자금세탁방지(AML) 컴플라이언스, 기업이 지금 당장 점검해야 할 핵심 포인트

핵심만 말씀드리겠습니다. 자금세탁방지(AML) 규제는 더 이상 금융회사만의 문제가 아닙니다. 2024년 금융정보분석원(FIU) 연간 보고에 따르면, 비금융 업종에 대한 AML 검사 건수는 전년 대비 약 34% 증가했습니다. 부동산, 가상자산, 귀금속, 법률 서비스업까지 규제 대상이 확대되는 흐름 속에서, 준비가 안 된 기업은 과징금과 형사처벌이라는 리스크에 직면하게 됩니다.

34%

비금융 업종 AML 검사 건수 전년 대비 증가율 (2024 FIU 보고)

이 글에서는 기업이 AML 컴플라이언스를 구축할 때 반드시 짚어야 할 핵심 쟁점과, 실무에서 빈번하게 놓치는 사각지대를 정리합니다.

AML 규제 환경, 무엇이 달라졌나

우리나라의 AML 체계는 특정금융거래정보의 보고 및 이용 등에 관한 법률(이하 특정금융정보법)을 중심으로 작동합니다. 결론부터 말하면, 최근 3년간 세 가지 방향으로 규제가 강화되었습니다.

적용 대상 확대
가상자산사업자(VASP)가 특정금융정보법 제7조에 따라 의무 신고 대상에 편입되었고, 부동산 중개업, 귀금속 거래업, 법무법인 등 비금융 특정사업자(DNFBP)에 대한 규제도 단계적으로 강화되고 있습니다.

고객확인의무(CDD) 강화
기존의 형식적 신원확인을 넘어, 실질적 소유자(Beneficial Owner) 확인, 거래 목적 파악, 자금 출처 확인까지 의무 범위가 확장되었습니다. 고위험 고객에 대해서는 강화된 고객확인(EDD)을 적용해야 합니다.

제재 수준 상향
특정금융정보법 위반 시 최대 5년 이하의 징역 또는 5,000만 원 이하의 벌금이 부과됩니다. 과태료 한도도 1억 원까지 상향되었으며, 임직원 개인에 대한 양벌규정 적용도 확대되는 추세입니다.

특히 국제자금세탁방지기구(FATF)의 상호평가를 앞두고, 한국 정부는 AML 법제 정비와 집행 강화에 속도를 내고 있습니다. 이는 단순한 전망이 아니라 이미 진행 중인 현실입니다.

기업 AML 컴플라이언스, 실무 핵심 5가지

AML 내부통제 체계를 수립할 때, 실무에서 가장 중요한 포인트는 다음 다섯 가지입니다.

자금세탁 위험평가(Risk Assessment) 수행
고객 유형, 거래 유형, 지역(국가), 상품/서비스별로 자금세탁 위험도를 평가하고 문서화해야 합니다. 이 위험평가가 AML 체계의 출발점입니다. 위험평가 없이 절차만 만들면 검사에서 형식적 운영으로 지적받습니다.

고객확인(KYC/CDD) 프로세스 정립
신규 고객 온보딩 시 신원확인, 실질적 소유자 확인, 거래 목적 파악을 수행하고, 고위험군에 대해서는 EDD를 적용해야 합니다. 실무에서 가장 많이 놓치는 부분이 기존 고객에 대한 주기적 재확인(Ongoing CDD)으로, 최소 1년 단위 재점검을 권장합니다.

의심거래보고(STR) 및 고액현금거래보고(CTR) 체계 운영
특정금융정보법 제4조에 따라, 자금세탁이 의심되는 거래를 인지한 날로부터 3영업일 이내에 FIU에 보고해야 합니다. 2,000만 원 이상 현금거래(CTR)는 자동 보고 대상입니다. 보고 누락 시 과태료뿐 아니라 형사책임까지 발생할 수 있다는 점에 유의해야 합니다.

