당사는 가상화폐거래소 (VASP: Virtual Asset Service Providers)를 위한 자금세탁방지 솔루션, cryptoAML-PRISM을 출시한 바 있습니다.
cryptoAML-PRISM에서 Black List 지갑 여부를 판단하거나, 코인 이동간 연계된 각 지갑들간의 연계분석 및 추적 기능을 제공하는 솔루션 협력사인 센티넬 프로토콜에서 AML과 RBA에 관련한 인터뷰가 있었습니다.
6월 말 국제 자금세탁방지기구(FATF)가 암호화폐 거래를 포함한 자금세탁 방지 관련 새 지침을 내놓은 이후 관련 업계는 어떤 조치를 해야 할 지 혼란스러워하고 있다.
기존 금융권처럼 암호화폐 거래 역시 송금자와 수신자 정보를 거래소 간에 공유해야 한다는, 이른바 트래블 규정(Trable Rule)을 놓고 특히 혼란이 크다.
정부 정책도 분명치 않고 기술적으로 구현하는 게 불가능에 가깝다는 얘기까지 나오는 마당에, 괜히 먼저 나서 시행착오를 겪을 필요는 없다는 의견이 많다. 내부적으로 자금세탁방지(AML) 프로세스를 업그레이드 해 나가면서 트래블 규정은 다른 사례를 보고 대응하는 것이 현실적이다.
이와 관련해 블록체인 기반 보안 솔루션 업체인 센티넬 프로토콜은 거래소들이 트래블 규정에만 초점을 맞춰서는 FATF 새 지침에 담긴 의미를 제대로 읽을 수 없다고 강조했다. 트래블 규정 보다 중요한 메시지가 있는데, 논의의 판이 트래블 규정 중심으로 이뤄지니 논의의 핵심이 빠져 있다는 지적이다.
중대한 의미를 담고 있음에도 저평가되고 있는 키워드는 바로 위험 기반 접근(Risk based Approch: RBA)이다.
PDF 파일로 된 FATF 새 지침 문건에도 AML이 아닌 RBA가 표지를 장식한다. AML이나 RBA나 비슷하지 않느냐고 할 수도 있겠지만 암호화폐 업계에 미치는 영향을 다를 것이란 게 센티넬 프로토콜의 입장이다.
브라이언 양(한국명, 양근우) 센티넬 프로토콜 부사장은 RBA와 관련해 기업들이 기존 AML 수준을 뛰어넘는 조치를 취해야 한다는 것이 핵심이라고 강조했다.
그에 따르면 기존 AML 프로세스는 다우존스에서 블랙리스트 DB 사다가 설치하고, 사용자 중 이와 일치하는 명단이 확인되면 정부 규제당국에 보고하는 과정이 대부분이었다.
하지만 RBA에선 얘기가 달라질 수 있다. RBA는 블랙리스트 DB에 등록되지 않은 이들 중에서도 위험 가능성이 있는 사람을 찾아내는 역량까지 갖추라고 요구하는 것으로 봐야 한다는 것이 양 부사장의 설명이다.
그는 ";암호화폐 거래소 등도 테러 및 제금 세탁 방지를 위해 RBA 기반으로 금융권에 준하는 AML을 해야 할 것";이라면서 ";기존 AML 솔루션만으로 RBA 개념을 커버하는 것은 한계가 있다";고 말했다.
보안 솔루션으로 치면 AML이 취약점이 이미 공개된 보안 위협을 막는 것이라면 RBA는 취약점이 알려지지 않은, 제로데이(Zero-day) 공격을 상대해야 하는 것에 가까운 개념이다.
취약점 DB를 기반으로 보안 위협을 막는 솔루션이 제로데이 공격에선 무용지물일 수 밖에 없듯, 기존 AML 솔루션으로 RBA를 커버하는 것은 역부족이라는 것이다.
양 부사장은 ";지금까지와는 다른 접근 방식이 필요하다";면서 ";센티넬 프로토콜은 금융 AML 전문업체 옥타솔루션과 제휴를 맺고 RBA에 대응할 수 있는 제품을 암호화폐 기업들에게 공급하는데 초점을 맞추고 있다";고 말했다.
옥타솔루션은 사람, 센티넬 프로토콜은 계좌 정보 분석에 집중하면서 블랙리스트 DB에 없는 위협 정보를 파악할 수 있는 프로세스를 갖추겠다는 것.
센티넬 프로토콜은 탈중앙화된 위협 정보 데이터베이스(Threat Reputation Database, TRDB)를 구축하고, 이를 거래소 등에게 제공하려고 한다. TRDB는 센티넬 프로토콜이 추구하는 플랫폼 전략의 핵심으로 수집한 다양한 위협 데이터는 보안 전문가의 검증을 거친 후 데이터베이스에 저장 및 공유된다.
블랙리스트 DB에 없더라도 테러나 자금세탁의 신호를 찾는데 활용될 수 있다는 것이 회사 측의 설명이다.
센티넬 프로토콜은 트래블 규정에 대해서도 너무 겁먹을 필요는 없다는 입장이다. 쉽게 풀 수 있는 문제는 아니지만 기술적으로 불가능한 수준의 이슈는 아니라는 것이다.
양 부사장은 ";FATF가 트래블 규정과 관련해 VASP((Virtual Asset Service Providers)들에게 요구하는 정보는 일반 금융권에 비해 적다";고 지적했다. 그는 ";송신자는 이름, 계좌, 주소, 수신자는 이름과 계정 정보만 공유하면 된다";면서 ";이름과 계좌 정보는 거래소들이 갖고 있고 주소가 부담이 될 수 있지만 문건을 자세히 보면 송신자 주소는 사회보장 번호(주민등록번호 등), 또는 거래소가 발급하고 관리하는 고객 식별 번호로 바꿔도 되는 만큼, 개인정보보호법과 크게 충돌하지 않을 수 있다";고 설명했다.
FATF가 거래소 등 VASP들이 고객간 거래 정보의 공유방식을 구체적으로 명시하지 않았다는 점도 주목할 필요가 있다. 양 부사장은 ";거래시 고객 정보를 온체인상에서 실시간으로 공유하는 것은 어렵지만 거래 후 공유하는 것도 가능할 것으로 보이므로 기술적으로 넘기 힘든 장벽은 아니다";고 말했다.
물론 VASP들간에 정보를 공유하는 프로세스를 구축하는 것이 현실적으로 만만한 일은 아니다. 국내를 넘어 글로벌 차원의 협력이 필요한 만큼 특정 거래소가 나선다고 풀 수 있는 성격의 일도 아니다.
암호화폐에 부정적인 한국 정부가 앞장서서 분위기를 주도할 것이라고 기대하기도 현재로서는 어렵다. 하지만 일각에서 우려하는 대로 실행 파일을 만드는 것 자체가 기술적으로 불가능한 것은 아닌 만큼, 해결책을 찾을 수 있을 것으로 양 부사장은 전망했다.