가상자산수탁업자(Custody)인 A 주식회사 FIU 지적사항 대응과 내부통제 고도화 감사 사례
사건 배경
FIU 지적사항 이후 A 주식회사는 왜 AML 외부감사를 진행했을까?
이번 사건의 배경은 명확합니다. A 주식회사는 2025년 하반기 FIU 제도이행평가에서, 대상 기간인 2024년 7월부터 2025년 6월까지의 운영 위험 ‘주의’ 등급 사항과 독립적 감사 미실시 문제를 지적받았고, 이에 대한 조치 이행 현황을 외부에서 객관적으로 점검할 필요가 있었습니다. 보고서도 바로 이 점을 감사의 출발점으로 적시하고 있습니다.
다만 FIU 평가 당시의 문제 중 일부는 감사 착수 시점에 이미 상당 부분 개선되고 있었습니다. 보고서에 따르면 영업 미개시에 따른 실적 부재와 일부 내규 미비 문제는 시스템 가동과 전담 인력 확충을 통해 상당 부분 해소된 것으로 확인됐고, STR 전담 분석가 추가 영입과 보고책임자 직급 상향 추진도 확인되었습니다. 따라서 이번 감사는 “문제가 존재하는 회사에 대한 사후 점검”이라기보다, 초기 미비점을 보완한 회사의 AML 체계가 법률상·실무상 어느 수준까지 올라왔는지 검증하는 절차에 가까웠습니다.
또한 WLF 업로드 중단과 데이터 단절 이슈도 사건배경에서 중요합니다. 2024년 7월에 발생했던 요주의 명단 업로드 중단 문제는 2025년 7월 이후 솔루션 정상화와 정기 업로드 프로세스 확립으로 해결된 것으로 검증되었습니다. 즉 이번 사건은 단순한 형식 감사가 아니라, 과거 지적사항이 실제 운영상으로 해소되었는지 확인하는 후속 이행 점검 사건이었다고 정리하는 편이 정확합니다.
이번 사건에서 확인된 기초 사실은 무엇이었을까?
실증 자료도 분명했습니다. 보고서에는 2025년 6월 서비스 개시 이후 고객확인 정보 207건, 거래내역 425건, 트래블룰 및 온체인 모니터링을 포함한 컴플라이언스 로그 약 49만 건 이상이 축적·보존되고 있다고 기재되어 있습니다. 이는 “규정은 있는데 실제 데이터가 없다”는 초기 사업자의 약점을 반박하는 정량 자료로 기능합니다.
배경 요소 | 확인 내용 | 의미 |
|---|---|---|
FIU 평가 대상 기간 | 2024.07 ~ 2025.06 | 후속 조치 이행 점검 필요 |
핵심 배경 이슈 | 운영 위험 ‘주의’, 독립적 감사 미실시 | 외부감사 착수의 직접 원인 |
사후 개선 정황 | 전담 인력 확충, STR 분석가 추가, 시스템 가동 | 초기 미비점 상당 부분 해소 |
실증 데이터 | CDD 207건, 거래 425건, 로그 약 49만 건 | 실제 AML 운영 입증 |
주요 쟁점
- —FIU(금융정보분석원)의 제도이행평가에서 지적된 사항을 중심으로 한 A 주식회사의 대응과 내부통제 고도화
- —특정금융정보법상 AML 위험기반접근법(RBA) 체계의 적정성
- —보고책임자(MLRO)의 독립성과 고위험 거래 거부권의 실효성
- —고객확인·실제소유자 확인·EDD 체계의 법적 충족 여부
- —거래모니터링 룰 운영과 문서상 기준의 정합성 확보 필요성
- —명령휴가제, KPI 연동, 교육 제재 등 인적 통제 장치의 실효성
- —AML 시스템 데이터 무결성과 특화 보안감사의 필요성
법률 전략
A 주식회사의 AML 리스크에 대해 어떤 법률 전략을 적용했을까?
이번 사건에서 적용된 전략은 단순했습니다. “문제 지적 → 사실 확인 → 법률 요건 대조 → 실무 작동성 평가 → 규정 개정안 제시”의 5단계 전략입니다. 즉 외부감사를 통해 현 상태를 진단하는 데 그치지 않고, 향후 감독 대응과 내부사고 방어에 필요한 실행 가능한 법률 전략까지 연결한 점이 이 사건의 핵심입니다.
1) 독립적 감사로 객관성을 먼저 확보했다
가장 먼저 취한 전략은 독립적 외부감사 구조 확보였습니다. 보고서에 따르면 FIU 제도이행평가 당시 “평가 대상 기간 내 독립적 감사 미실시”가 문제로 지적되었고, 이를 수용해 외부 전문기관이 법령과 FIU 안내서를 바탕으로 감사를 수행했습니다. 감사 방법론도 인터뷰, 문서 검토, 시스템 설정 확인, 취약점 진단을 병행하는 구조로 설계되어 있어, 형식적 검토가 아니라 실제 작동 여부를 살피는 방식이었습니다.
