QA가 알아야 할 자금세탁방지법, 특정금융정보법(특금법) 핵심 정리

QA의 검증 포인트:
- 우리 서비스의 KYC 프로세스가 특금법 시행령에서 요구하는 모든 절차(이름, 생년월일, 연락처 등)를 빠짐없이 수행하고 있는지 확인해야 합니다.
- 고객의 위험도에 따라 CDD(고객 확인)와 EDD(강화된 고객 확인)가 올바르게 적용되는지, 시나리오 테스트를 통해 검증해야 합니다.

특금법은 금융회사가 ‘의심스러운 금융거래’를 발견했을 때, 이를 금융정보분석원(KoFIU)에 보고하도록(STR) 의무화하고 있습니다.

QA의 검증 포인트:
- 우리 서비스의 거래 모니터링 시스템(TMS)이, 법에서 규정한 의심스러운 거래 유형(예: 고액 현금 거래, 분산 거래 등)을 정확하게 탐지해 내는지 테스트해야 합니다.
- 탐지된 거래에 대해, STR 보고서가 규정된 형식과 필수 정보를 포함하여 올바르게 생성되는지 데이터 레벨에서 검증해야 합니다.

의심 여부와 관계없이, 일정 금액 이상의 현금 거래는 무조건 금융정보분석원에 보고(CTR)해야 합니다.

현재 기준은 ‘거래일 동안 1천만 원 이상’입니다.

QA의 검증 포인트:
- 한 명의 고객이 하루 동안 여러 번에 걸쳐 현금 거래를 하여, 그 합계가 1천만 원을 넘는 시나리오를 테스트해야 합니다.
- 이때 CTR이 자동으로 생성되고 보고 대상에 포함되는지 확인해야 합니다.

최근 개정된 특금법에서 가장 중요한 변화 중 하나는 ‘가상자산사업자(VASP)’, 즉 암호화폐 거래소 등을 법의 테두리 안으로 끌어들인 것입니다.

트래블룰(Travel Rule)이란?
- 가상자산을 이전할 때, 보내는 사람과 받는 사람의 신원 정보를 기록하고, 가상자산을 이전받는 사업자에게 해당 정보를 제공해야 한다는 규칙입니다.
- 현재 기준은 100만 원 이상의 가상자산 이전 시 적용됩니다.
QA의 테스트 과제:
- 트래블룰은 QA에게 새로운 도전 과제입니다.
- 다른 거래소(VASP)와 API를 통해 신원 정보를 안전하게 주고받는 복잡한 연동 과정을 테스트해야 합니다.
- 정보가 암호화되어 전송되는지, 실패 시 어떻게 처리되는지, 여러 거래소와의 호환성은 문제없는지 등을 꼼꼼히 검증해야 합니다.

금융 QA에게 특정금융정보법은 단순한 배경지식이 아닙니다.

그것은 우리가 반드시 준수하고 검증해야 할, 가장 중요하고 변경 불가능한 ‘요구사항 명세서’입니다.

QA는 이 법적 요구사항을 깊이 이해하고, 우리 서비스가 규제를 완벽하게 준수하고 있음을 테스트를 통해 증명해야 할 책임이 있습니다. 이는 서비스의 신뢰도와 비즈니스의 지속 가능성을 지키는 핵심적인 역할입니다.

국가법령정보센터 – 특정 금융거래정보의 보고 및 이용 등에 관한 법률: https://www.law.go.kr/법령/특정금융거래정보의보고및이용등에관한법률
Financial Action Task Force (FATF) – The FATF Recommendations (특금법의 기반이 되는 국제 기준): https://www.fatf-gafi.org/en