2022년 06월

국제자금세탁방지기구(The Financial Action Task Force, FATF)는 글로벌 자금세탁 및 테러자금 조달 감시단체입니다. 정부 간 기구로서 이러한 불법 활동이 사회에 끼치는 피해를 방지하기 위해 표준을 설정하며, 정책 결정기구로서 국가 입법 및 규제 개혁을 위한 정치적 의지를 마련하기 위해 노력합니다. FATF는 가상자산을 둘러싼 자금세탁 등 범죄에 대한 입장을 밝히고 FATF 표준이 어떻게 적용될 수 있는지 아래와 같이 설명하고 있습니다.

1. 가상자산 관련 FATF의 중점 사항

블록체인, 비트코인, 암호화 자산, 가상화폐 등은 전 세계에 가치를 신속히 전송하게 하는 혁신 기술이 등장하며 새롭게 등장한 단어이다. 빠르게 진화하는 블록체인과 분산 원장 기술은 금융의 지평을 획기적으로 변화시킬 잠재력을 가지고 있다. 그러나 그 속도, 글로벌 광범위성, 그리고 익명성으로 인해 당국의 감시를 피하려는 사람들이 가상자산에 관심을 가지게 된다.

불록체인은 불과 10여년 전에 탄생했다. 이후 가상자산은 널리 확산되어 결제 수단으로 활용되기 시작했다. 그러나 규제와 감독이 확립되지 않아, 금융 산업의 불모지라고도 불린다.

범죄자들이 가상자산을 악용하는 방법

2017년 ‘워너크라이’라는 랜섬웨어 공격 당시, 피해자가 해커에게 비트코인으로 몸값을 지불할 때까지 수천 대의 컴퓨터 시스템이 인질로 잡혔다. 이로 인한 비용은 몸값을 훨씬 능가하는 수준이었으며 전 세계 병원, 은행, 기업에 약 80억 달러(한화 약 9.6조원)의 피해를 입혔다. 그 후로 다른 랜섬웨어 공격이 증가했으며, 현재도 증가 추세에 있는 것으로 나타난다.

가상자산에 중점을 두는 국제자금세탁방지기구(FATF)

가상자산에는 많은 잠재적 이점이 있다. 가상자산은 결제를 더 쉽고 빠르고 저렴하게 만들 수 있고, 일반 금융상품에 접근할 수 없는 사람들에게 대체 방법을 제공한다. 그러나 적절한 규제가 없다면 범죄자와 테러리스트의 금융거래를 위한 가상의 피난처가 될 리스크가 있다. FATF는 암호화 영역의 발전을 면밀히 모니터링했는데, 최근 몇 년 동안에는 가상자산 부문을 처음으로 규제하기 시작한 나라들이 나타나기 시작했고 일부에서는 가상자산을 완전히 금지하기도 했다. 그러나 아직까지는 대다수 국가에서 아무런 조치가 취해지지 않고 있다. 글로벌 규제 시스템의 이러한 격차는 범죄자와 테러리스트가 가상자산을 남용할 수 있는 심각한 허점을 만들었다.

G20의 지원으로 FATF는 가상자산이 자금세탁 및 테러자금 조달에 악용되는 것을 방지하기 위해 구속력 있는 글로벌 표준을 발표했다. ‘가상 자산’이라는 용어는 디지털 방식으로 거래, 송금, 결제에 사용할 수 있는 모든 디지털 가치표현을 의미한다. 여기에는 법정 화폐의 디지털 표현은 포함되지 않는다.

FATF 표준은 가상자산에 일반 금융 부문과 동일한 보호장치를 적용하도록 함으로써 가상자산이 공정하게 취급되도록 한다. FATF의 규칙은 가상자산이 법정 화폐로 교환될 때 뿐만 아니라 한 가상자산에서 다른 가상자산으로 이전될 때도 적용된다.

[관련 자료]

• 12-Month Review of Revised FATF Standards on Virtual Assets and VASPs [July 2020]
• 2nd 12-Month Review of Revised FATF Standards on Virtual Assets and VASPs [July 2021]
• FATF Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers [Updated October 2021]
• The FATF Standards: FATF Recommendations [amended June 2019]

효과적인 조치 취하기

국가들은 FATF의 조치를 곧 시행해야 한다. 이는 가상자산 거래의 투명성을 보장하고 범죄 및 테러와 관련된 자금이 암호화폐와 연계되지 않도록 한다.