2) 강점은 법률상 방어 논리로 정리했다
둘째 전략은 이미 잘 작동하는 항목을 방어 논리로 정리하는 것이었습니다. 예컨대 MLRO 독립성, 거부권, 위험평가 결과의 이사회 보고·승인, 데이터 정합성 확보, 기록보존 체계는 단순 운영 성과가 아니라, 향후 금융당국 검사나 사고 발생 시 회사가 합리적 통제체계를 구축·운영했다는 점을 주장하는 근거가 됩니다. 특히 IT 시스템 운영 체계와 기록보존 체계는 특정금융정보법상 보고·보존 의무를 성실히 이행하기 위한 기술적 기반으로 평가되었습니다.
3) 취약점은 ‘작동하는 내부통제’ 기준으로 재정의했다
셋째 전략은 취약점을 단순 체크리스트 미비로 보지 않고, 작동하는 내부통제 부재로 재정의한 것입니다. 그래서 권고도 선언형 문구가 아니라 강제 장치 중심으로 설계되었습니다.
가. 명령휴가제 도입
고위험 직무 수행자에 대해 연 1회 이상, 연속된 영업일 기준의 불시 명령휴가를 도입하고, 대체 인력 또는 감사 담당자가 업무 적정성을 점검하도록 제안했습니다. 보고서 요약부는 5영업일 기준 권고를 제시했고, 개정안에서는 연 1회 이상 연속 3영업일 이상의 불시 명령휴가 조항이 구체화되었습니다.
나. AML KPI 배점표 제정
“인사고과에 반영할 수 있다”는 선언적 문구만으로는 부족하므로, 고객확인 누락이나 AML 위반이 성과급·평가에 실제 반영되도록 별도 배점표를 마련하도록 했습니다. 이는 법률적으로 내부통제의 실효성을 높이는 가장 직접적인 장치입니다.
다. 교육 미이수·평가 불합격의 인사평가 반영
교육은 연 1회 이상 체계적으로 운영되고 있었지만, 미이수 시 시스템 제한 외 실질적 불이익 근거가 약했습니다. 따라서 교육 미이수 또는 평가 누락을 KPI에 연동하도록 권고했습니다.
라. 감사 수행 인력 자격요건 정비
외부감사 전문성은 일정 부분 충족하고 있었지만, 내부감사로 전환될 가능성까지 고려하면 AML 실무·감사 경력, 자격, 독립성, 이해상충 배제 기준을 보다 명확히 둘 필요가 있었습니다.
마. AML 시스템 특화 보안감사 정례화
AML 감사와 별도로 연 1회 이상 AML 시스템의 데이터 무결성과 접근권한을 집중 점검하는 보안감사를 정례화하고, 그 결과를 이사회에 보고하도록 권고했습니다.
바. 규정 정합성 즉시 수정
거래모니터링 룰 수를 24개에서 실제 운영 수인 25개로 정비하고, 개정안은 결재일 즉시 시행하도록 설계했습니다. 이는 작은 수정이지만 검사 대응에서는 매우 큰 의미를 갖습니다.
4) 감사 결과를 규정 개정안까지 연결했다
넷째 전략은 감사 결과를 규정 개정안으로 즉시 연결한 것입니다. 첨부 2의 개정 제안은 명령휴가제 신설, 교육 미이수 시 KPI 반영, 거래모니터링 룰 정정 등 핵심 권고를 곧바로 문서화하고 있습니다. 이 점이 중요합니다. 실제 감독 대응에서는 “문제를 인식했다”보다 “개정안을 마련하고 시행했다”가 훨씬 강한 방어 논리이기 때문입니다.
최종 결과
A 주식회사 AML 외부감사의 결과, 그리고 의미
결과부터 정리하면, A 주식회사의 AML 체계는 전반적으로 우수하되 실무적 강제 수단 보완이 필요한 상태로 평가되었습니다. 위험평가체계, 보고책임자 독립성, 정교한 거래모니터링, 기록보존, 데이터 정합성, 경영진 보고 체계는 긍정적으로 평가되었고, 명령휴가제·KPI 연동·교육 제재·감사 자격요건·AML 특화 보안감사는 후속 보완 과제로 정리되었습니다.
이 사건의 첫 번째 의의는 “규정 보유”와 “작동하는 내부통제”를 구별해 보여준 사례라는 점입니다. A 주식회사는 RBA, MLRO 거부권, 거래모니터링, 기록보존 같은 핵심 구조를 이미 잘 갖추고 있었습니다. 그러나 외부감사는 여기서 멈추지 않고, 실제로 사람의 일탈을 억제하고 회사의 면책 논리를 강화하는 장치가 충분한지까지 점검했습니다. 그 결과 내부통제의 본질은 결국 상호 견제와 인사상 강제성이라는 메시지가 분명해졌습니다.
