이지연 KaAML 연구위원

글: 이지연 한국자금세탁방지학회(KaAML) 연구위원 / 동국대학교 국제정보보호대학원

국제자금세탁방지기구(Financial Action Task Force, 이하 FATF)는 40개의 권고사항을 통해 각 국가, 감독기관, 금융기관 등이 자금세탁 및 테러자금조달 방지를 위해 지켜야 하는 국제적 기준을 1990년도부터 제시하고 있다.

FATF의 40개 권고사항 중 첫 번째는 위험평가와 위험기반 접근법(RBA)의 적용에 관한 것으로, 각 국가가 자금세탁 및 테러자금 조달 위험을 확인하고 평가하여 위험을 효과적으로 경감시킬 수 있도록 위험기반 접근방식을 채택하도록 권고하고 있다.

위험기반 접근법은 자금세탁방지 제도의 근간이 되는 개념이나, 우리나라에서는 RBA를 활용한 자금세탁방지에 대한 실무 적용이 아직 부족한 상황이다. 금융회사의 RBA 업무는 전사적 위험관리가 아닌 자금세탁방지의 특정 영역으로 인식되고 있으며, 실무적으로는 금융정보분석원의 위험평가 대응 중심으로 이루어지고 있다.

국내 금융 회사들은 금융정보분석원의 RBA(위험기반 접근법) 가이드라인에 따라 AML/CFT(자금세탁 및 테러자금 조달 방지) 위험을 식별, 분석, 평가하고 이를 효율적으로 완화하기 위한 적절한 통제 절차를 갖춰야 한다.

이를 위해 금융 회사들은 인적, 물적 자원을 위험 영향이 큰 부분에 집중 투입하고, 영향이 작은 부분에 대해서는 간소화된 조치를 마련해야 한다.

RBA의 적용은 AML 리스크가 무엇인지 정의하는 것에서 시작한다.

금융정보분석원의 RBA 해설서에 따르면, 금융 회사들이 식별해야 하는 위험은 자금세탁/테러자금조달 위험(ML/TF 위험)과 내부통제 위험 두 가지로 구분된다. 이러한 위험은 금융 회사의 사업을 영위하며 가질 수밖에 없는 내재적 위험(Inherent Risk)으로, 금융정보분석원은 이를 방지·경감하기 위한 조치를 이행하지 못하거나 규정을 준수하지 못할 위험을 '내부통제위험'으로 정의한다.

금융정보분석원(KoFIU)은 금융 회사의 위험 관리 수준을 측정하기 위해 위험관리수준 평가제도를 운영하고 있다. 이는 각 회사의 내재적 위험과 내부통제 위험을 비교 평가하여 통제 활동의 효과를 파악하는 방식이다.

또한, 국제적으로 제재 리스크(Sanction Risk) 역시 고려되어야 한다.

미국 및 글로벌 감독당국에 의한 제재로 인해 글로벌 금융 기관 및 국내 금융 기관들이 과태료를 부과받는 사례가 증가하고 있다. 특히 우리나라는 무역 비중이 높고, 국내 은행의 규모가 크지 않아 외국의 대응 은행(Corresponding Bank)에 의존하는 경우가 대부분이다.

그러나 국내 은행의 해외지점에서는 인력 등의 문제로 FATF 규정을 제대로 지키지 못하거나 적절한 시스템이 마련되어 있지 않은 경우가 많다. 위반 시 해당국으로부터 거액의 벌금을 부과받을 뿐만 아니라 달러 결제 기능이나 해당국에서의 라이센스를 상실할 수도 있다. 따라서 제재 리스크는 금융 회사에서 매우 주의 깊게 다뤄야 하는 리스크 영역이다.

AML 리스크 관리 현황 및 한계점

앞서 살펴본 바와 같이 AML 리스크는 크게 다음과 같이 3가지로 구분할 수 있다.