오늘날 많은 가상자산 서비스 제공사는 ‘위험한 기업’으로 인식되어 은행 계좌 및 기타 일반 금융 서비스에 대한 접근이 거부되었다. FATF의 요구사항을 이행하는 것은 도전이 될 것이지만, 궁극적으로는 블록체인 기술이 가치 전송의 견고하고 성공적인 수단으로 자리잡을 수 있도록 신뢰를 제고하게 될 것이다.

FATF는 각국이 얼마나 성공적으로 TATF 권고사항을 이행하고 가상자산 서비스 제공자 관련 부문을 규제하는지를 판단하는 평가 방법론을 수정했다.

[관련 자료]

• FATF Methodology for assessing compliance with the FATF Recommendations and the effectiveness of AML/CFT systems

미래를 준비하기

가상자산의 이면 기술은 빠르게 변화하고 있다. 미래의 발전으로 인해 테러리스트와 범죄자가 악용할 수 있는 허점을 만들지 않아야 한다.

[관련 자료]

• FATF Report to G20 on So-Called Stablecoins[June 2020]
• Money laundering risks from “stablecoins” and other emerging assets

2. FATF 표준의 적용 방법

모든 국가에서 이와 같은 FATF 표준을 효과적으로 구현한다면 가상자산 기술과 관련 기업이 책임 있는 방식으로 계속 성장하고 혁신할 수 있으며 공정한 경쟁의 장을 만들 수 있다. 또한 감독이 약하거나 부재한 관할권을 찾아내 범죄자나 테러리스트가 악용하는 것을 방지할 것이다.

국가가 할 일: •     해당 부문이 직면한 자금세탁 및 테러자금 조달 관련 위험을 이해한다 •     가상자산 서비스 제공자에게 허가를 받게 하거나 등록을 하게 한다 •     다른 금융기관을 감독하는 것과 같은 방식으로 해당 부문을 감독한다

가상자산 서비스 제공자가 할 일: •     고객 실사, 기록 보관, 의심거래 보고 등 금융기관과 동일한 예방조치를 시행한다 •     송금 시 발신자 및 수취인 정보를 확보, 보유 및 보안 전송한다

규제는 어디에서 시행할 것인가?

전통적인 은행은 사무실과 가까운 곳에 오프라인 본사와 고객 기반이 있다. 가상자산 서비스 제공자는 보통 전 세계에 걸쳐 존재하고 고객 기반 역시 전 세계에 달한다.

그렇다면 FATF 표준은 어디에 적용되며 누가 규제를 해야 하는가?

서버의 위치나 사업장의 위치와 관계없이, 가상자산 서비스 제공업체의 법인이 설립된 국가가 주 감독자가 된다.

파트너십 구축하기

가상자산 서비스 제공자를 규제하는 것은 모두에게 어려운 일이다. 국가 당국은 관련 기술을 이해하는 역량을 길러야 하는 한편, 가상자산 서비스 제공자는 부문 내 적용되고 있는 금융 규칙에 대해 학습해야 한다.

FATF의 권고사항을 충족하는 기술을 개발하는 것, 특히 발신자와 수신자의 정보를 안전하게 수집하고 전송할 수 있도록 하는 것은 가상자산 부문 자체에 달려 있다.

정부와 가상자산 부문 양방의 이해를 돕기 위해 FATF는 막대한 인풋을 투입하여 위험 기반의 접근(risk-based approach)을 취한 지침서를 개발했다. 이 지침은 리스크를 어떻게 이해할 수 있는지, 가상자산 부문에 어떻게 라이선스를 부여하고 등록을 시킬 수 있는지, 그리고 가상자산 부문의 고객이 누구인지 알고 이러한 정보를 안전하게 저장하며 의심스러운 거래를 보고하기 위해 해당 부문은 무엇을 해야 하는지를 설명한다.

[관련 자료]

• FATF Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers

FATF는 정부와 가상자산 부문 간의 파트너십을 구축하고 관련 문제와 위험을 더 잘 이해하기 위해 2017년부터 매년 핀테크(fintech) 및 레그테크(regtech) 포럼을 개최하는 등 가상자산 서비스 제공자들과 집중적으로 협력해왔다. FATF는 지속적으로 업계에 FATF 권고사항을 추가로 설명하고, 진전사항을 모니터하며, 해당 산업이 마주하는 다양한 도전과제를 이해하기 위해 컨택그룹을 운영하고 있다.

