가상자산 거래소는 불법자금 유입 위험을 크게 낮출 수 있다. 하지만 현실적으로 그 위험을 완전히 없앨 수는 없다. 국제 자금세탁방지·테러자금조달방지, 즉 AML/CFT 체계는 가상자산과 가상자산사업자(VASP)에 대해 “무위험 증명”이 아니라 위험 기반 접근법을 요구한다. 핵심은 위험을 식별하고, 평가하고, 관리하고, 탐지하고, 보고하고, 완화하는 것이다 ^[2][5].

기준은 ‘0% 노출’이 아니라 위험 관리다

국제자금세탁방지기구(FATF)는 가상자산과 VASP에 AML/CFT 기준을 적용할 때 위험 기반 접근법이 중심이라고 본다 ^[5]. 유엔의 대테러 관련 보고서도 FATF 권고 15를 가상자산을 규제하거나 금지할 때 구체적 위험을 식별·평가·관리하도록 하는 청사진으로 설명한다 ^[2].

이 차이는 중요하다. “불법자금 노출 0%”를 약속하려면 거래소가 모든 고객, 지갑, 자산, 거래 상대방의 과거 이력과 실제 소유자, 의도, 미래 이동 경로까지 미리 알아야 한다. 그러나 현재 국제 기준이 요구하는 것은 그런 전지전능함이 아니다. 거래소가 자신이 직면한 위험에 비례하는 통제를 갖추고, 의심 활동을 완화·보고·대응하는지가 기준이다 ^[2][5].

왜 완전 차단은 어려운가

중앙화 거래소는 중요한 통제 지점이다. 고객 확인을 하고, 입출금 지갑을 살피고, 의심스러운 거래를 걸러낼 수 있다. 하지만 가상자산 생태계 전체가 거래소 안에서만 움직이는 폐쇄형 금융망은 아니다.

FATF 자료는 디파이(DeFi), 비수탁 지갑, 개인 간 P2P 거래에서 자금세탁, 테러자금조달, 확산금융 위험이 계속 존재한다고 지적한다 ^[3]. 스테이블코인과 비수탁 지갑에 관한 FATF 관련 보고서도 특히 P2P 활동에서 나타나는 취약성을 강조한다 ^[4].

여기서 말하는 비수탁 지갑은 거래소가 보관·관리하지 않는 개인 지갑을 뜻한다. 어떤 자산은 거래소 밖에서 이동하다가 나중에 플랫폼으로 들어오거나, 거래소를 거친 뒤 다시 외부 지갑·탈중앙화 프로토콜·다른 관할권으로 빠져나갈 수 있다. 거래소는 자신이 확인할 수 있는 고객, 지갑, 거래를 심사할 수 있지만, 모든 외부 경로의 이전·이후 활동을 완전히 통제할 수는 없다 ^[3][4].

국가별 규제 이행 격차도 잔여 위험을 만든다. FATF 관련 업데이트는 가상자산 기준, 특히 권고 15와 트래블 룰 이행이 관할권마다 고르지 않다는 점을 반복적으로 지적해 왔다 ^[8]. 전 세계 규칙과 집행 수준이 다르면, 한 거래소가 자체 플랫폼의 위험을 줄일 수는 있어도 가상자산 생태계 전체를 무위험 상태로 만들 수는 없다.

거래소가 실제로 할 수 있는 일

그렇다고 거래소가 손을 놓을 수 있다는 뜻은 아니다. 성숙한 거래소라면 위험을 상당히 줄일 수 있다. 기본 도구는 고객확인의무(KYC), 실소유자 확인, 제재 대상 심사, 거래 모니터링, 의심 활동 보고 등 위험 기반 AML/CFT 프로그램이다 ^[5].

가상자산 분야에서는 여기에 블록체인 분석과 지갑 위험도 평가가 더해진다. 거래소는 고위험 흐름을 식별하고, 필요하면 의심스러운 활동을 동결하거나 거절하며, 법집행기관이나 권한 있는 당국과 협력할 수 있다 ^[2].

트래블 룰 준수도 핵심 통제다. 트래블 룰은 가상자산 이전 과정에서 송금인·수취인 관련 정보를 전달하도록 하는 규제 원칙으로 이해하면 된다. FATF의 가상자산 체계는 AML/CFT 기대치를 VASP로 확장했고, 여러 관할권에 가상자산 이전 정보 요건을 이행하도록 압박해 왔다 ^[5][8].

위험이 높은 상품, 국가, 거래 상대방, 비수탁 지갑 흐름을 제한하는 것도 한 방법이다. 이는 위험이 클수록 더 강한 통제를 적용해야 한다는 위험 기반 모델에 부합한다 ^[2][5]. 다만 이런 강한 축소 전략을 쓰더라도 “앞으로 단 한 번도 불법자금 노출이 없을 것”이라는 약속까지 가능해지는 것은 아니다.

바이낸스든 다른 대형 거래소든, 무엇을 봐야 하나

바이낸스나 다른 대형 가상자산 거래소를 평가할 때 더 현실적인 질문은 “불법자금 노출을 완전히 없앴는가”가 아니다. “충분한 인력과 자원을 갖춘 위험 기반 준법 프로그램을 실제로 운영하고 있음을 입증할 수 있는가”가 핵심이다 ^[2][5].

확인해야 할 증거는 비교적 분명하다. 문서화된 위험 평가, 고객 위험 등급, 제재 대상 심사 절차, 거래 모니터링 알림, 트래블 룰 적용 범위, 의심 활동 내부 보고와 상향 절차, 고위험 지갑·거래 상대방에 대한 조치, 당국과의 협력 등이 여기에 포함된다 ^[2][5][8].

또한 프로그램이 한 번 만들어진 뒤 그대로 방치되는지도 봐야 한다. 비수탁 지갑, P2P 흐름, 스테이블코인, 디파이 주변의 위험은 계속 변하기 때문에, 거래소의 통제 장치도 그 변화에 맞춰 갱신돼야 한다 ^[3][4].

결론: 완벽함보다 작동하는 통제가 기준이다

가상자산 거래소는 불법금융을 더 어렵게 만들 수 있다. 의심 고객을 차단하고, 위험 지갑을 표시하고, 거래를 모니터링하고, 의심스러운 흐름을 거절하고, 당국과 협력할 수 있다 ^[2][5].

하지만 개방형 가상자산 환경에서 “노출 0%”는 현실적 기준이 아니다. 방어 가능한 기준은 효과적인 위험 통제다. 거래소는 자신이 어떤 위험에 노출돼 있는지 이해하고, 그 위험에 비례하는 통제를 적용하며, 의심 활동이 나타났을 때 신속하게 대응할 수 있음을 보여줘야 한다 ^[2][5].