서류만 챙기면 끝? 금융권 자금세탁방지 '오해' 지적
국내 금융회사들이 자금세탁방지(AML) 의무를 고객확인 서류 작업으로만 인식하고 있다는 지적이 제기됐다. 전문가들은 FATF 상호평가를 앞두고 형식적 준수에서 실질적 위험관리로의 전환이 필요하다고 강조했다.
국제자금세탁방지기구(FATF)의 제5차 상호평가가 다가오면서 국내 금융권이 고객확인 절차 재점검과 거래 모니터링 시스템 고도화에 나서고 있다. 그러나 현장에서는 금융회사들이 자금세탁방지(AML) 의무의 핵심을 제대로 이해하지 못하고 있다는 지적이 나오고 있다. 금융감독당국과 로펌에서 진행하는 AML 검사 과정에서 드러나는 것은 국내 금융회사들의 규정과 시스템은 발전했지만 실질적 위험관리 역량에서는 여전히 부족하다는 점이다.
많은 금융회사가 고객확인(KYC)을 충실히 수행하면 AML 의무를 상당 부분 이행했다고 생각하는 경향이 있다. 고객의 신분증을 확인하고 거래 목적을 받으며 직업과 소득 정보를 수집하면 할 일을 다 했다고 여기는 것이다. 하지만 FATF가 실제로 관심을 갖는 것은 고객정보 수집 자체가 아니다. 금융회사가 고객의 위험을 얼마나 이해하고 관리하는지가 핵심이다. 실제 검사 현장에서는 고객정보가 부족해서 문제가 발생하는 경우보다 확보한 정보를 제대로 활용하지 못해 문제가 되는 사례가 훨씬 많다. 수집된 정보는 전산에 저장돼 있지만 고객위험평가나 거래 모니터링에는 제대로 반영되지 않는 경우가 적지 않다는 것이다. AML의 본질은 서류 보관이 아니라 위험을 이해하고 관리하는 데 있다.
최근 금융회사들은 AML 시스템 구축에 상당한 예산을 투입하고 있으며, 인공지능(AI)을 활용한 이상 거래 탐지 기술도 빠르게 도입되고 있다. 그러나 시스템을 보유하는 것과 시스템이 효과적으로 작동하는 것은 전혀 다른 문제다. 현장에서는 수년째 변경되지 않은 탐지 시나리오, 과도하게 발생하는 경보, 형식적으로 처리되는 검토 기록이 적지 않게 발견된다. 첨단 시스템이 도입됐음에도 정작 위험한 거래는 놓치고 불필요한 경보만 반복적으로 생산되는 경우도 있다. 결국 AML은 기술의 경쟁이 아니라 운영의 경쟁이며, 중요한 것은 프로그램이 아니라 이를 관리하는 사람과 조직이라는 점이 강조된다.
대형 AML 제재 사례들을 살펴보면 대부분 규정이 없어서 발생한 문제가 아니라 경영진의 관심 부족, 영업 우선 문화, 형식적인 위험관리 체계가 근본 원인인 경우가 많다. 고위험 고객을 유치하는 것은 영업부서, 새로운 상품을 설계하는 것은 사업부서, 위험을 감수할지 결정하는 것은 경영진이다. 그런데 문제가 발생하면 AML 부서만 책임지는 구조가 반복되고 있다. 국제적으로 AML 거버넌스가 강조되는 이유는 자금세탁 방지가 준법 감시부서의 업무가 아니라 기업 전체의 리스크 관리 체계이기 때문이다. FATF 역시 최근 평가에서 규정보다 효과성을 강조하고 있다.
과거에는 규정집이 잘 갖춰져 있는지가 중요했다면 이제는 실제 결과가 중요하다. 위험평가가 고객관리 정책에 반영되고 있는지, 고위험 고객에 대한 강화된 고객 확인이 제대로 수행되고 있는지, 의심 거래가 적시에 보고되고 있는지, 경영진이 AML 리스크를 이해하고 있는지가 평가의 핵심이다. 좋은 규정은 필요조건일 뿐 충분조건이 아니라는 점이 지적되고 있다.
국내 금융회사들은 지난 20년 동안 AML 제도를 상당한 수준으로 끌어올렸다. 이제 남은 과제는 형식적 준수에서 실질적 위험관리로의 전환이다. FATF 제5차 상호평가는 한국 금융회사의 규정과 시스템을 평가하는 자리가 아니라 금융산업이 자금세탁 위험을 실제로 이해하고 관리할 역량을 갖추고 있는지를 확인하는 시험대에 가깝다. AML은 더 이상 규제 대응의 문제가 아니며, 금융회사의 신뢰와 평판, 나아가 지속가능성을 좌우하는 경영의 문제다. 상호평가를 앞둔 지금 금융권이 점검해야 할 것은 규정집의 두께가 아니라 위험을 바라보는 시각과 실질적 관리 역량이라고 전문가들은 강조하고 있다.
