이 기사는 2025년 05월 12일 07시34분 thebell에 표출된 기사입니다

금융정보분석원(FIU) 제도이행평가의 핵심은 자금세탁과 관련한 회사의 '고유위험'과 '운영위험'을 들여다보는 것이다. 두 지표는 상반되는 개념으로 각각 자금세탁(ML) 및 테러자금(TF) 등에 대한 위험노출도와 자금세탁방지 및 테러자금조달금지(CFT) 등 위험관리도를 나타낸다.

평가는 업권별 영업 특성이 반영된다. 자금세탁 노출 수준에 따라 위험관리 수준 등을 차등화하는 위험기반접근법(RBA)을 적용하고 있기 때문이다. 금융거래의 규모와 상품이 방대하고 규제당국 등으로부터 요구받는 관리의무가 많을수록 더욱 다양한 위험을 점검하는 방식이다.

◇위험노출·관리 수준 점검이 골자…트렌드 수시 반영

국제자금세탁방지기구(FATF)는 지난 2012년 2월 국제기준을 개정해 위험관리평가를 의무화했다. 이에 따라 금융정보분석원은 금융사 등의 자금세탁방지 위험 및 관리수준을 평가하고 있다. 연 2회 실시하는 위험평가와 이를 바탕으로 한 연간 종합평가 등이 제도이행평가에 해당한다.


평가 항목은 크게 고유위험과 운영위험으로 나뉜다. 고유위험은 금융거래 규모 및 상품 등에 따른 자금세탁·테러자금 위험노출 정도를 나타낸다. 내재위험이 클수록 평가에서 해당 지표의 점수도 높게(나쁨) 채점된다. 운영위험은 자금세탁 위험에 대한 통제수준을 의미한다. 즉 위험관리능력을 측정하며 관리가 잘 될수록 고평가 받는다.

자금세탁에 대한 고유위험과 운영위험을 들여다본다는 큰 틀은 유지되지만 세부 내용은 수시로 변경된다. 업권의 특성 변화와 새로운 자금세탁 위험의 출현을 반영하기 위해서다. 현재의 제도이행평가는 지난 2022년 금융정보분석원이 전면 개편한 평가체계를 토대로 삼고 있다.

당시 금융정보분석원은 전자금융업자·대부업자, 가상자산사업자, P2P(현 온라인투자연계금융)사업자 등 자금세탁방지 의무 대상기관의 확대와 새로운 자금세탁 위험(금융거래 디지털화, 가상자산 등) 등을 반영해 평가지표를 정비했다. 평가 지표의 공정성과 객관성도 제고했다.

평가 내용이 유사하거나 중복된 지표를 통폐합하고 자금세탁방지 수준을 평가하는 데 적절하지 않은 지표는 삭제해 평가 문항수에 대한 부담도 줄였다. 개편 초기 지표정의서(2022년) 변경목록에 따르면 운영위험과 고유위험은 각 30개, 49개의 지표가 추가되거나 수정됐다.

운영위험에서는 의심거래보고(STR) 신속성 항목을 삭제하는 대신 STR 충실도 대상을 확대했다. 자금세탁방지와 테러자금조달금지 정보보안 점검실적이 추가되고 해외 금융당국으로부터의 공식 제제와 조치도 포함됐다. 고유위험에선 가상자산사업자, 대부업 등의 신규지표가 추가됐다.

◇업권·시기별 자금세탁 위험 노출 및 관리의무 수준 고려

금융권이더라도 업권·종별 자금세탁 위험 노출 수준과 요구되는 관리의무에 차이가 있다. 금융정보분석원의 제도이행평가는 이런 업권별 영업 특성을 반영해 위험기반접근법에 따른 평가를 진행한다. 위험기반접근법의 적용은 FATF 권고사항의 이행 측면에서도 필수 요소다.


이렇다 보니 제도이행평가의 업권별 필수지정 지표가 다르다. 2024년 평가지표 개선목록 및 필수지표 현황 기준에 따르면 국내 은행의 필수지표수는 고유위험 59개, 운영위험 86개였다. 반면 새마을금고의 경우 고유위험 30개, 운영위험 82개의 필수지표가 선정됐다.

동일 업권도 시기에 따라 필수지표수가 달라진다. 자금세탁 위험 등이 새롭게 출현하거나 사라지는 데 따른 것이다. 평가제도 개편안이 발표된 2022년 당시 카드사의 고유위험 필수지표수는 54개였다. 지난해에는 이보다 2개 증가한 56개의 고유위험 지표가 필수로 지정됐다.

필수지표는 금융정보분석원의 판단 외에도 금융업권 차원에서 제외를 요구할 수 있다. 업권의 특성상 절대 관리할 수 없음이 명확한 경우에 가능하다. 개별회사의 관리 부재를 모두 고려하진 않는다. 개별회사의 필수제외 요청에 따른 제외처리를 받아들이지 않는 것도 이런 맥락이다.