① 금융회사가 비즈니스를 수행하면서 발생하는 내재적 위험 (비즈니스 영역)

② 내재적 위험을 관리하기 위한 내부통제 활동 수행 관련 위험 (내부통제 영역)

③ 글로벌 제재와 관련된 Sanctions 리스크 (글로벌 제재 영역)

자금세탁 위험은 회사가 수행하는 각 비즈니스 영역에서 발생 가능한 위험, 그리고 그 위험들을 적절하게 통제하는 내부 프로세스와 글로벌 제재 위험까지 아우르는 전사적 리스크 관리 영역으로 볼 수 있다. 그러나 현재 국내 금융회사들은 이러한 자금세탁 리스크를 체계적으로 관리하고 있지 못한 실정이다.

국내 은행들은 BIS의 회원으로서 바젤 Ⅰ, Ⅱ, Ⅲ 규정을 준수하여 신용 리스크, 시장 리스크, 그리고 운영 리스크 관리체계를 강화해왔지만 법률 리스크나 평판 리스크, 자금세탁과 관련된 리스크 등 정형화되지 않은 리스크들에 대해서는 관리가 부족하다.

실무 측면에서 보면, 자금세탁방지 업무는 운영 리스크 관리 영역에 내부통제 및 준법감시 모니터링이 추가된 것으로 볼 수 있다.

하지만 우리나라 금융회사들은 자금세탁방지 업무를 주로 준법감시인 산하 조직에서 수행하고 있다. 이러한 조직 구성의 한계로 인해, 금융회사의 자금세탁 위험관리는 전사 리스크 관리 측면이 아닌 STR, CDD 등 자금세탁방지 활동의 특정 영역으로 수행되는 경우가 많다. 또한, RBA는 금융정보분석원의 위험평가 대응 업무로만 인식되기도 한다.

자금세탁 위험은 특정 부서나 업무 프로세스에서만 발생하지 않는다. 회사 전체 업무에 걸친 업무에서 각 비즈니스 영역별로 자금세탁 위험을 지속적으로 식별하고 관리해야 하는 업무이다.

영업점에서 고객 업무를 직접 수행하는 직원들은 자금세탁 위험에 대한 인식이 상대적으로 높지만, 본부 부서 직원들은 자금세탁방지 업무를 준법 관련 부서의 영역으로만 생각하고, 자신의 업무와는 관련이 없다고 인식하는 경우가 많다.

예를 들어, 은행에서 펀드, 신탁 등 투자상품을 소싱하는 부서는 상품 제조 과정이나 자금 모집 과정에서 자금세탁 위험이 발생할 가능성을 상품 출시 과정부터 면밀히 검토해야 하지만, 현실은 상품 출시 전 신상품 위험평가 체크리스트 작성 수준에서 위험평가가 이루어진다.

최근 일부 금융회사에서는 법률 위반에 따른 제재 위험을 줄이기 위해 STR이나 CDD 업무를 본부 집중화하는 프로세스를 도입하고 있다. 이러한 프로세스는 법률 위반 가능성을 낮추고 보다 정확한 모니터링 업무를 수행할 수 있는 이점이 있지만 의심거래보고가 본부 전문 모니터링 요원들에 의해 처리되다 보니 자칫 일선 영업점 직원들이 해당 고객 거래에 대한 인지를 하지 못하는 경우가 발생할 수 있다. 이로 인해 자금세탁방지 업무가 본부 일부 부서에서만 수행되는 것으로 잘못 여겨질 가능성도 있다.

자금세탁 위험관리의 발전적 개선 방향 제언

최근 몇 년 동안 글로벌 금융 산업은 자금세탁 및 테러자금 조달과 관련된 이슈에 높은 관심을 기울이고 있다. 금융회사들은 이러한 이슈의 중요성을 인식하고 있으며 인적, 물적 자원을 확대하는 추세다.

그러나 아직도 많은 금융회사들이 글로벌 수준의 자금세탁 위험관리를 구현하는 데 어려움을 겪고 있다. 이러한 상황에서 금융 감독당국과 금융회사가 함께 노력해야 할 부분들을 살펴보고자 한다.

첫째, 금융 감독당국은 자금세탁 위험평가 제도의 운영상 발생하는 문제점을 해결하기 위해 검사와 감독의 방향을 전환할 필요가 있다.

