글쓴이: 황원징
2025년이 저물어가는 지금, 주요 업체들은 라이선스 취득에 박차를 가하고 있습니다. 스탠다드차타드 산하의 수탁기관인 조디아 커스터디(Zodia Custody)부터 결제 대기업 스트라이프(Stripe), 그리고 코인베이스(Coinbase), 크라켄(Kraken), 서클(Circle)과 같은 암호화폐 전문 기업들은 모두 MiCA 라이선스나 미국 은행 라이선스와 같은 핵심 라이선스를 획득했습니다.
하지만 면허 취득은 시작일 뿐 끝이 아닙니다. 면허는 단순히 진입 자격만을 부여하는 것이 아니라 장기적인 규정 준수 책임도 수반합니다. 오늘날 점점 더 엄격해지는 규제 환경에서, 면허를 보유한 기관이 규정 준수 의무를 지속적으로 이행하지 못할 경우, 면허 자체가 규제 당국의 제재를 받을 수 있는 "정당한 사유"가 될 수 있습니다.
바이낸스의 기록적인 43억 달러 합의금 지급 사건과 터키에서 부과된 바이낸스 TR 벌금을 되돌아보면, 핵심적인 규제 위반 혐의는 동일한 문제점을 지적합니다. 바로 효과적인 의심스러운 거래 보고 체계를 구축하지 못했다는 점입니다. 컴플라이언스 담당자들을 긴장시키는 두 가지 약어, STR과 SAR은 단순한 양식 작성 이상의 의미를 지닙니다.
이러한 관행의 이면에는 어떤 규제 논리와 실질적인 리스크 숨어 있을까요? 이 글에서는 법률 실무를 바탕으로 심층적인 분석을 제공합니다.
개념 명확화: STR과 SAR의 차이점
이 두 용어는 업계에서 종종 혼용되지만, 각국의 법률 및 규제 체계 내에서 강조하는 바에 뚜렷한 차이가 있습니다.
의심스러운 거래 보고서(STR)는 홍콩, 싱가포르, 두바이와 같이 영미법 체계의 영향을 받는 지역에서 흔히 볼 수 있습니다. STR은 주로 이미 발생한 거래가 의심스러운지 여부를 판단하는 데 중점을 둡니다.
예를 들어, 시스템이 특정 계좌에서 단기간 내에 자금이 빈번하게 입출금되고, 자금 이동 경로에 리스크 가 높은 주소(예: 코인 믹서 또는 다크 웹)가 연루된 것으로 감지될 경우, 해당 거래에 대한 STR(서명 거래 기록)을 제출해야 합니다.
SAR(의심스러운 활동 보고서)은 일부 관할권(예: 미국의 FinCEN 시스템)에서 실제 거래가 발생하지 않았더라도 해당 행위 자체의 의심스러움을 강조하기 위해 사용됩니다. 이 개념은 바이낸스 사건에도 적용되었습니다.
예를 들어, 사용자가 고객확인제도(KYC)의 범위를 반복적으로 시험하거나, 지역 제한을 우회하기 위해 IP 주소를 자주 변경하거나, 고객 서비스에 "제한된 지역으로 송금이 가능한지"를 조심스럽게 문의하는 경우, 의심스러운 거래 보고서(SAR) 보고 의무가 발생할 수 있습니다.
맨큐는 다음과 같이 경고합니다. STR(통계 참조 척도) 개념을 사용한다고 해서 거래 흐름에만 집중해야 한다는 의미는 아닙니다. 실제로 모든 규정 준수 시스템은 형식보다 실질을 강조합니다. 자금 흐름에만 집중하고 사용자 신원 및 행동 패턴을 무시하면 보고 누락이 발생하고 규정 준수 리스크 초래될 수 있습니다.
규제 지침: 다양한 라이선스 시스템에서의 보고를 위한 핵심 사항
웹3를 해외로 확장하는 과정에서 라이선스를 취득할 지역을 선택하는 것은 해당 지역의 핵심 규제 규칙을 준수하는 데 매우 중요합니다. 지역별로 중점적으로 고려해야 할 사항은 상당히 다릅니다.
북미: FinCEN의 "종합 모니터링"
- 규제의 핵심은 은행 비밀 유지법을 준수하고 의심스러운 활동을 보고할 의무를 이행하는 것이며, 그 논리는 "보고해야 할 모든 것을 보고하라"는 것입니다.