★ 이 글은 FATF의 홈페이지 내 Virtual Assets 관련 페이지를 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(원문: The Financial Action Task Force, 번역: Business Integrity Society)를 밝혀 주시기 바랍니다.

지속가능발전을 위한 신기술: 청렴, 신뢰 및 반부패에 대한 관점(New Technologies for Sustainable Development: Perspectives on Integrity, Trust and Anti-Corruption)

2021년 10월 21일, 유엔개발계획(UNDP)은 인공지능(AI), 머신러닝(machine learning), 딥러닝(deep learning), 블록체인 및 기타 분산원장기술(DLT), 빅 데이터 분석과 같은 디지털 기술 사용에 있어 부패 대응을 위한 기회와 리스크를 모색하고자 “지속가능발전을 위한 신기술: 청렴, 신뢰 및 반부패에 대한 관점(New Technologies for Sustainable Development: Perspectives on Integrity, Trust and Anti-Corruption)” 보고서를 발간했다.

디지털 기술은 부패를 탐지, 분석, 조사, 예측 및 모니터링함으로써 부패 관행을 예방하고 대응할 수 있는 상당한 잠재력을 가지고 있다. 하지만, 첨단기술과 디지털 솔루션의 개발은 새로운 도전을 제기하고 부패와 관련된 추가적인 취약점을 만들어낸다. 특히 디지털 기술은 자금세탁, 사기 및 사이버 범죄에 사용될 수 있다. 앞으로 규제와 혁신 사이에서 균형을 맞추고 디지털 신기술에 윤리적, 인권적 요소를 고려할 필요성이 있다.

,br>

인공지능, 머신러닝 및 딥러닝

반부패 활동에 AI를 사용하는 사례는 많지 않지만, AI는 다음과 같은 방법으로 부패 범죄의 탐지, 분석 및 예측에 상당히 용이하게 사용될 수 있다.

• 복잡하거나 번거로운 대량의 데이터 분석을 가속화한다. 이를 통해 시간과 자원의 측면에서 효율성을 높일 수 있으며 부패 범죄가 자행되었음을 가장 잘 나타내고 가장 관련성이 높은 데이터를 면밀히 조사하는 데 집중할 수 있다. 예를 들어, 영국 수사관들은 AI를 사용하여 3천만 개 이상의 문서를 분석하고 수개월 내에 조사와 관련된 데이터를 선택할 수 있었다. 만약 작업을 수동으로 진행했다면 훨씬 많은 시간이 걸렸을 것이다.
• 높은 수준의 정확도로 잠재적 부패 범죄를 나타내는 비정상적인 패턴과 “위험 신호”을 조기에 탐지할 수 있도록 보장한다. 예를 들어, 스페인에서는 지방의 부패 확률과 부패의 가능성을 계산하는 신경망(neutral network) 기반 모델을 개발하였다. 해당 기술을 통해 부패 리스크 완화를 위한 예방 조치를 취할 수 있다. 체코의 한 지역에서는 기업이 정치적으로 연결되어 있는지를 예측하기 위해 모든 계약 기업의 재무 및 산업 데이터를 분석하였다. 그 결과 머신러닝 기술을 사용하여 정치적 연관성을 가진 75% 이상의 기업을 정확하게 식별할 수 있었다.
• 반부패 표준의 컴플라이언스 모니터링: AI는 비즈니스 프로세스를 확립된 요구사항에 맞게 배치할 수 있으며, 다른 한편으로는 규제 당국이 요구사항의 침해 또는 고의적인 사기 시도를 탐지하기 위해 사용할 수 있다. 예를 들어, 이스라엘 기업인 Shield FC는 AI, 자연어 처리(natural language processing) 및 시각화 기능을 활용하여 전체 컴플라이언스 라이프사이클을 자동화 및 조정하고, 리스크를 완화하며, 효율적인 감시를 가능케 하는 플랫폼을 구축했다. 우크라이나 투명성기구(Transparency International Ukraine)에서 출시한 도조로(Dozorro) 기술은 공공조달에서 공공자금의 오용을 감지하고 예방하는데 도움이 되는 온라인 모니터링 플랫폼이자 인텔리전스 기술 세트이다. 2016년부터 2018년까지, 플랫폼의 기술을 통해 22건의 형사 고발과 79건의 제재가 내려졌다.

AI 기술은 부패와 맞서기 위한 새로운 기회를 창출하지만 새로운 위협도 제기한다.