현재까지의 검사·감독은 건수 지적과 과태료 부과에 초점을 맞추고 있지만 금융회사가 자금세탁 방지에 효과적인 내부 통제를 구축하고 운영하는지 확인하는 방향으로 전환해야 한다. 이를 위해 감독당국은 금융회사의 자금세탁 방지 역량 제고를 위한 컨설팅 측면에서 개선 사항을 제시해야 한다.

둘째, 금융정보분석원은 금융회사의 위험평가 데이터를 적극적으로 활용하는 방안을 모색해야 한다.

현재 대부분의 금융회사는 금융정보분석원 시스템에 자체 위험평가 지표를 입력하고 있지만 이러한 데이터는 검사·감독 참고자료로만 활용되고 있다. 금융회사의 위험평가 데이터를 분석하여 우수 사례와 개선 사례를 도출하고 이를 금융회사에 제공한다면, 자금세탁 방지 업무 수준이 전반적으로 향상될 것으로 기대할 수 있다.

셋째, 금융회사는 기술적 측면에만 치중하지 않고 전사적인 자금세탁 위험관리에 지속적인 노력을 기울여야 한다.

이를 위해 의사결정 과정, 내부 결재, 제도, 시스템 등 각 부분에 걸쳐 자금세탁 위험관리가 철저하게 이루어져야 한다. 이를 위해 금융회사는 내부 및 외부의 자금세탁 위험을 지속적으로 식별하고 평가한 후, 이를 위험 경감 활동에 반영해야 한다.

넷째, 금융회사 임직원의 인식 변화가 필요하다.

준법 부서가 회사 전체의 자금세탁 위험을 총괄하고 통제 활동을 설계하고 운영하는 것이 중요하지만, 실질적인 통제는 프론트(front) 부서에서 이루어져야 한다. 이를 위해 프론트 부서의 통제 활동이 고도화되어 전사적인 자금세탁 리스크 관리가 이루어져야 한다.

다섯째, 경영진의 관심과 지원이 필수적이다.

자금세탁방지 체계 구축은 단순히 비용이 아니라 투자로 간주되어야 하며, 회사의 전폭적인 지지가 필요하다. 국제사회의 자금세탁방지 제재가 강화되고 국가 간 금융 거래가 활발해지는 상황에서 국내 금융회사의 자금세탁방지 역량 강화를 위한 비용과 인력 투자가 필수적이며, 이는 경영진의 적극적인 관심과 지원이 없으면 이루어질 수 없다.

자금세탁 위험을 이해하고 관리하는 금융회사 입장에서, 현황과 발전적 개선 방향을 살펴보았다. 가상자산 이슈, 디지털 금융의 발전, 다양한 금융 서비스의 등장 등으로 인해 자금세탁방지 업무의 중요성은 점점 커지고 영역도 확장될 것이다. 글로벌 수준에 맞춰 국내 자금세탁방지 역량 제고를 위한 감독당국과 금융회사의 노력은 지속적으로 이루어져야 한다.

그러나 고객 정보 및 상세한 금융거래 정보를 다루는 자금세탁방지 업무 특성상, 현재 금융회사들의 자금세탁방지 업무는 폐쇄적인 측면이 있다. 법에서 정한 비밀유지 의무는 엄격하게 지켜야 하지만, 법을 위반하지 않는 범위에서 감독당국과 금융회사 간, 그리고 다양한 업권 간 정보 공유가 보다 적극적으로 이루어져야 한다.

또 자금세탁방지 전문 인력 간의 네트워킹이 활성화되고 업무 노하우 및 자금세탁 관련 정보가 활발하게 공유되면, 금융회사의 자금세탁방지 업무 수행에 큰 도움이 될 것이다.

이 문제를 해결하기 위해 금융회사 임직원들에 대한 교육 및 인식 개선을 위한 지속적인 노력이 필요하다. 자금세탁방지 업무에 대한 이해도를 높이고, 전사적 리스크 관리의 일환으로 자금세탁 위험관리를 수행할 수 있도록 기업 문화를 변화시키는 것이 중요하다. <끝>

* 본 컬럼은 본지의 편집 방향과 무관합니다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지