사진 설명시중은행이 암호화폐거래소에 실명 계좌 발급 여부를 심사할 때 다크코인 취급 여부, 대표자나 임직원의 횡령·사기 연루 이력 등을 필수로 점검한다.
8일 은행연합회가 공개한 ‘가상자산사업자 자금세탁 위험 평가 방안’에 따르면 은행의 가상자산사업자에 대한 자금세탁 위험 평가 업무에 이 같은 내용이 담겼다. 연합회는 지난 4월 은행이 가상자산사업자 관련 자금세탁 위험을 식별·분석·평가하는 기준을 마련할 때 참고하도록 평가 방안을 배포했다. 연합회 측은 “평가 방안의 공개 필요성이 제기됐으나 시장의 혼란 가중 및 평가 결과 왜곡 등 부작용을 우려해 미공개 원칙을 유지해왔다”면서도 “잘못된 추측과 오해 등이 증폭되고 시장의 혼란이 발생함에 따라 투자자 보호를 위해 주요 내용을 공개했다”고 설명했다.
평가 방안은 은행의 가상자산사업자에 대한 자금세탁 위험 평가 업무를 △필수 요건 점검 △고유 위험 평가 △통제 위험 평가 △위험 등급 산정 △거래 여부 결정 등의 단계로 구분하고 각 단계에서 참고할 수 있는 여러 평가 지표와 방법을 예시로 들었다.
필수 요건 점검에서는 정보보호관리체계(ISMS) 인증 획득 여부, 예치금·고유자산 및 고객별 거래 내역 구분·관리 여부, 다크코인 취급 여부, 대표자 및 임직원의 횡령·사기 연루 이력, 외부 해킹 발생 이력, 당기순손실 지속 여부 등을 확인하도록 했다.
고유 위험 평가에서는 국가 위험(국가별 가상자산 거래량), 상품·서비스의 위험(가상자산 신용도, 취급하고 있는 가상자산 수, 고위험 코인 거래량), 고위험 고객 관련 위험(국가별 고객 수, 고위험 업종 고객 수) 등을 평가 항목으로 제시했다. 이 중 고객의 직업군을 분류하는 데 있어서는 지난 2012년 개정된 자금세탁방지금융대책기구(FATF) 권고사항과 금융정보분석원(FIU)의 자금세탁방지규정 제30조 등을 참고해 마련하고 세부 규정은 금융회사별 분류에 따라 평가할 것이라고 설명했다.
통제 위험 평가에서는 자금세탁방지(AML) 내부 통제 수준, 내부 감사 체계 구축 여부, 고객 확인 충실도, 전사 위험 평가 수행 여부 등을 평가 지표로 삼았다. 거래소 직원에 대해 신원 확인·검증 등을 하는 내용도 포함됐다. 이후 고유 위험과 통제 위험 평가를 종합해 위험 등급을 산정한 뒤 거래 여부를 결정하도록 했다.
연합회는 평가 기준을 공개하면서도 “상세 내용이 공개될 경우 가상자산사업자가 공개된 평가 기준에 따른 요건만을 선택적으로 충족시켜 자금세탁 위험도를 본래보다 낮게 평가받는 행위 등을 할 수 있다”며 개략적인 내용만 공개했다.
