지난호 글(“강도를 더하는 글로벌 ‘자금세탁’ 규제”)에서 매년 강도를 더하는 글로벌 자금세탁 규제를 소개한 바 있다.

FATF(Financial Action Task Force, 자금세탁방지 국제기구)를 중심으로 미국과 유럽의 규제가 자금세탁 규제를 선도하고 있으며, 대만 메가뱅크와 중국 농업은행의 뉴욕 지점에 제재금이 부과된 이유, 그에 따른 규제사항도 간략히 살펴봤다.

첫 번째 글이 게재되는 동안에도 ‘자금세탁방지’를 위한 감시와 규제는 계속됐다.

지난 12월 15일, 이탈리아의 대표적 상업은행 인테사상파올로(Intesa SanPaolo) 금융그룹의 뉴욕 지점이 2002년부터 발생한 이란과의 거래 및 조사관에게 중요 혐의 정보를 숨긴 혐의로 2.35억 달러의 제재금과 함께, 매년 평균 4조 달러에 달하는 환거래를 해지 당한 것이다.

뉴욕금융감독청(NYSDFS)이 올해 외국계 금융 기관에 자금세탁방지 규정 위반으로 부과한 세 번째 금전적 벌금이다.

이러한 규제와 제재는 날로 강화되고 있다.

EU에서는 2015년 5월, 2005년에 제정ㆍ운영하던 ‘제3차 EU 자금세탁방지 지침(3rd EU Money Laundering Directive)’을 폐지하고, FATF(자금세탁방지 국제기구)의 2012년 권고사항을 반영한 ‘4차 EU 자금세탁방지 지침’을 제정ㆍ발표하고 2017년 6월 26일까지 신규 의무를 준수하도록 하고 있다.

또한 미국은 연방 은행비밀법(BSA; Bank Secrecy Act)의 애국법Ⅲ(Title III USA PATRIOT Act)을 근간으로, FATF의 권고사항을 받아들여 다수의 연방 법규와 주별 법으로 제정 관리하고 있으며, 규제 기관마다 독자적인 권고 사항이 복잡하게 운영되고 있다.

따라서 이번 글에서는 ‘4차 EU 자금세탁방지 지침’과 2017년부터 강화될 미국의 규제를 간단히 소개한다.

◆국내 금융회사에 영향을 주는 4차 EU 자금세탁방지 지침 = ‘4차 EU 자금세탁방지 지침’의 주요 사항 중 한국 금융회사에게 영향을 줄 수 있는 주요 항목은 다음와 같다. <그림 ‘한국 금융기관에 영향을 줄 수 있는 주요 이슈’ 참조>

▲ 그림 ‘한국 금융기관에 영향을 줄 수 있는 주요 이슈’

첫 번째 이슈는 ‘위험기반접근법(Risk Based Approach) 확대’.

각 회원국이 AML/CTF 위험의 적절한 식별, 평가, 완화 조치의 증거 제시를 강제하는 국가위험평가(National Risk Assessment)를 도입하고, 여기에 고객, 상품, 지역, 채널을 고려한 의무를 금융기관 및 자금세탁방지 준수 의무가 있는 비금융기관 등(이하 의무 기관)에 부과하고 있다.

이는 국내에 적용된 ‘위험기반접근법(Risk-Based Approach)’과 동일한 형태의 규제로 이해된다.

두 번째 이슈는 ‘지속적인 모니터링(On-going Monitoring)’.

고객위험평가에 대한 입증 및 입증 요인을 설명해야 하며, 항상 최신으로 유지해야 한다.

여기서는 국내에 적용되지 않은 미국 재무부 산하 통화감독청의 규제 사항 OCC 2011-12와 유사한 ‘모델 리스크 매니지먼트(Model Risk Management)’를 통해 리스크 등급의 근거 및 투명성 제공, 지속적인 최신의 리스크 등급 유지 등을 내부 통제 관점에서 제시해야 한다.

세 번째는 ‘궁극적 실제 소유자(Ultimate Beneficial Owner) 확인’.

이를 위해 모든 법인은 본인의 실질적인 소유권에 대한 적절하고 정확하며 최신의 정보를 보유해야 하며, 관할 당국 및 요청이 있는 의무 기관이 즉시 이용할 수 있도록 제공해야 한다.

네 번째 이슈는 ‘강화된 고객 확인(Customer Due Diligence) 제도’.

특정 카테고리에 있는 고객에게 간단한 고객 확인(SCDD: Simplified CDD)을 용인하던 기존 방식과는 달리, 의무 기관은 SCDD를 적용한 위험이 충분히 낮다고 판단한 근거를 입증해야 한다.

앞서 언급한 네가지 이슈를 종합하면 의무기관이 고객위험평가에 대한 투명성, 최신성을 유지하며, 리스크 평가에 대한 근거 및 방법론 등을 언제든지 입증하도록 강제하고 있다는 것이 국내 규제와 크게 다른 점이다.

이는 EU 규제일 뿐만 아니라 미국 통화감독청의 OCC 2011-12 모델 리스트 매니지먼트 감독 지침(Supervisory Guidance on Model Risk Management)에 따른 미국의 규제사항 이기도 하다.

