Financial Crime & Compliance

2017.11.03 FATF는 민간 영역에서의 정보 공유를 위한 가이드라인을 발표하였다.

제목은 "FATF Guidance - Private Sector Information Sharing" 이다.

주요 내용은

23. 감독기관은 AML/CFT 목적의 정보 공유를 지원하기 위해 통합 및 그룹 차원 감독을 수행하도록
     교환할 정보를 명시하는 양자간 / 다자간 협약을 증진하여야 한다.

24. 금융사는 금융사의 모든 지점, 금융 그룹은 다수 지분의 모든 자회사에 그룹의 프로그램이 적용되어야 한다.

     여기에는 BL/TF 위험 관리를 위해 필요한 정보를 공유하기 위한 정책 및 절차가 포함되어야 하며,

     그룹에서 AML/CFT 목적에 필요한 경우, 지사, 지점, 자회사의 고객, 계좌, 거래 정보가 제공되어야 한다.

     이것은 정보의 기밀성과 의도된 목적만을 위한 사용을 보장하기에 충분한 안전 장치의 대상이 되어야 한다.

28. 금융 기관의 정보 공유는 그룹의 ML/TF 위험을 효과적으로 식별, 관리, 완화하기 위한 것

     이를 위해 비정상 거래 / 활동에 대한 정보 및 분석이 포함되어야 함. STR, 기본 정보, STR이 제출되었다는 사실이
     포함될 수 있음. 이는, 입법 체계(국내 및 해외)에 따라 정보 공유의 범위 및 메커니즘이 결정되어야 함.

29. 아래 표를 통해 정보 공유의 목적을 이해할 수 있음.

34. 본사로 정보를 공유한다해서 모든 지역의 전체 그룹에 대한 그룹 컴플라이언스로 평가되어야 하는 것은 아님.

     각각 자체 책임을 져야 하며, 자체 위험 평가와 관련된 정보가 있어야 함.

35. 중앙 집중식 저장은 기록에 포함된 정보의 그룹 차원의 공유는 아님.

    전자적 / 중앙 집중적으로 관리되는 기록은 기밀 유지 및 기타 의무 사항이 준수되어야 함.

    글로벌 거래 모니터링은 항상 다국적 그룹이 운영되는 모든 지역의 의무를 강화하는 방식으로 수행되어야 함.

    따라서 한 곳에서 모니터링하는 것은 그룹이 운영되는 다른 지역의 약한 의무를 기준으로 하지 말아야 함.

38. 글로벌 금융사의 현지 운영은 현지 법률 및 규정에 부합하여야 함.

    동시에 그룹 차원의 통제가 일관되게 적용될 수 있도록 그룹 차원의 컴플라이언스 프로그램을 준수해야 함.

    현지국에서 정보 공유를 포함, 내부 통제를 적절하게 수행하지 못할 경우
    ML/TF 위험 관리를 위한 적절한 추가 조치를 적용하고 감독기관에게 보고해야 함.

43. 지점 / 지사에서 정보 공유를 그룹으로 제출되면 그룹 차원의 준수 프로그램의 효과적인 구현을 촉진.

     마찬가지로 지점/자회사는 그룹 수준 기능에서 이러한 정보를 수신하여야 함.

50. STR을 국가간에 공유할 때, 관활권에 금지되어 있는 STR 자체를 공유할 필요 없음.

     다양한 방법을 통해 STR이 공유될 수 있음.

54. 금융 기관은 (a) 공유된 정보의 기밀성과 

     (b) 정보가 AML / CFT 목적으로만 사용되고 다른 목적으로 사용되지 않도록 보장하기 위해 

     공유된 정보와 관련하여 충분한 안전 장치를 마련해야 함.

55. 국가는 금융그룹 내의 정보 흐름을 방해하는 법적 / 규제 장벽을 다루어야 하고,

     정보 공유를 제한하는 기존 조항(DPP; Data Protection Program)에 대한 철저한 평가가 필요할 수 있음.

이 가이드라인은 EU 등의 국가에서 GDPR 등의 정보 보호 규정이 강화되면서,

AML / CFT의 금융 그룹 및 다국적 금융사의 중앙 통제 및 관리를 위해

DPP(Data Protection Program)와의 상충되는 규정에 대한 해석을 제공하기 위함으로 보이며,

이에 따라 각 금융사는 법률적 검토 및 해석에 따라 진행되어야 할 것이고,

KoFIU에서는 이에 대한 가이드라인이 제시되어야 할 것으로 보인다.