• AI는 사기 또는 부패 계획에 사용될 수 있다.
• AI는 사용되는 데이터와 알고리즘의 품질에 따라 성별과 인종적 편견을 초래할 수 있다.
• 통제되지 않은 AI의 사용은 데이터 프라이버시를 침해할 수 있다.
• AI 알고리즘의 복잡성은 주어진 결과를 산출하는 계산이 정확히 어떻게 이루어졌는지 파악하기가 어렵고, AI가 내린 결정의 이유를 해석하는데 어려움이 있어, 투명성이 부족하며 시스템에 대한 신뢰도가 부족하다. 예를 들어, 중국의 “제로 트러스트(Zero Trust)” 반부패 AI 시스템은 부패 범죄의 지표를 탐지하기 위해 중앙정부와 지방정부의 150개 이상의 보호 데이터베이스에 접근하여 공무원들의 사회적 관계를 탐지했다. 시스템상 의혹이 제기되면 해당 행동이 부패와 연결될 가능성을 계산하고, 그 결과가 설정된 기준을 초과하면 당국에 즉시 보고된다. 그러나 시스템이 그러한 결론에 어떻게 도달했는지 설명하는 데는 제한이 있어 기술의 신뢰도가 떨어진다. 결과적으로, 많은 지방 정부들이 ‘제로 트러스트” 시스템을 폐지시켰다.

위에 언급한 리스크 중 적어도 일부를 완화하기 위해 본 보고서는 AI 기술을 사용할 때 다음 원칙을 따를 것을 권고한다.

• AI 시스템을 설계 및 개발할 경우 AI 의사결정의 구조적 및 비정기적 편향을 해결하고, 서로 다른 AI 기술 사용 시 부패 리스크를 완화하기 위해 조정해야한다.
• 앞으로 사용될 AI의 양질의 데이터에 투자한다.
• AI 시스템에 대한 대중의 신뢰를 구축하기 위해 AI 기술의 투명성과 책무성의 격차를 해소시킨다.

블록체인

블록체인은 분산원장기술(DLT)의 한 일부로, 조직의 활동 투명성과 관리되는 데이터의 보안을 확보할 수 있는 잠재력을 가지고 있다. 해당 기술은 토지 등록, 예산 투명성, 계약 시행, 거래 수행 및 공급망 관리와 같은 분야에서 반부패 노력에 배치될 수 있다.

본 보고서는 DLT가 다음과 같은 이유로 부패와의 전쟁에서 유용하게 사용될 수 있다고 강조한다.

• 정보를 검증할 수 있는 투명하고 책임있는 시스템을 구축할 수 있고, 데이터 조작과 사기 또는 부패행위를 방지할 수 있다. 특히 세계식량계획(WFP)은 블록체인 기술을 “빌딩 블록(Building Blocks)” 파일럿의 일부로 사용하여 뇌물 및 갈취와 같은 부패 리스크를 줄이고 난민을 위한 직접 현금 송금이 더 효율적이고, 안전하며, 투명하게 이루어질 수 있는지 탐구하고 있다.
• 블록체인에 저장된 거래 정보는 합의 메커니즘(consensus mechanism)이 훼손되지 않는 한 변경하거나 삭제될 수 없다. 이를 통해 모든 트랜스액션에 대한 완전하고 공개적인 데이터베이스를 구축하고 데이터의 부당한 변경 리스크를 줄일 수 있다.
• 블록체인은 재정의 흐름을 더 정확하게 추적할 수 있어 공급망 관리의 기록 보관 및 증명 추적에 유용하게 사용될 수 있다. 예를 들어 세계자연기금(WWF)은 어업에서의 부패와 불법행위를 방지하기 위해 블록체인 기술을 사용한다. 무선 주파수 식별 태그(radio-frequency identification tags), 신속 대응(QR) 태그 및 스캔 장치를 결합하여 공급망에 속한 다양한 지점에서 참치의 어법과정에 대한 정보를 수집하고 기록한다. 이를 통해 모든 사람이 투명하고 변조가 불가능한 정보의 접근성을 보장한다. 또한 소비자는 노예 노동이나 기타 유해한 관행 없이 합법적으로 잡힌 지속가능한 참치를 구입할 수 있게 된다.

그러나 DLT의 사용은 다음과 같은 특정 리스크가 있다.

