블록체인, '돈 세탁·사기 방지' 뿌리부터 바꾼다

블록체인 기술이 점차 지능화되는 금융 서비스 산업의 EFM(기업 부정행위 관리, enterprise fraud management)과 AML(돈세탁 방지, anti-money laundering) 규제에 대한 해법으로 부상하고 있다.

최근 포레스터 리서치가 내놓은 보고서에 따르면, 블록체인의 분산 원장은 (그 보안과 불변성 때문에) 새로운 정부 규제를 위반하지 않으면서 신원 확인을 위한 신뢰할 수 있는 저장소로 이상적이다.

포레스터 리서치의 수석 애널리스트인 마사 베넷은 “분산 원장은 기기 ID, 사기 행위자, 거래 내역 및 AML과 EFM에 사용되는 각종 블랙리스트를 제공하는 신뢰할 수 있는 저장소가 될 수 있다. AML과 EFM 업체만 이러한 저장소를 업데이트 할 수 있는 것이 아니다. 이들 외에도 새로운 아이덴티티 코인과 소셜 아이덴티티 인증 업체도 (그리고 금융기관 자신도) 주요 블랙리스트를 수정할 수 있다"라고 말했다.

정부 기관 역시 민감한 데이터를 안전하게 보호하기 위해 블록체인 네트워크 사용을 검토하고 있다. 그러나 아직 실제 도입한 사례는 거의 없다.



올 해는 규제 강화로 인해 금융 서비스 기관이 고객의 사생활 보호와 온라인, 모바일 지급 정보를 더 안전하게 보호해야 할 압박을 느끼고 있다. 강화된 규제 내용으로는 PSD2(지급 서비스 지침 개정안, Revised Payment Service Directive)와 GDPR(개인정보보호 규정, General Data Protection Regulation) 등이 있다. 이 밖에도 현재 논의가 진행중인 5AMLD(5차 유럽 연합 돈세탁 방지 지침, Fifth European Union Anti-Money LAundering Directive)은 가상 통화, 선불 카드, 정보 공유 및 고객 주의 의무에 대한 관리, 감독을 강화하는 내용이다.

오는 5월부터 GDPR로 인해 유럽 은행은 고객의 개인 식별 정보를 저장, 관리, 사용 및 배포하는 방식을 완전히 바꿔야 한다. 보고서에 따르면, 블록체인 기반의 AML 및 EFM 기기, 화이트리스트, 그리고 거래 데이터 공유에 참여하고자 하는 금융 기관은 이러한 규제에 맞도록 자사의 사생활 보호 정책과 툴을 적합하게 수정해야 한다.

포레스터 리서치는 사생활 보호 규제와 발표에 블록체인 저장 데이터 자산도 고려해야 할 것으로 전망한다. 포레스터 리서치의 수석 애널리스트인 안드라스 세르는 “GDPR은 (개인 식별 정보를) 안전하게 관리하기 위한 중요한 규제이다. 암호화 알고리즘 표준화와 FIPS 등의 강도 테스트(strength testing) 또한 중요한 단계라고 할 수 있다”라고 말했다.

돈 세탁 및 부정행위로 낭비되는 돈
사기 거래부터 가짜 반품까지 지난 해 소매업에서 발생한 부정행위는 전체 거래의 1.9%를 차지했다. 1.47%였던 2016년보다 더 증가했다. 2017년 미국 내 소매업 총 매출이 3조 5,600만 달러이므로, 이러한 부정행위로 인한 비용 낭비가 680억 달러에 달한다. 뿐만 아니라 돈세탁을 추적, 예방하는 데 드는 비용이나 이러한 조치를 제대로 이행하지 않는 기업에 부과하는 벌금 역시 만만치 않은 수준이다.

예를 들어 2018년 네덜란드의 라보 은행(Rabobank)은 불법 자금을 처리하다가 3억 6900만 달러의 벌금을 물었다. 지난 해 소비자 신용평가기관 에퀴팩스(Equifax)는 1억 4300만 건의 기록을 도난 당하기도 했다. 다크넷 등에 민감한 소비자 정보가 유출돼 널리 퍼져 있다는 점, 그리고 훔친 데이터와 가짜 정보를 이용해 신용카드와 은행 계좌를 개설하는 명의 도용 범죄가 성행하고 있다는 사실 등을 보면 기존 고객알기(know-your-customer) 제도가 그다지 신뢰할 수 없는 시스템임을 알 수 있다.

AML과 EMF를 이행하는 것은 결코 쉽지 않다. 방대한 데이터가 필요한 작업이기도 하다. 보고서는 “거래를 허용하기 전에 신원을 확인할 수 있다면 복잡한 지급 생태계 내에서 발생하는 부정 행위를 피하는 데 도움이 될 것이다”라고 말했다. 바로 이런 측면에서 블록체인이 유용하게 쓰일 수 있다. 정보 변경이 불가능한 블록체인의 특성상, 거래 기록이 이전 거래의 식별장치 및 아티팩트(artifact)를 포함하고 있는지 확인할 수 있다. 보고서는 “이로 인해 기존의 AML 및 EFM 시스템보다 거래 기록을 추적하기가 더 쉬워 진다”라고 말했다.


블록체인 기술의 도입은 기존 신원확인 기술 보유 업체에 위기가 될 것으로 보인다. 에퀴팩스, 익스피리언(Experian), RELX, 그리고 트랜스유니언(TransUnion)은 물론이고 다우 존스(Dow Jones)나 월드-체크(World-Check)와 같은 워치 리스트 업체 또한 블록체인이 제공하는 돈 세탁 방지 데이터에 도전을 받게 될 것이다.

세르는 북미에서 AML과 EFM에 블록 체인 기술이 본격적으로 도입되는 것은 최소 1~2년 후가 될 것으로 본다. 다른 지역은 시간이 더 필요하다. 그는 "처음에는 기업 블록체인 네트워크와 전통적인 AML, EFM 툴이 병행될 가능성이 크다. 가장 중요한 것은 EFM 및 AML에 블록체인 기술을 도입하기 위한 규제, 프라이버시, 그리고 법적 프레임워크를 마련하는 것이다"라고 말했다.

보고서는 데이터 제공 업체와 은행, 금융 기관들 모두 분산, 통제된 블랙리스트/화이트리스트 제작에 참여할 수 있고, 프라이버시 컨트롤 된 거래 내역 저장 블록체인에도 참여하게 될 것으로 전망했다. 또한 블록체인 기술은 이더리움, 멀티체인, 오픈체인과 같은 오픈소스 소프트웨어에 기반하고 있으므로 플랫폼 취득에 들어가는 비용이 적으며, 누구나 이행 과정에서 발생하는 보안 문제를 확인하고, 감사하며, 수정할 수 있다.

기업 부정행위 관리 및 돈세탁 방지 규제는 반복되는 패턴을 찾고, 이를 벌인 범인을 식별해 조사를 진행하는 절차를 밟는다는 점에서 비슷하다. 보고서는 “가장 큰 차이점이라면, AML은 대응적인 반면 지난 5년 간 EFM은 선제적인 모습을 보여 주었다는 것이다. EFM에서 실시간 데이터 사용은 이제 표준이 됐다. EFM은 리스크 기반 인증 및 계정 탈취 탐지, 그리고 백-엔드 거래(지급) 모니터링 등에 블록체인 기술을 이용하게 될 것이다”라고 전망했다. ciokr@idg.co.kr