원문은 아래에서 확인할 수 있다.

Private-Sector-Information-Sharing.pdf

국가 위험평가 (National Risk Assessment)를 위해

"National Risk Assessment of Money Laundering and Terrorist Financing 2017" 보고서가 

영국 내무부와 재무부를 통해 발간되었다.

영국은 국가 위험 평가를 위해 2016년부터 이 보고서를 발간하였고, 

2017년 보고서에는 고급 자금 세탁 및 현금 기반 자금 세탁이 영국의 가장 큰 위험 영역으로 남아 있음을 보고했다.

또한, 금융 기관과 사법 기관 간의 정보 공유를 향상시키기 위해 

2017년도에 어떤 노력을 기울였는지 보고하고 있다. 

이를 위해 2017년 금융 부문과 사법 기관 간의 정보 공유를 용이하게하는 

JMLIT (Joint Money Laundering Intelligence Taskforce)의 확장을 포함하여 

AML / CTF 체제가 작동하는 방식이 바뀌었음을 명시하고 있다.

미국 연방 금융 당국은 

2018년 05월 Customer Due-Diligence 규정 개정 전 

금융사의 혼란을 줄이기 위하여

계정을 보유한 법인 고객의 최종 소유자(Ultimate Owner)와 통제자(Controller)를 확인하기 위한 수정된 표준을 선 발표할 예정이다.

개정되는 CDD 규칙에 따라서

금융 기관은 은행 계좌를 보유하고 있는 법인의 

25% 이상을 소유한 개인을 식별할 수 있는 데이터를 수집하기 위한 합리적인 조치를 취해야 하며,

해당 기업의 중요한 통제자(Controller)와 관리(Management)를 수행하는 개인도 있어야 한다.

이 규칙은 또한 대상 금융 기관의 소유권 변경 또는 통상적인 고객 활동과 관련하여 

기존의 법인 고객으로부터 유사한 데이터를 입수하도록 의무화하고 있다.

최근 ACAMS 세미나에서 FinCEN의 주요 임원은

2018년 04월에 금융 기관이 법인에 중요한 지분을 보유하고 있는 개인을 포함한 소유권 데이터를 집계해야 한다고 언급했다.

25% 이상의 법적 실체를 누적으로 소유한 사람을 정확하게 식별하려면 

특히 데이터 분석 측면에서 중첩된 익명의 회사 또는 서로 다른 회사의 법적 실체를 확인하기 위해 

은행이 더 많이 투자와 분석이 필요하게 된다.

이 규칙은 금융 회사에게 중요한 변화를 의미한다. 

그러나 투명성을 높이기 위해 컴플라이언스 직원을 재교육하고 

시스템을 다시 구축하는데 많은 노력과 리소스가 필요하게 되어 과거에 비해 더욱 많은 비용이 들 수 밖에 없다.

바젤 연구소(Basel Institute on Governance)는 

2017년 바젤 자금 세탁 방지 지수 (Basel Anti-Money Laundering Index)를 발행하여 

146 개국의 자금세탁 및 테러 자금 조달 위험에 대한 평가 순위를 제공했다.

이 보고서는 이란, 아프가니스탄, 기니 비사우, 타지키스탄, 라오스, 모잠비크, 말리, 우간다, 캄보디아, 탄자니아 등 

10 개의 가장 위험한 국가를 강조했다. 

Basel은 2017년 위험이 높은 국가의 대다수가 위험 등급을 크게 변경하지 않았기 때문에 

자금 세탁 방지(AML) 및 대테러 자금 조달(CTF) 개혁이 느리게 진행됨을 표현했다. 

2017년에 자메이카, 튀니지, 헝가리, 우즈베키스탄, 페루가 가장 악화된 국가를 표시되었다.

또한 바젤은 수단, 대만, 이스라엘, 방글라데시가 2016년 이래 가장 큰 개선을 수행한 국가로 표시했다. 

이 보고서는 또한 핀란드, 리투아니아, 에스토니아가 각각 가장 낮은 위험 국가로 남아 있다고 지적했다.

바젤의 프로세스에는 재무 액션 태스크 포스, 투명성 국제기구, 

세계 은행 및 세계 경제 포럼의 평가를 고려한 방법론을 사용하여 

각국의 AML / CTF 프레임 워크를 평가하는 과정이 포함되었다.

이 보고서에 따르면, 대한민국은 146개국 중 가장 리스크가 낮은 34번째 국가이고, 미국은 31번째 국가로 평가하고 있다.