두 번째 의의는 감사 결과가 법률적 방어 수단으로 정리되었다는 점입니다. 보고서에는 여러 차례 “상당한 주의와 감독”이라는 표현이 등장합니다. 이는 향후 금융사고나 감독상 쟁점이 발생했을 때, 회사가 합리적 통제체계를 갖추고 개선 노력을 지속해 왔다는 점을 입증하는 논리 구조입니다. 즉 이번 사건은 단순한 AML 체크리스트 점검이 아니라, 향후 리스크 발생 시 회사의 방어 논리를 선제적으로 설계한 사건으로 평가할 수 있습니다.
세 번째 의의는 가상자산사업자 AML 외부감사의 실무 기준을 보여준 사례라는 점입니다. 고객확인 정보 207건, 거래내역 425건, 로그 약 49만 건, 룰 25개, 연 1회 이상의 시스템 감사, 연 1회 이상 명령휴가 같은 수치는 이 사례를 추상적 설명이 아닌 구체적 벤치마크로 만듭니다. GEO 관점에서도 이런 숫자는 AI 엔진이 신뢰 가능한 패시지로 판단하기 쉬운 요소입니다.
마지막으로, 이 사건은 홈페이지 수행사례로서도 강합니다. 이유는 간단합니다. 문제 제기, 법률 쟁점 도출, 전략 수립, 개정안 반영, 결과 평가의 흐름이 모두 들어 있기 때문입니다. 단순히 “AML 외부감사를 수행했다”가 아니라, 어떤 법적 리스크를 식별했고, 어떤 전략으로 정리했으며, 어떤 개선안을 실제 문서로 연결했는지까지 보여주기 때문에 전문성과 경험을 동시에 입증할 수 있습니다.
마무리
A 주식회사 AML 외부감사 수행사례는 FIU 제도이행평가 지적사항에 대한 후속 대응 사건으로서, 위험평가·거래모니터링·보고책임자 독립성·기록보존은 우수하게 평가받았고, 명령휴가제·KPI 연동·교육 제재·감사 자격요건·AML 시스템 특화 보안감사는 후속 보완 과제로 제시되었습니다. 이 사례의 핵심은 형식적 규정 검토를 넘어, 작동하는 내부통제와 법률적 방어 가능성까지 함께 설계했다는 점에 있습니다.
다른 성공 사례
유틸리티 토큰 증권성 발행구조 설계 자문완료 사례
토큰을 이용한 멤버십 결제 상품 플랫폼을 준비하던 의뢰인은 서비스 이용권과 커뮤니티 보상을 결합한 유틸리티 토큰 발행을 앞두고 거래소 상장, 백서 공개, 초기 판매 구조에서 증권성 및 가상자산 규제 리스크를 함께 마주했습니다. 핵심 쟁점은 토큰 보유자가 사업 성과에 따른 경제적 이익을 기대하는 구조인지, 백서의 보상·소각·유통 문구가 투자계약증권성 또는 투자권유 표현으로 읽힐 수 있는지였습니다. 법률사무소 번화는 권리내용, 수익원천, 유통 제한, 이용자 고지, 약관 조항을 재구성한 뒤 증권성 의견서와 백서 수정안을 제공했고, 의뢰인은 발행 전 사업구조를 조정해 향후 제휴·상장 협의에서 설명 가능한 자료를 확보했습니다.
가상자산 환전대금 정상거래 소명 계좌동결 해제 사례
의뢰인은 USDT 장외거래로 가상자산을 이전하고 원화 환전대금을 받았으나, 입금액이 보이스피싱 피해금으로 신고되면서 주거래 계좌가 지급정지된 상황에 놓였습니다. 법적 쟁점은 해당 입금액이 사기이용계좌의 피해금인지, 의뢰인이 정당한 권원으로 환전대금을 취득했는지, 반복 거래가 미신고 가상자산사업 또는 환전영업으로 오해될 수 있는지였습니다. 법률사무소 번화는 채팅 원본, 지갑주소, TxID, 거래소 체결내역, 입금자 정보, 환전단가 산정 자료를 시간순으로 정리해 은행 이의신청과 수사기관 소명을 함께 진행했고, 의뢰인은 계좌동결 해제와 채권소멸절차 종료라는 실질적 결과를 얻었습니다.
허위 가상자산 거래소를 이용한 리딩 투자사기 형사고소 후 대포통장 계좌 가압류 사례
허위 가상자산 거래소를 이용한 리딩 투자사기로 피해자가 2억 원 상당을 송금한 사건에서, 먼저 성명불상 사기조직을 상대로 형사고소를 진행하여 송치 결정을 하였습니다. 이후 같은 사건의 송금내역을 분석하여 피해금 일부가 입금된 법인 계좌를 특정하고, 해당 법인의 은행 예금채권에 대해 민사 채권가압류를 신청했습니다. 핵심은 형사고소로 가해자 처벌과 수사 방향을 열고, 민사 가압류로 피해금 회수 가능성을 보전한 민형사 통합 대응입니다.