◆2017년부터 강화되는 미국의 규제와 유의사항

OCC 2011-12 감독 지침에 따르면 2012년 이후 모든 금융 기관은 자금세탁방지 룰과 모델의 문서화 및 투명성을 다음 다섯 가지 항목별로 제시하도록 강제하고 있다.

▶모델 인벤토리(룰 및 시나리오) ▶모델 개발, 구현, 사용(시나리오/모델에 대한 비즈니스 목적, 구현 방법론, 배포, 데이터 소스) ▶모델 검증(예측했던 결과를 보장하기 위한 정확한 분석 결과) ▶모델 튜닝 & 최적화(모델에 대한 지속적인 테스트 및 False Positive 개선) ▶모델 거버넌스(정책, 제어, 프로세스에 대한 일관성 보장, 모델 개발 방법론 제시) 등이다.

따라서 향후 미국의 자금세탁방지의 투명성 및 시스템 일관성, 검증은 갈수록 중요시될 으로 예상된다.

실제로 뉴욕금융감독청이 벌금을 부과한 사례를 분석해 보면, 내부통제 및 프로세스 개선과 더불어 SAR/STR 보고에 대한 최적화 및 개선, 자금세탁방지 시스템 재구축이 포함돼 있다.

이와 더불어 미국에서는 금융기관이 ML/TF(자금 세탁/테러자금 조달)에 대응하도록 규정을 추가했다.

첫째, 재무부 산하 ‘금융 범죄 집행 네트워크(FinCEN; Financial Crimes Enforcement Network)’는 모든 금융회사가 2018년 5월 11일부터 새로운 고객 확인(CDD) 룰을 채택, 새로운 계정을 개설할 때, 모든 법인 고객의 실 소유자의 신원을 확인하도록 했다.

특히 고객의 리스크 프로파일 개발을 목적으로 고객 관계의 성격과 목적에 대한 이해를 포함해 지속적인 고객 확인(On-Going CDD)을 수행하기 위한 위험 기반 절차를 법제화, 포함할 예정이다.

둘째, 대만 메가은행, 파키스탄 국립은행, 한국의 A은행, 파키스탄 하빕은행에 대한 뉴욕금융감독청의 시행 조치를 보면 ▶금융기관 본점이 뉴욕지점의 AML 운영에 대한 거버넌스 체계 및 관리 감독 향상을 위한 서면 계획 수립 ▶규정화된 AML과 OFAC 규제 준수 프로그램 개발 및 강화 ▶뉴욕금융감독청에 대한 지속적인 규제 준수 보고 이행 등을 강제하고 있다.

이는 향후 국내 금융 기관의 뉴욕 지점에서 주의해야 할 사항이기도 하다.

셋째, 2016년 6월 30일 뉴욕금융감독이 채택한 뉴욕의 AML 준수를 위한 최종 룰에 따르면, 2017년 1월 1일부터 새로운 규정이 발효돼 2018년 4월 15일까지 뉴욕금융감독에 준수 확인 결과를 제출해야 한다.

새로운 Part 504 규제 항목인 ‘금융 거래 모니터링 및 필터링 요구사항 및 인증(Banking Division Transaction Monitoring & Filtering Program Requirements and Certifications)’에 따르면, 구축된 시스템의 유지보수에 그치지 않고 지속적으로 개선해야 한다.

그리고 모든 개선 사항의 투명성을 제공하기 위한 문서 및 근거, 개선 전후 테스트 결과, 탐지 시나리오, 기본 규칙, 임계 값, 매개 변수 등에 대한 지속적인 분석 및 평가 여부 등을 뉴욕금융감독청에 매년 인증 받아야 한다.

따라서 향후 금융기관이 AML 시스템을 운영하기 위해 상당한 비용이 발생할 것으로 예상된다.

위에 언급한 EU와 미국의 신규 규정 및 규제 사항은 큰 범주에서 국내와 크게 다르지 않다.

그러나 세부 항목과, 이를 검증 및 평가하기 위한 항목에서 금융회사의 입증책임을 더욱 강하게 하고 있으며, 향후 자금세탁방지를 위한 조직적ㆍ비용적 투자가 지금과는 비교가 되지 않을 정도로 많이 이뤄져야 할 것으로 생각된다.

또한 국내에서 비용과 효과를 고려하여 도입하는 In-House 방식의 시스템이나 국제적으로 인식되어 있지 않은 자금세탁방지 시스템을 활용할 경우, 화면과 로직, 데이터 처리, 알고리즘 등 모든 영역에서 문서화 및 입증 책임을 금융기관이 필연적으로 떠안을 수밖에 없다.

또 구축된 시스템을 이용해 지속적인 개선 활동과 최신성을 투명하게 유지하고 매년 인증을 받는 일이 금융기관에는 큰 부담이 된다.

다음 세 번째 기고에서는 국내 금융회사가 해외 점포 및 지점을 위해 고려해야 할 점을 보다 구체적으로 살펴보고자 한다.

<SAS코리아 조민기 팀장>Min-Gi.cho@sas.com