금융위원회 유권해석 사례집에 대한 해석
by 김성현((주)인피닛블록 운영이사)
| 서론
지난 2월 7일, 금융위원회 금융정보분석원(FIU)는 「자금세탁방지제도 유권해석 사례집 2.0」(부제: 자금세탁방지(AML) 담당자가 꼭 알아야 하는 자금세탁방지제도 해설)을 2018년 2월 이후 6년 만에 전면 개정하여 배포하였다. 금융위원회는 본 사례집이 아직은 국내에서 생소한 자금세탁방지제도에 대한 이해 뿐만 아니라, 실무현장의 필수 지침서 역할을 한다고 밝히고 있다.
이번 사례집 개정에서 주목할 만한 점은, ‘가상자산사업자 신고대상 판단기준’ 등에 관한 유권해석 사례를 추가하였다는 점이다. 본 사례집 초판이 발간된 2018년에는 가상자산과 가상자산사업자에 대한 정의가 없었고, 2021년 3월 자로 특정금융정보법상 가상자산사업자 신고제도가 신설되면서 이번 개정본에는 이와 관련한 13개의 유권해석이 추가되었다.
하지만 업계에서는 본 사례집의 의의 및 향후 정책의 방향성에 대한 분석은 물론이고, 본 사례집의 존재 여부에 대해서도 모르는 경우가 많다. 아마 사례집의 제목만 보면 ‘자금세탁방지’[1]와 관련된 유권해석으로 보일 수 있으며, 동시에 최근의 ETF 승인, 비트코인의 가격 상승 랠리 등 다른 굵직한 이슈들에 시선이 집중되어 본 사례집을 다룰 기회가 적었기 때문일 것이다.
따라서 이번 칼럼에서는 본 사례집의 의의를 비롯하여 주요한 몇 가지 사례를 살펴보고 업계에 미칠 영향을 분석해보도록 하겠다.
| 본론
금융위를 비롯한 정부 기관은 통상 유권해석, 비조치의견서 등 다양한 방식으로 법령에 대한 해석을 내놓는다. 이는 당장 법령에 반영되는 것이 아니더라도, 해당 법령을 소관하는 행정기관 등으로부터 받는 공식적인 법령해석이므로 관련 사업자들에 대해 어느 정도의 구속력을 가질 수 있다. 고로 금융권에서는 어떤 사업을 추진할 때 기존 유권해석 사례를 참고하거나 직접 질의를 올리는 등 유권해석을 매우 중요하게 생각한다.
가상자산 업계도 예외일 수 없다. 금융위원회가 내놓은 유권해석을 보면, 현재 사업 중인 상당수의 업체가 가상자산사업자 테두리 안으로 들어와야 한다. 혹여나 A라는 업체는 가상자산사업자의 범위에서 벗어나더라도, 협업 파트너인 B사는 가상자산사업자여야 하는 때도 있다. 아래의 유권해석 사례를 살펴보자.
「자금세탁방지 유권해석 사례집 2.0」 95번, 96번 질의 사항
[95번]
어느 사업자(이하 ‘A’)가 특정금융정보법상 신고가 수리된 가상자산사업자(제3자, 이하 ‘B’)와 멀티시그 방식 2개의 개인키(Private Key)가 발급되는 방식의 전자지갑 발급에 관한 위탁계약을 체결하고, A와 B가 각자 해당 전자지갑에 관한 개인키를 1개씩 보관 및 관리, 통제를 수행하며, A는 고객으로부터 가상자산을 수탁(소비임치)하는 서비스를 제공할 경우(고객의 가상자산 출고 요청이 있는 경우, A는 자신이 보관하고 있는 개인키를 B에게 암호화하여 전달할 뿐 B가 보관하는 개인키를 제공받지 아니하므로, 어떠한 경우에도 A는 단독으로 직접 개인키를 이용한 출고 행위를 수행하지 아니함)
① A는 특정금융정보법 제2조 제1호 하목의 가상자산사업자에 해당하는지요?
② A는 특정금융정보법 제7조 제1항에 의한 신고를 하여야 하는지요?
[96번]
어느 사업자(이하 ‘A’)가 특정금융정보법상 신고가 수리된 가상자산사업자(제3자, 이하 ‘B’)와 전자지갑 발급에 관한 위탁계약을 체결하고, B가 해당 전자지갑에 관한 개인키를 보관 및 관리, 통제를 수행하며, A는 고객으로부터 가상자산을 수탁(소비임치)하는 서비스를 제공할 경우(고객의 A에 대한 가상자산 출고 요청이 있는 경우, A는 B에 고객의 요청에 따른 출고를 지시할 뿐 직접 개인키(Private Key)를 이용한 출고 행위를 수행하지 아니함),
① A가 특정금융정보법 제2조 제1호 하목의 가상자산사업자에 해당하는지요?
② A가 특정금융정보법 제7조 제1항에 의한 신고를 하여야 하는지요?
위 두 사례는 현재 국내 여러 사업자가 제공하는 지갑 서비스의 운영 방식과 상당히 유사하다. 95번과 96번에 공통으로 나오는 답변은 아래와 같다.
따라서, 고객의 개인키(Private Key)를 직접 소유하지 않더라도 개인키에 통제권을 가지며 가상자산의 이전•보관 등에 관여한다면 특정금융정보법상 가상자산사업자에 해당하여 같은 법에 따른 가상자산 사업자로서의 신고 의무를 부담합니다.
여기서 핵심은 ‘고객의 개인키를 직접 소유하지 않더라도’에 있다. 흔히 멀티시그를 통해 고객 혹은 제3의 업체에 키 절반을 주고 나머지 키를 가진 A가 단독으로 출금을 할 수 없다면, A는 가상자산사업자가 아니라고 생각한다. 또한 외부 위탁업체 B에 지갑 발급(키 발급 및 키 관리를 포함)을 위탁하여 이를 우회하려는 사례들이 있다.