내부 보고라인 및 AML 책임자 지정
보고책임자(Compliance Officer)를 지정하고, 직원이 의심거래를 발견했을 때 보고하는 내부 프로세스를 마련해야 합니다. 보고책임자는 경영진에 직접 보고할 수 있는 위치여야 하며, 독립성이 보장되어야 합니다.

임직원 교육 및 기록 관리
연 1회 이상 AML 교육을 실시하고, 교육 이수 기록을 보관해야 합니다. 거래 기록과 고객확인 자료는 거래 종료 후 최소 5년간 보존해야 하며(특정금융정보법 제5조의4), 검사 시 즉시 제출 가능한 상태로 관리해야 합니다.

실무에서 자주 발견되는 AML 사각지대

상담 현장에서 보면, 많은 기업이 AML 규정을 형식적으로 구비해 놓고 실질적 운영은 미흡한 경우가 대부분입니다. 구체적으로 다음 세 가지가 가장 빈번한 문제입니다.

첫째, 위험평가의 부재 또는 형식화. 위험평가 보고서는 있지만, 실제 거래 데이터를 분석해 작성한 것이 아니라 템플릿을 복사한 수준인 경우가 많습니다. 규제기관은 위험평가의 실질성을 중점적으로 검토합니다.

둘째, 해외 거래 상대방에 대한 스크리닝 미흡. UN 제재리스트, OFAC(미국 해외자산통제국) SDN리스트, EU 제재리스트 등 국제제재 대상 여부를 거래 개시 전에 확인해야 합니다. 이를 누락하면 국내법 위반을 넘어 국제 제재 리스크까지 부담하게 됩니다.

셋째, 거래 모니터링 시스템의 실효성 부족. 모니터링 시스템을 도입했더라도, 임계값(Threshold) 설정이 비현실적이거나 경보(Alert)에 대한 후속 조치 프로세스가 없으면 의미가 없습니다. 연간 경보 처리율, STR 전환율 등 운영 지표를 정기적으로 점검해야 합니다.

향후 전망과 기업의 대응 방향

FATF 상호평가 결과에 따라 추가적인 법 개정이 예상됩니다. 현재 논의 중인 주요 변화를 정리하면 다음과 같습니다.

법인의 실질적 소유자 등기 의무화 논의가 진행 중입니다. 이는 페이퍼컴퍼니를 통한 자금세탁 차단을 목적으로 하며, 모든 법인이 실소유자 정보를 공적 등록부에 기재해야 할 수 있습니다.

가상자산 분야 Travel Rule 적용 강화로, 가상자산 이전 시 송금인과 수취인 정보를 의무적으로 전달해야 하는 범위가 확대됩니다. 현재 100만 원 기준이 더 낮아질 가능성이 높습니다.

비금융 특정사업자에 대한 직접 감독 체계 도입이 검토되고 있습니다. 현재는 주무부처별로 산발적인 감독이 이루어지고 있으나, FIU 중심의 통합 감독으로 전환될 가능성이 있습니다.

결론은 명확합니다. AML 컴플라이언스는 비용이 아니라 기업 존속을 위한 필수 투자입니다. 규제 위반으로 과징금이 부과되거나 사업 허가가 취소된 후에 대응하는 것은 이미 늦습니다. 현 시점에서 자사의 AML 내부통제 체계가 법적 요구사항을 충족하는지, 형식적 운영에 머물고 있지는 않은지 점검하는 것이 기업 리스크 관리의 출발점입니다.

👤

조희연 변호사의 코멘트

AML 컴플라이언스 자문을 하면서 가장 많이 마주하는 문제는, 내부 규정은 잘 갖춰져 있는데 실질적 운영이 전혀 이루어지지 않는 경우입니다. 규제기관은 규정의 존재가 아니라 운영의 실질성을 봅니다. 위험평가, 모니터링 지표, 교육 이수 기록 등 운영 증빙이 미비하다면 빠른 시일 내에 전문가의 점검을 받으시길 권합니다.

이 글의 변호사