여전히 낮은 편임을 지적하였다. 가상자산은 다음과 같은 이유로 거의 모든 부문에서 새롭게 부상하는 위험 요인으로 분류된다.

지식 및 이해 부족

기존 규정 적용상의 공백 또는 모호성

금융기관 및 신용기관이 가상자산과 법정화폐 간 중개자 또는 환전 플랫폼 역할을 수행하는 경우, 적절한 위험 평가가 부재한 상황에서 가상자산과 관련된 자금세탁 및 테러자금조달 위험에 대한 노출 증가 가능성

해당 부문은 아직 체계가 충분히 갖추어지지 않은 상태이며, 인식 제고를 위한 정책들도 최근까지 상당히 제한적이었다.

제5차 자금세탁방지지침(AMLD5)은 유럽연합 차원의 가상자산에 대한 최초 정의를 도입하고, '가상자산과 법정화폐 간 환전 서비스 제공자' 및 수탁형 지갑 서비스 제공자에게 자금세탁방지 의무를 확대 적용하였다. 회원국은 일반적인 고객 확인(CDD) 의무 외에도, 이러한 신규 의무 대상 기관들이 등록을 완료하도록 보장해야 한다. 또한 관할 당국이 적격하고 적합한 자만이 해당 기관의 관리직을 맡거나 실질적 소유자가 될 수 있도록 확보하도록 요구해야 한다. 관련 규정은 모든 회원국이 2020년 1월까지 국내법으로 전환하였어야 하나, 아직 완전히 이행되지 않은 상태이다.

특히 가상자산 시장에 관한 규정(MiCA)이 시행되며 익명 가상자산 계좌의 이용 또는 개설 금지, 그리고 현재 전자화폐 발행자 및 결제 서비스 제공자에게 적용되는 것처럼 서비스 제공 자유(freedom to provide services)를 통해 활동하는 회원국 내 연락 창구 지정 가능성을 가상자산 서비스 제공자에게도 확대 적용하는 내용을 포함한다. 이러한 새로운 규정들이 채택될 경우, 가상자산 서비스 제공자에 대한 모니터링이 크게 강화되고 국제자금세탁방지기구(FATF) 권고사항에서 요구하는 관련 조치의 준수가 보장될 것이다.

(2) 자금세탁

가상자산은 유럽연합에서 부분적으로만 규제되고 있으며 자금세탁뿐만 아니라 마약과 같은 금지 물품의 결제 수단으로 오용되고 있다. 특히, 가상자산을 현금으로 전환하는 단계에서는 현금 사용 자체가 새로운 취약 요소로 지적된다. 제5차 자금세탁방지지침(AMLD5)은 ‘가상자산과 법정통화 간 교환 서비스를 제공하는 사업자’에 대해 이러한 위험을 다루고 있다. 그러나 여전히 다양한 유형의 가상자산 관련 활동은 유럽연합 금융서비스 법제의 적용 범위 밖에 있으며, 가상자산 이전과 관련된 정보 제공 의무 또한 유럽연합 차원에서 아직 완전히 마련되지 않은 상태이다.

가상자산은 비교적 최근의 기술에 의존하고 있지만 해당 부문에서의 위험 인식 수준은 최근 상당히 개선되었다. 국제자금세탁방지기구(FATF)의 국제 기준과 유럽연합 수준에서의 그 점진적인 이행은 가상자산 활동이 위험 인식 수준을 높인 탓이다. 그러나 일부 위험은 새로운 고가 가상자산(예를 들어 예술 작품으로 간주될 수 있는 일부 대체불가능토큰)에 대한 인식의 부재와 관련되어 있다. 또 다른 위험은 일부 가상자산 서비스 제공자가 범죄 조직에 의해 통제될 가능성과 관련되어 있다(즉, 조직범죄 집단에 의해 인수된 경우이거나 가상자산 서비스 제공자가 조직범죄 집단에 의해 설립된 경우).

지침 (EU) 2018/843은 유럽연합 내에서 가상자산이 초래하는 자금세탁 및 테러자금조달 위험을 다룬 최초의 법적 규제 수단이었다. 이 지침은 자금세탁 및 테러자금방지(AML/CFT) 프레임워크의 범위를 두 유형의 가상자산 서비스 제공자로 확장하였다:

가상자산과 법정통화 간 교환 서비스를 제공하는 사업자

수탁형 지갑 제공자

급속한 기술 발전과 국제자금세탁방지기구(FATF) 기준의 진전에 따라 이 접근방식을 재검토할 필요가 있는 것으로 판단된다. 가상자산 시장에 관한 규정(MiCA)에 따르면 관련 서비스 제공자는 제3자를 대신하여 가상자산을 보관 및 관리하는 것, 가상자산 거래 플랫폼을 운영하는 것, 가상자산을 자금으로 교환하는 것, 가상자산을 다른 가상자산으로 교환하는 것, 제3자를 대신하여 가상자산에 관한 주문을 집행하는 것, 가상자산을 발행·유통하는 것, 제3자를 대신하여 가상자산 주문을 수령 및 전달하는 것, 가상자산에 관한 자문을 제공하는 것, 그리고 가상자산에 관한 포트폴리오 관리를 제공하는 것 등이 포함된다.