- 주요 과제: FinCEN 시스템은 엄청난 양의 보고서를 처리하고 부서 간 데이터 공유를 가능하게 하므로, 조직의 모니터링 및 보고 역량에 매우 높은 수준의 요구 사항을 부과합니다. 미국 사용자를 대상으로 하는 모든 업무 에서는 이러한 요구 사항을 엄격히 준수하는 것이 필수적입니다.
- 맨큐는 다음과 같이 경고합니다. 미국인이 관련된 업무 의 경우, 의심스러운 활동을 감시하고 보고하는 요건을 엄격히 준수해야 합니다. 바이낸스 사례는 (제재 대상 지역에서의 활동과 같은) 리스크 고의적으로 보고하지 않는 것은 심각한 결과를 초래할 수 있는 고의적인 부정행위로 간주될 수 있음을 보여줍니다.
EU 지역: 긴밀하게 얽혀있는 여행 규정
- 핵심 규제 사항: STR 요건은 특히 MiCA 법 시행 이후 여행 규칙과 밀접하게 연관되어 있습니다.
- 주요 과제: 사용자가 1,000유로 이상을 비수탁형 지갑으로 이체할 경우, 플랫폼은 지갑 소유권을 확인해야 합니다. 확인이 불가능하거나 리스크 감지될 경우, 해당 거래는 차단되고 의심스러운 거래 보고서가 제출되어야 합니다.
- 맨큐는 여행 규정을 시행하고 사용자 경험을 고려할 때, 의심스러운 거래 보고 요건을 준수하는 것이 규정 준수와 업무 균형을 맞추는 데 핵심이라고 지적합니다.
두바이 지역: 48시간 배송 및 현지화 책임
- 주요 규제 사항: 자금세탁 방지 관련 내부고발자의 신속한 대응(예: 48시간 이내 보고) 및 현지에서의 실질적인 직무 수행에 대한 강조.
- 핵심 과제: 자금세탁방지책임자(MLRO)가 명목상의 직책에 불과하고 실제 업무는 해외 팀에서 수행하는 경우, 해당 개인의 자격이 박탈될 뿐만 아니라 인가받은 금융기관에도 영향을 미칠 것입니다.
- 맨큐는 규정 준수 업무를 아웃소싱할 수 있지만, 궁극적으로는 현지 자금세탁방지책임자(MLRO)가 해당 과정을 감독해야 하며, "시스템 문제"라고 주장하며 책임을 회피해서는 안 된다고 조언합니다.
튀르키예 지역: 사기 및 도박 관련 자금 단속에 집중.
- 핵심 규제 원칙은 암호화 자산 서비스 제공업체를 금융 기관으로 간주하고 엄격하게 규제하는 것입니다.
- 주요 과제: 규제 당국은 국가가 사기 및 도박과 같은 주요 문제 해결에 집중함에 따라 추가적인 요건을 도입할 수 있으며, 예를 들어 금액에 관계없이 이러한 활동과 관련된 모든 거래를 보고하도록 요구할 수 있습니다.
- 맨큐는 확립된 프레임 안에서 규제 동향을 선제적으로 모니터링하고, 소통을 유지하며, 관련 리스크 에 대한 모니터링 및 보고를 체계적으로 강화해야 한다고 조언합니다.
업계의 고질적인 문제점: "방어적 보도"에 주의하세요
변호사들은 특정 사례를 다루면서 많은 실무자들이 책임을 회피하기 위해 "보고를 많이 하는 것이 적게 하는 것보다 항상 낫다"는 습관을 들였다는 사실을 발견했습니다. 즉, 시스템에서 경고가 발생할 때마다 모든 것을 보고하는 것입니다. 이러한 행태는 "방어적 보고"라고 불리며 상당한 위험을 초래합니다.
금융정보 분석기관과 규제 당국 역시 정보를 효율적으로 처리해야 하는 전문가들로 구성되어 있습니다. 만약 금융기관이 가치 있는 조사 단서를 제공하지 않고 질이 낮은 보고서를 대량 제출한다면, 오히려 내부 시스템에 대한 규제 당국의 조사를 촉발할 수 있습니다. 규제 당국은 다음과 같은 의문을 제기할 가능성이 높습니다. 위험 관리 기준이 제대로 설정되어 있지 않은가, 아니면 준법감시 담당자들이 기본적인 판단력이 부족한가?