Basel_AML_Index_Report_2017.pdf

FATF(Financial Action Task Force)의 신임 의장으로 선출된 Santiago Otamendi는 

의장으로써 가장 역점을 둘 사안으로,

1. 임기중 FATF의 Recommandation을 지속적으로 개발하고, 회원국이 효과적으로 이행하고 있는지 평가할 것.

  - 여기에는 재정적 포괄 촉진, 투명성 강화, 실소유 확인 등에 포커스될 것

2. 각 회원국과의 검찰 / 사법 시스템과의 연계

3. 가장 중요한 3가지 문제는 Trade-Based Money Laundering (TBML), 

   Cybercrime 수익에 의한 자금 세탁, FATF의 공개 프로필과 ML/TF에 대한 인식 제고라고 

최근의 인터뷰에서 밝혔다. 

또한, 예전에 FATF에서 발행한 TBML Best Practice 이후, 

무역 시스템을 통해 수 십 억 달러가 자금세탁 되고, 

많은 금융당국이 TBML을 식별 대처할 능력이 부족한 현실을 고려하여

위험과 제도적인 역량을 다시 점검할 때가 되었다고 밝혔다.

이를 위해 세계 관세기구 (World Customs Organization), 인터폴 (Interpol), 유로폴(Europol) 및 

민간 부문과 같은 다른 운영 조직과 긴밀히 협력하여 이러한 문제를 해결할 것이라고 언급하였다.

http://www.todayonline.com/business/mas-clarifies-regulatory-position-digital-tokens

새로운 핀테크와 관련된 규제가 강화되고 있고, 

또한 해외에서 몇몇 거래소에 대한 벌금부과 소식이 들리고 있는 가운데,

싱가폴에서는 디지털 토큰에 대한 발행 및 제공을 규제하기로 했다는 소식이 들린다.

최근 싱가폴에서는 Funding을 받기 위한 수단으로 초기에 디지털 코인이나 디지털 토큰을 제공하는 경우가 증가하고 있는데,

디지털 토큰은 Benefit을 받거나, 특정 기능을 수행하기 위한 토큰 소유자의 권리를 암호로 보호한 표식이다.

이에, MAS()는 현재 디지털 통화 / 가상 통화로 기능하지 않는 디지털 토큰 관련 활동과 관련된 

자금 세탁 및 테러 자금 조달 위험을 규제하는 방법을 고려하고 있다. 

디지털 토큰은 트랜잭션의 익명성으로 인해 자금세탁 및 테러 자금 조달 위험에 취약하며 

단기간에 돈을 많이 모을 수있는 용이성이 있다고 MAS는 성명서에서 밝혔다.

MAS는 2014년에 디지털 통화 / 가상 통화에 대해 직접적인 규제를 수행하지는 않지만,

디지털 통화 / 가상 통화에 대한 거래소는 규제를 한다고 발표했었다.

http://www.straitstimes.com/business/banking/mas-banks-working-on-new-tech-to-help-fight-against-money-laundering-terrorism?mod=djemRiskCompliance

최근, 영국에서 촉발된 KYC(Know Your Customer)에 대한 공동 유틸리티 대응에 각 Regulator가 관심을 갖고 있다.

이는, 국가 차원에서 금융 서비스를 이용하는 국민 / 고객을 대상으로

모든 금융 기관이 동일한 정보를 접근하도록 접근성을 확대하고,

고객 입장에서는 거래하고자 하는 모든 금융 기관에 개인 정보 및 기업 정보를 제공하는 것이 아니라,

국가 차원의 공동 유틸리티에 제공하고 최신성을 유지해줌으로 해서, 

모든 금융 기관에 대응할 수 있는 장점을 가지고 있다. 

본, 기사는 싱가폴 MAS(Monetary Authority of Singapore)가 

싱가포르의 은행 그룹과 MAS가 긴밀히 협력해 KYC 프로세스를 위한 공동 유틸리티 구축을 위해 협력하고 있다는 기사이다.

이를 통해, Shell Company와 같이 계층화를 통해 UBO(Ultimate Beneficial Ownership)를 확인하기 어려운 법인 고객의 경우

Regulator 차원에서 관리함으로써 좀 더 투명하고 명확하게 UBO를 파악할 수 있다.

또한, 기술 혁신을 통해, 현재 거래 모니터링(Transaction Monitoring) 영역에서

사전에 설정된 룰(규칙) 및 임계값, 시나리오 기반에서 발생되는 

False Positive(오탐)을 줄이기 위한 노력이 필요하다고 언급하고 있다.