• 블록체인 기술은 가상화폐를 돈세탁, 불법거래, 탈세 등에 활용하는 등 사적 이익을 위해 악용될 수 있다. 범죄자들은 규제되지 않은 가상화폐 거래소나 돈세탁 방지 규정을 무시하는 분산화된 피어투피어 네트워크를 이용할 수 있으며, 이로 인해 불법 거래를 추적하거나 가해자에게 책임을 묻는 것이 어렵게 된다.
• 블록체인의 데이터는 개인과 관련된 민감한 정보를 소유할 수 있다. 따라서 블록체인은 권력을 남용하고 시스템에 대한 지배적인 통제권을 얻기 위한 도구로 사용될 수 있다.

DLT 사용으로 인해 발생할 수 있는 잠재적 리스크를 줄이기 위해 본 보고서는 다음을 권고한다.

• 관할권, 리스크 및 책임과 관련된 문제를 포괄하는 상기 기술 사용의 다양한 측면에 대한 규제의 입안 및 채택
• 관련 기술의 적절한 기능을 보장하는 디지털 인프라 및 프로세스 제공

빅 데이터 분석

크고 복잡한 데이터 분석은 다음과 같은 두 가지 주요 반부패 조치에 사용될 수 있다.

1) 의심스러운 운영을 식별, 조사, 모니터링 및 감사하고 부패 리스크를 평가한다. 예를 들어 빅 데이터 분석은 파나마 및 판도라 페이퍼스(Panama and Pandora Papers)의 조사 언론인과 세차 작전(Operating Car Wash)의 브라질 조사원에 의해 사용되었다(Neo4j 및 Linkurious와 같은 그래픽 플랫폼 사용). 부다페스트 부패연구센터(Corruption Research Center Budapest )는 공공조달 절차를 모니터링하기 위해 빅 데이터를 분석한다. EU 국가들로부터 예외적으로 짧은 입찰 기간이나 특이한 결과(낙찰 경쟁이 없거나 같은 기업이 반복적으로 낙찰되는 사례)와 같은 비정상적인 패턴을 검색하기 위해 유럽 위원회는 다양한 공공 및 민간부문의 데이터를 교차 확인하는 소프트웨어 ARACHNE를 개발했다. 사기, 이해충돌 또는 기타 비리의 리스크에 취약한 프로젝트를 식별하는 데 지원하는 소프트웨어다.

2) 보다 효과적인 의사결정을 보장하는 예측 분석을 통해 인식을 높이고, 전국적, 부문별 또는 지역별 반부패 정책을 개선하고, 정책의 효율성을 높인다.

빅데이터 분석을 통해 부패를 방지할 수 있는 여러가지 가능성에도 불구하고 다음과 같은 어려움이 제기될 수 있디.

• 데이터 프라이버시와 관련 정보의 오용에 대한 통제를 보장할 필요성: 캠브리지 애널리티카 스캔들(Cambridge Analytica scandal )은 얼마나 쉽게 개인 데이터가 정치적 이익을 위해 추출되고 이용될 수 있는지를 분명히 보여주었다. 공공기관은 소득에 대한 정보를 포함하여 대부분의 비밀스러운 엄청난 양의 개인 데이터를 수집한다. 재정, 의료 기록, 신원 확인, 정치 또는 경제 정보, 즉 공공 데이터베이스에 저장된 이러한 데이터의 유출에 대한 리스크가 훨씬 더 심각한 결과를 초래한다는 것을 의미한다. 호주의 한 주에 있는 독립 광역 반부패 위원회의 전문가들은 기밀 정보의 무단 접근, 공개 또는 오용이 부패행위를 유발하는 핵심 요소라고 강조하지만, 종종 정부에 의해 낮은 리스크 행위로 평가된다.
• 빅 데이터의 부패 리스크를 식별하고 이를 완화하기 위한 조치를 채택해야 할 필요성: 빅 데이터 분석 결과가 정치 프로세스, 정치적 의사결정 및 입법 이니셔티브에 미치는 영향을 고려하여 가해자가 보다 유리한 결과를 얻어내기 위해 데이터를 수집 및 교환할 수 있다.

이러한 어려움을 극복하기 위해 본 보고서는 다음과 같은 사항을 권고한다:

• 관할 당국이 데이터 분석을 수행할 수 있도록 정확하고 신뢰성 있으며 품질이 보장되는 데이터를 수집하도록 지원한다.
• 분석 능력을 강화하여 분석을 수행하는 직원의 기술을 개발한다.
• 데이터의 수집, 저장 및 교환, 데이터의 보호 및 무결성을 규제하는 데 필요한 법적 프레임워크를 구축한다.
• 빅데이터 분석에서 데이터의 책임있는 사용과 인권 존중을 보장하기 위한 조치를 채택한다.