따라서 규정 준수 보고의 핵심은 양이 아니라 질에 있습니다. 무턱대고 보고서를 제출하는 것은 리스크 관리에 도움이 되지 않을 뿐만 아니라, 오히려 역량 부족을 드러내어 더욱 엄격한 규제 당국의 감시를 받을 수도 있습니다.
맨큐의 실용적인 조언: 효과적인 보고 시스템을 구축하는 방법은 무엇일까요?
암호화폐 업계의 컴플라이언스 팀은 규정 준수 비용과 규제 보안 사이의 균형을 맞추기 위해 다음 네 가지 핵심 영역에 집중해야 합니다.
1. 온체인+ 오프체인 모니터링 통합
비용 절감을 이유로 온체인 행위와 플랫폼 거래를 분리하는 것은 바람직하지 않습니다. 이러한 분리는 모델과 담당자가 사용자 정보를 종합적으로 파악하는 것을 방해하여 STR/SAR 보고서의 품질에 직접적인 영향을 미칩니다. 완전한 리스크 관점을 확보하려면 데이터 통합이 필수적입니다.
2. 모니터링 임계값을 동적으로 조정합니다.
엄격한 규칙은 불필요한 경고를 대량 발생시켜 "경고 피로"를 초래하고 실제 고위험 리스크 놓치게 할 수 있습니다. 따라서 규제 업데이트 및 사례 피드백을 기반으로 시스템 매개변수와 규칙을 정기적으로 검토하고 최적화하는 내부 샌드박스 메커니즘을 구축하여 경고의 정확성과 효율성을 확보하는 것이 좋습니다.
3. 서술형 보도 능력을 개발하십시오.
질 높은 보고서는 단순히 데이터를 모아놓은 것이 아니라, 명확하고 완벽한 서술이어야 합니다. 보고서는 누가, 무엇을, 언제, 어디서, 왜, 어떻게라는 5W1H 질문에 답해야 합니다. 그중에서도 "왜 의심스러운가?"라는 질문은 핵심이며, 논리적 일관성과 규제 기준 및 기관의 리스크 감수 수준에 부합해야 합니다. 이를 통해 "합리적인 신중함"을 발휘했음을 입증해야 합니다.
4. "미보고"에 대한 기록 유지 메커니즘을 구축하십시오.
때로는 "보고"하는 것보다 "보고하지 않는 것"을 기록하는 것이 더 중요할 수 있습니다. 수동 확인 후 경고를 보고하지 않기로 결정한 경우, 제외 사유를 시스템에 자세히 기록하고 관련 증거를 보존해야 합니다. 이는 향후 규제 조사에 대응하고 회사와 준법감시 담당자를 보호하는 데 매우 중요한 증거입니다.
위의 네 가지 사항을 활용하면 조직은 비용을 절감하면서 견고하고 효과적이며 자체 검증 가능한 규정 준수 보고 시스템을 구축할 수 있습니다.
결론
자금세탁 방지 규정을 준수하는 데에는 지름길이 없으며, "법이 일반 대중을 처벌하지 않는다"는 말은 사실이 아닙니다.
전 세계적으로 암호화폐 부문에 대한 규제 당국의 감시가 심화되어, 이제는 기관들이 모든 거래 데이터를 제공하고 규제 당국이 개발한 모델을 활용한 철저한 분석을 수행해야 하는 수준에 이르렀습니다. 의심스러운 거래 보고서(STR/SAR)에 대한 규제 당국의 관심은 더 이상 보고서의 양과 제출 시기에만 국한되지 않고, 각 거래가 보고되어야 하는지 여부와 보고되지 않은 이유에까지 초점을 맞추고 있습니다.
STR과 SAR의 차이점을 이해하는 것은 시작에 불과합니다. 진정한 핵심은 규제 당국의 정보 요구를 충족하는 동시에 원활한 업무 운영을 지원할 수 있는 모니터링 및 보고 시스템을 구축하는 것입니다. 이는 모든 조직에게 필수적인 과제가 되었습니다.