이러한 오탐을 줄이기 위해서는 광범위한 인력이 필요할 수 밖에 없는데,

기계 학습(Machine Learning)과 같은 정교한 기술을 통해 

네트워크의 엔터티 및 시간에 걸쳐 발생 되는 비정상적인 거래 패턴을 식별할 수 있을 것이라고 언급하고 있다.

이는 이전 포스트(http://crimecompliance.tistory.com/67 , http://crimecompliance.tistory.com/74)에서

필자가 언급한 내용이 전 세계적인 관심사항임을 확인할 수 있다. 

2017. 07. 28

FinCEN(Financial Crimes Enforcement Network; 미국 금융범죄 집행 네트워크)은 2017.07.26

Canton Business Corporation으로 알려진 BTC-e와 창립자 Alexander Vinnik에게 자금세탁 방지법 위반 혐의로 민사 처벌을 발표하였음.

이 명령에 따라,

BTC-e에 $110,003,314 , 러시아계 창립자로써 회사의 운영 및 재무의 감독 등에 참여한 Vinnik에게 $12,000,000의 벌금을 부과했다.

이 회사는 2011년부터 가상 통화의 환전소로 운영되며 전세계적으로 약 70만 명의 고객을 확보했다.

BTC-e는 랜섬웨어, 컴퓨터 해킹, 신원 도용, 공공 부패, 마약 거래 및 기타 범죄와 관련된 거래를 촉진했다는 혐의를 받았고,

이를, 미국 달러, 러시아 루블, 유로화, 비트코인 및 다른 통화 형태의 거래를 중개했다.

이 명령서에 따르면,

미국 은행 보안법(BSA; Bank Secrecy Act)에 의거 고객으로부터 필요한 정보를 얻지 못했고,

거래소로써 거래소에서 행해진 범죄 행위를 적극적으로 수용하는 것을 포함한 몇가지 위반 사항을 기록했다.

특히, BTC-e의 고객서비스 담당자는 다크 인터넷인 Sik Road, Hansa Market, AlphaBay와 같은 곳에서 발생한

불법 활동에 의해 벌어 들인 자금을 처리하고 액세스하는 방법에 대한 조언을 제공한 것으로 알려젔다.

이 회사는 또한, 세계에서 가장 큰 비트 코인 거래소중 하나에서 도난당한 자금을 처리한 혐의를 받고 있다.

아래는 FinCEN의 민사 명령서.

FinCEN.Enforcement.BTC.072617.pdf

2017년 7월 28일 

FEDERAL DEPOSIT INSURANCE CORPORATION (연방예금보험공사)의 보도자료에 따르면, 

SHBA(신한은행아메리카)와 FDIC 간에 Risk Assessment를 수행하고,
BSA/AML 관련 자격이 있는 Management를 고용하고도록 하는 동의 명령(consent order)를 체결하였다.

또한, SHBA는 아래의 항목을 준수해야할 의무를 가진다.

  - 고객 실사 프로그램을 포함하여 BSA / AML 내부 통제를 수정 

  - 자격이 있는 외부 회사를 참여시켜 SAR(Suspicious Activity Report) 프로그램의 유효성을 확인

  - 보고 가능한 거래를 탐지하기 위한 절차 검토 및 강화

  - 포착 가능한 의심스러운 활동을 찾기 위한 거래에 대한 검토를 다시 수행 

  - 모든 불법 행위의 근절

  - 명령 준수 여부를 확인하기 위한 준수 위원회 구성

FDIC는 또한, 은행에 진행 상황 보고서를 제출하도록 했고, 주주들과 이 명령을 공유하도록 명령하였다.

상세 내용은 아래 첨부 확인 (실제 명령서) 

FDIC.Enforcement.Shinhan.061217.pdf

2017.05.05 

비즈조선의 리포트에 따르면,

http://biz.chosun.com/site/data/html_dir/2017/05/02/2017050202407.html?outlink=facebook&lbFB=4fe482b32a59d7993c21b65de6d646f

금융위원회가 전자금융업자의 AML(자금세탁방지) 의무 부과를 위해

최근 미국, 영국, 중국 등의 사례를 연구하고 있고, 

이르면, 오는 연말에 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법)’을 개정해 

전자금융업자에 대한 자금세탁방지 의무 부여를 추진할 계획이다. 

또한 관련 시스템도 2019년 내 도입하기로 했다.