블록체인 특성상 현금보다 자산 추적 더 쉬워…AML과 KYC로 촘촘히 규제 가능
하지만 체이널리시스에서 최근 발표한 ‘2022 가상 자산 범죄 보고서’에 따르면 2021년 전 세계에서 약 86억 달러의 가상 자산이 세탁됐다. 이는 전년 대비 무려 30%나 증가한 것이다. 많은 사이버 범죄자들이 가상 자산을 통한 자금 세탁에 가담하고 있다는 사실은 부인하기 어렵다.
가상 자산이 익명으로 거래가 진행되기 때문에 범죄자들의 자금 세탁에 사용된다는 오해가 많다. 현실은 반대다. 가상 자산이 가진 블록체인의 고유한 투명성에 따라 가상 자산 수사가 전통적인 금융 수사보다 더 용이해지고 있다. 블록체인은 거의 모든 가상 자산 거래의 영구적인 공개 장부 역할을 한다. 이 때문에 수사관이 가상 자산 주소 간의 자금 이동을 추적할 수 있게 한다. 이런 일들이 가능했던 배경에는 자금세탁방지(AML : Anti-Money Laundering)와 고객확인제도(KYC : Know Your Customer)가 있다.
먼저 AML은 가상 자산 도입에 매우 중요한 조건이다. AML은 범죄자들이 불법적으로 획득한 가상 자산을 법정 통화로 전환하는 것을 막기 위해 고안된 법·규정·관행을 포괄한다.
AML을 적용하기 위해 가상 자산 거래소, 스테이블 코인 발행사 등과 같은 이른바 가상 자산 사업자(VASP)와 일부 대체 불가능한 토큰(NFT) 마켓 플레이스는 거래 내역을 모니터링하는 컴플라이언스 담당자를 배치해 고객을 파악하고 의심스러운 활동을 지속적으로 감시한다. 이상 거래가 감지되면 VASP는 관련 규제 기관에 이 정보를 의심 거래 보고(suspicious transaction report)하고 규제 기관은 체이널리시스 리액터와 같은 블록체인 거래 분석 도구를 사용해 자금 흐름을 조사해 범인을 추적한다.
‘오라클’ 등 블록체인 거래 분석 도구 활용
지난 3월 25일 시행된 트래블 룰도 AML의 활동 중 하나다. 트래블 룰이 적용되면 이용자의 환산 금액 기준 100만원 이상의 가상 자산 거래가 발생할 경우 VASP는 관련 정보를 수집해야 한다. 기존 금융권에서 당연하게 받아들여지고 있는 규정을 가상 자산에도 도입한다고 이해하면 쉽다.
최근 우크라이나를 침공한 러시아에 대한 국제 사회의 제재가 본격화되면서 제재 대상에 대한 AML이 보다 강화되고 있다. 블록체인의 투명성을 감안할 때 러시아 정부나 금융권 인사들이 가상 자산 제재를 피하기는 어려울 것으로 보인다.
업계에서도 국제 사회의 제재에 발 맞춰 어떤 가상 자산 조직과 프로토콜이든 사용자가 제재 대상과 관련된 가상 자산 지갑과 거래하는지 신속하고 쉽게 확인할 수 있는 툴을 제공하고 있다. 체이널리시스가 무료로 공개한 가상 자산 제재 감시 툴인 ‘오라클’이 대표적인 예다.
이런 툴을 활용해 가상 자산 지갑 주소가 제재 구역에 속한 주소로 판별되면 해당 주소의 거래는 금지된다. 이를 통해 러시아 금융 제재에 동참하게 되는 것이다.
한국의 주요 거래소와 은행 등 금융사들도 이러한 국제 사회의 제재에 대해 AML을 강화하고 컴플라이언스 업무를 개선하는 등 대응에 나서고 있는 상황이다. 러시아·우크라이나 전쟁에 따른 국제 사회의 대러시아 금융 제재와 관련해 해외 송금 및 수출입 거래 대금 지급 또는 회수가 지연 또는 거절되거나 자금 동결이 발생할 수 있기 때문에 그 어느때보다 AML이 중요해졌다고 볼 수 있다.
범인 실체는 KYC로 파악 가능
의심 거래가 확실하다면 범인의 실체를 파악하는 데 가장 중요한 활동은 바로 KYC다. KYC는 VASP가 요구하는 고객 확인 절차를 말한다. 은행에서 고객의 신분 확인을 위해 주민등록증과 같은 신분증을 요구하는 것과 비슷한 개념이다. 한국에서는 2021년 9월 ‘특정금융거래정보의 보고 및 이용에 관한 법률(특금법)’이 시행되면서 주요 가상 자산 거래소들이 KYC 룰을 따르기 시작했다.
일반적으로 KYC는 ‘고객 식별, 고객 실사, 지속적인 모니터링’ 등 세 가지 단계로 나눠진다.
고객 식별 단계에서는 VASP가 KYC의 고객 식별 프로그램(customer identification program)을 통해 고객의 신원을 확인할 수 있다.
이를 위해서는 개인 고객은 이름·생년월일·주소·운전면허증·여권 등의 서류가 필요하다. 법인 고객은 사업자등록증과 같은 서류가 필요하다.
둘째는 KYC에서 아주 중요한 고객 실사(customer due diligence)다. 이 과정을 통해 고객의 기본 배경 조사와 거래 감사를 진행하며 이를 토대로 각 고객에 대한 위험 평가를 실시한다. 은행에서 상품을 판매하기에 앞서 투자자의 성향을 파악하는 과정과 비슷하다. 은행에선 고객의 자산 규모, 과거 투자 행태 등의 정보를 통해 투자자의 성향을 파악한다.
마지막으로 지속적인 모니터링을 통해 의심스러운 활동이 감지되면 VASP는 금융정보분석원(FIU)과 같은 규제 당국에 보고하게 된다. 규제 당국은 해당 거래를 추적, 수사를 진행하고 범인을 검거하게 된다.
체이널리시스와 같은 블록체인 데이터 분석 플랫폼 기업은 이러한 단계를 지원하고 보완하기 위해 고객거래확인(KYT : Know Your Transaction) 서비스를 지원하고 있다. 이러한 서비스는 지속적인 거래 모니터링을 통해 이상 거래 패턴을 자동 감지하고 실시간 경고와 심층 조사를 돕는다. 이 덕분에 많은 VASP와 규제 당국의 담당자는 이러한 자금 세탁의 대부분을 시작하기도 전에 차단할 수 있다. 최근에는 러시아 금융 제재와 관련된 주소 리스트를 무료로 제공해 자금 세탁 방지를 미연에 방지할 수 있도록 지원한 바 있다.
가상 자산은 글로벌 금융망을 확대하고 재편하고 있다. 오랫동안 기존 금융 서비스에서 해왔던 AML과 KYC도 이제 가상 자산 환경으로 확장됐다. 정부와 가상 자산 관련 기업들이 효과적인 AML와 함께할 때 범죄자의 자금 세탁에 대해 더 강력한 통제력을 발휘할 수 있을 것이다. 또 범죄를 시도한다고 해도 KYT서비스를 통해 수사관이 보다 쉽게 범죄자를 추적하고 가상 자산을 압류하고 처벌할 수 있을 것이다.
백용기 체이널리시스 한국지사장 yongkhi.paek@chainalysis.com
© 매거진한경, 무단전재 및 재배포 금지