위 두 질의 사항에 대한 금융위원회의 답변은 해당 사례들의 사업 행태와 완전히 배치된다. 멀티시그를 통해 키를 나눠 가졌거나 지갑 발급을 B에 위탁하여 A는 키를 가지지 않더라도, A가 운영하는 플랫폼 혹은 위탁업체인 B를 거쳐야 가상자산의 출고가 이뤄진다고 하면 A와 B 모두 가상자산사업자에 해당할 수 있다. 만에 하나 A는 메타마스크[2]와 같이 플랫폼을 제공만 할 뿐 자체 서버를 통한 출금 요청을 지원하지 않더라도, 위탁업체로 지정된 B는 가상자산사업자가 되어야 한다.
하지만 현재 대다수 사업자는 고객에게 온전히 키를 주지 않을뿐더러 고객이 출금을 요청하는 경우, 본인들이 운영하는 서버를 거쳐야 이전이 일어나는 구조로 운영되고 있다. 이는 CS 및 회사 평판 관리 차원에서 고객의 키 분실로 인한 자산 손실 발생에 대응하기 위함이며, 실제 키를 내어주더라도 여전히 본인들의 서버를 거쳐 자산을 이전할 수 있다면 위 질의 사항에 해당한다 볼 수 있다.
더 나아가 금융위원회는 ①가상자산 거래소가 제공하는 API 서비스를 통해 거래소의 일반 사용자를 대상으로 알고리즘에 따라 가상자산 자동매매 소프트웨어 개발•공급 ②증권사가 자사 고객으로 하여금 자체 앱(App)을 통해 가상자산을 매매할 수 있는 서비스를 제공하고 소개 및 홍보 수수료를 수취하는 때도 가상자산사업자에 해당할 수 있다는 해석을 내놓았다.
위 해석은 특정금융정보법 제2조제1호하목에 규정된 가상자산사업자의 영업행위 중, 가상자산의 매수•매도 및 가상자산간 교환을 중개•알선•대행하는 행위를 적용한 해석이다. 이는 거래소•지갑 서비스 등과 같이 직접 키를 통제하는지를 떠나 영리 목적의 중개•알선•대행 행위에 ‘관여’[3]한다면, 가상자산사업자에 해당할 수 있다는 것으로 금융위원회가 얼마나 광범위하게 가상자산사업자를 규정하려는 지 알 수 있는 대목이다.
유권해석을 통해 파악할 수 있는 금융위원회의 의지는 자명해 보인다. 바로 ‘이용자 보호’이다. 올해 초부터 국내 가상자산 시장은 여러 건의 해킹 사건으로 몸살을 앓았다. 대부분 가상자산사업자의 울타리 밖에 있는 업체들이었다. 정부의 규제 도입이 답답한 면도 없지 않으나, 업계는 업계대로 정부의 암묵적인 요구에 따라오지 못하고 있는 것이 현실이다. 특히 업권법 보다 먼저 시행되는 법령이 ‘가상자산이용자보호법’이며, 수준 미달의 가상자산사업자를 퇴출하려는 금융위원회의 움직임만 보더라도 얼마나 이용자 보호에 민감한지 알 수 있다.
이 맥락에서 필자가 추측하기로는, 정부는 최대한 가상자산사업자의 범위를 넓게 해석하여 미신고 사업자의 수를 줄이는 동시에 나머지 사업자들도 가상자산사업자 범위에 포함하고 싶을 것이다. 시간이 지날수록 이 현상은 가속화될 수밖에 없으며 국내에서는 가상자산사업자 신고 후 사업을 하거나, 완전한 탈중앙화 사업을 하는 선택지가 남을 수 있다. 둘 중 무엇도 선택할 수 없는 업체는 국내 사업을 포기하고 해외로 떠나거나 아예 사업을 종료할 것으로 감히 예상해본다.
| 결론
지금까지 유권해석이 가지는 의의와 자금세탁방지 유권해석 사례집의 개정 내용을 간략하게 살펴보았다. 본 사례집에는 이 외에도 여러 유권해석이 실려있으니 관심이 있는 분들은 꼭 찾아보기를 바란다. 특히 업계의 사업자들은 본 유권해석 내용을 아전인수 하지 말고 꼼꼼하게 점검했으면 하는 마음이다. 당장은 눈앞의 사업을 위해 외면하고 회피할 수 있지만, 지금 주어진 선택의 기회마저 없어지는 미래가 온다면 그 피해는 모두 어디로 갈 것인가? 더 이상 이용자 보호에 소홀한 가상자산 업계가 되지 않도록, 우리 모두 자성의 목소리를 높여야 할 때이다. “끝”.
1 사실 가상자산사업자 신고와 관련한 기준은 특정금융정보법에 포함되어 있으며, 특정금융정보법이 자금세탁방지 내용을 주로 다루는 법령임을 고려할 때 가상자산 관련 내용은 본 사례집에 당연히 포함되어야 한다.
2 물론 메타마스크도 KYC, AML 등의 목적으로 개인정보를 수집하겠다 밝힌 바 있으며 이는 탈중앙화 사상에 어긋난다고 하여 상당한 논란이 된 바 있다. 참고로 전 세계적으로 지갑에 대한 KYC와 AML 도입이 요구되고 있어 향후 중앙화된 가상자산서비스(커스터디, 거래소. 지갑 등)에 외부 지갑 연동 시, 탈중앙화 지갑이라 하더라도 KYC를 거친 후 등록해야 할 가능성이 농후하다.
3 실제 유권해석 사례집에 광범위하게 해석될 수 있는 ‘관여’라는 표현이 여러 차례 등장한다.