가상자산시장에 관한 규정(MiCA)에 따르면 이러한 서비스 제공자들은 인가를 받아야 하며, 그들의 고위 경영진이 적격성 및 적합성 심사를 받아야 한다. 2021년 7월의 집행위원회 제안은 유럽연합의 자금세탁방지 및 테러자금방지(AML/CFT) 프레임워크를 강화하기 위한 것으로, 국제자금세탁방지기구(FATF) 기준 요구사항에 부합하도록 자금세탁방지지침(AMLD)의 적용 범위를 가상자산 시장에 관한 규정(MiCA)이 포괄하는 모든 가상자산 서비스 제공자로 규정한다. 이러한 규제는 트래블 룰을 도입하고 익명 가상자산 계좌의 사용 또는 개설 가능성을 종식시킬 수 있으며, 회원국이 자국 내에 설립되어 있으나 본점이 다른 회원국에 위치한 가상자산 서비스 제공자에게 중앙 연락 지점의 지정을 요구할 수 있다(이는 현재 전자화폐 발행자 및 지급서비스 제공자에 대해서 이미 적용되고 있는 것과 동일한 경우이다). 이러한 새로운 규칙은 채택될 경우, 가상자산 서비스 제공자에 대한 감독을 상당히 강화하고, 국제자금세탁방지기구(FATF) 권고에서 요구되는 관련 조치의 준수를 보장할 것이다.

테러자금조달과 자금세탁과 관련하여, 위협 수준은 매우 중대한(4) 것으로 평가되었으며, 취약성 수준 또한 매우 중대한(4) 것으로 평가되었다.

유로폴은 주소 및 거래를 분석하여 지리적 위치 데이터 또는 가상자산을 구매하는 데 사용된 가상자산 거래소와 같은 중요한 정보를 확보하기 위해 블록체인 분석 도구의 활용을 고려하여야 하며, 법집행기관 공동체에 제공되는 코인베이스 서비스를 활용하는 것도 고려하여야 한다고 밝혔다. 유럽연합 회원국들은 자신들의 운영 데이터(식별자)를 코인베이스(가장 큰 교환 사업자 중 하나)와 교차 확인함으로써, 법인·개인·IP 주소·비트코인 주소 등에 관한 유용한 정보를 얻을 수 있다.

규제 당국은 가상자산 서비스 제공자와 지속적으로 교류하여 새로운 자금세탁방지 및 테러자금방지(AML/CFT) 규제 사항에 대한 인식과 이해를 제고하고, 이러한 규제 사항에 대한 전문성을 공공부문에서도 촉진하도록 해야 한다. 또한 수탁형 지갑 제공자 및 가상자산와 법정통화 간 교환 서비스를 제공하는 사업자에 대한 감독 권한을 가진 당국은 해당 기업들로부터 발생하는 위험에 대해 공식적인 부문별 평가를 수행하고, 이용 가능한 법적 수단을 활용하여 위험 인식 제고 및 지침 제공을 촉진하여야 한다.

규제 당국은 자신들이 감독하는 금융 부문이 가상자산과 관련된 위험에 특히 노출되어 있는 정도를 검토하여야 하며, 예컨대 가상자산을 취급하는 기업을 고객으로 수용하는 경우와 같은 상황을 고려하여, 적절한 경우 해당 위험에 대한 인식을 제고하기 위한 조치를 취하여야 한다. 또한 가상자산의 발전을 면밀히 모니터링하고, 앞서 언급된 유럽연합 집행위원회의 입법 제안을 고려하여 국가 차원의 자금세탁방지 및 테러자금방지(AML/CFT) 법적·규제 프레임워크에 대한 변경이 필요한지 평가하여야 한다.

더 나아가 규제 당국은 대체불가능토큰(NFT) 판매 플랫폼이 고객확인 의무 및 기타 자금세탁방지 및 테러자금방지(AML/CFT) 의무의 적용을 받는 의무 대상자 범주에 포함되도록 보장하여야 하며, 디파이(DeFi) 애플리케이션이 의무 대상자로서의 책임을 회피하면서 가상자산 서비스 제공자 기능을 수행하지 않도록 추가적인 규제를 고려하여야 한다. 또한 그 운영을 강화하여, 신고된 디파이의 활동에 대해 책임을 부담하여야 할 숨겨진 관리 주체가 존재하지 않도록 감독을 강화하여야 한다.

자금세탁 및 테러자금조달의 국경 간 특성을 고려할 때, 회원국들은 국제 협력을 모색하고, 관련 당국이 자금세탁 및 테러자금조달의 예방 및 대응을 위해 유로폴과 같은 기관에 지원을 요청하도록 장려하여야 한다. 가상자산 서비스 제공자들은 트래블 룰과 같은 새로운 자금세탁방지 및 테러자금방지(AML/CFT) 의무를 효과적으로 이행할 수 있도록 준비하여야 하며, 이를 위해 트래블 룰 솔루션 개발 등을 포함한 조치를 취하여야 한다. 유럽연합 집행위원회에 대해서는, 가상자산 및 모든 가상자산 서비스 제공자가 자금세탁방지 의무, 특히 가상자산 이전에 수반되는 정보에 관한 국제자금세탁방지기구(FATF) 트래블 룰의 적용을 적절히 받도록 보장하기 위해 규제 프레임워크를 보완할 수 있는 적절한 방안을 평가할 것이다. 또한 회원국이 자국 영역 내에 설립되어 있으나 본점이 다른 회원국에 위치한 가상자산 서비스 제공자에게 중앙 연락 지점의 지정을 요구할 수 있도록 하는 가능성을 부여하는 방안을 검토할 것이다(이는 현재 전자화폐 발행자 및 지급서비스 제공자에 대해서 이미 적용되고 있는 방식이다). 아울러 익명 가상자산 지갑의 개설·보관 및 사용을 금지할 가능성도 평가할 것이다. 2022년에는 제5차 자금세탁방지지침의 이행 및 회원국들의 FATF 기준 이행 노력에 관한 보고서를 발간할 예정이다.

출처 : COMMISSION STAFF WORKING DOCUMENT Accompanying the document REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the assessment of the risk of money laundering and terrorist financing affecting the internal market and relating to cross-border activities {COM(2022) 554 final}