2026 지역의 자금세탁방지(AML) 규정 준수: 비용, 기한, 실제 처벌
43억 달러. 이는 2023년 11월 바이낸스가 미국 법무부, 금융범죄단속네트워크(FinCEN), 해외자산통제예방센터(OFAC)와 체결한 합의금으로, 암호화폐 자금세탁방지(AML) 규정 준수 실패 사례 중 최고액으로 남아 있습니다. 하지만 이것이 가장 최근의 사례는 아닙니다. 2025년 2월, OKX는 법무부와의 유사 소송에서 5억 400만 달러를 지불하고 합의했습니다. 같은 해 11월, 아일랜드 중앙은행은 코인베이스 유럽이 1,760억 유로 상당의 3천만 건의 거래를 제대로 감시하지 못한 혐의로 2,146만 유로의 벌금을 부과했습니다. 2025년 3월에는 가란텍스의 서버가 미국, 독일, 핀란드 전역에서 압수되었습니다. 패턴은 분명합니다. 암호화폐 분야의 AML 단속은 더 이상 단발적인 사건이 아닙니다. 지속적이고, 관할권에 따라 달라지며, 막대한 비용이 소요됩니다.
가상자산 사업을 운영하는 모든 기업에게 2026 지역의 자금세탁방지(AML) 규정 준수는 연간 수백만 달러에 달하는 비용 부담입니다. EU MiCA, 영국 FCA, 싱가포르 DTSP 등 세 가지 라이선스 취득 요건이 모두 12개월 안에 충족되어야 합니다. 현재 스테이블코인은 전체 불법 온체인 거래량의 84%를 차지하고 있습니다. 금융 범죄 위협의 양상은 2024년 이전에 수립된 어떤 규정 준수 프로그램도 따라잡을 수 없을 정도로 빠르게 변화하고 있습니다. 이것이 바로 수치와 함께 제시된 현실적인 현황입니다.
2026에서 자금세탁방지(AML) 규정 준수란 무엇을 의미하는가
자금세탁방지(AML)는 은행과 암호화폐 기업이 범죄 자금을 상품에 유입되지 않도록 차단하기 위해 사용하는 법적 및 운영적 틀입니다. 범죄 자금은 범죄 수익, 탈세, 사기, 랜섬웨어 지불금, 제재 회피 등 다양한 형태로 나타납니다. 모든 AML 프로그램의 목표는 자금세탁을 예방하고, 이미 진행 중인 자금세탁 계획에 대응하며, 자금세탁 및 테러 자금 조달이 금융 시스템에 유입되는 것을 막는 것입니다. 암호화폐 분야에서는 2019년 자금세탁방지기구(FATF) 권고 16호를 통해 이 틀이 확대되었습니다. 미국에서는 은행비밀보호법(Bank Secrecy Act)이 암호화폐 기업을 포함한 자금 서비스 사업에 적용됩니다. AML은 네 가지 운영 기둥에 기반합니다. 고객 식별 프로그램(CIP), 주요 실사 기준의 요건을 충족하는 강화된 실사 트리거를 포함한 고객 실사(CDD), 관련 금융정보분석원에 의심스러운 활동을 보고할 의무를 포함한 지속적인 거래 모니터링, 그리고 제재 대상자 심사입니다. 고객확인제도(KYC)는 식별 단계일 뿐이며, 진정한 어려움은 고객 온보딩 이후에 발생합니다. 의심스러운 거래를 실시간으로 포착하고, 정해진 기한 내에 관련 기관에 보고서를 제출해야 하며, 이 모든 것을 고객이 원활한 제품 사용을 기대하는 가운데 해내야 합니다.
암호화폐 사업의 경우, 이는 몇 가지를 의미합니다. 고객을 알아야 하고, 고객이 어떤 자금을 이체하는지 알아야 하며, 그 자금의 출처를 파악해야 합니다. 또한 주소, 이름, 거래 상대방이 제재 대상 목록에 없는지 확인해야 합니다. 이러한 노력의 수준은 위험도와 관할 지역에 따라 달라집니다. 각 국가는 서로 다른 규정을 적용합니다. 바로 이 부분에서 2026 그림이 흥미로워집니다.
2026 집행 성과표: 잘못했을 때의 비용
2026년 자금세탁방지(AML) 위반은 실제로 얼마나 큰 비용을 초래할까요? 2022년 이후의 법 집행 추세가 바로 그 실증적인 답입니다. 각 사례는 선례를 만들었고, 최근 사례들은 미국에만 국한된 패턴을 훨씬 넘어섰습니다.
| 날짜 | 단단한 | 패널티 | 권한 | 왜 |
|---|---|---|---|---|
| 2022년 10월 | 비트렉스 | 2,928만 달러 | FinCEN + OFAC | 제재 대상 관할 구역에서 116,000건 이상의 거래, 총액 2억 6,300만 달러 |
| 2023년 11월 | 바이낸스 | 43억 달러 | 법무부 + 금융범죄단속센터 + 해외자산통제국 | 조직적인 자금세탁방지 실패, 5년간 FinCEN 모니터링, 미국 시장 철수 |
| 2025년 3월 | 가란텍스 | 굴욕 | 미국 + 독일 + 핀란드 | 2022년부터 OFAC 제재 대상이었음에도 불구하고 계속 운영되고 있습니다. |
| 2025년 2월 | OKX | 5억 430만 달러 | 법무부 | 2018년부터 2024년까지 50억 달러 이상의 의심스러운 거래, 4억 2천만 달러 몰수 + 8천 4백만 달러 벌금 |
| 2025년 11월 | 코인베이스 유럽 | 2,146만 유로 | 아일랜드 중앙은행 | 12개월 동안 3천만 건의 거래가 모니터링되지 않았습니다(1,760억 유로 상당). |
| 2025년 12월 | 팍스풀 | 350만 달러 | 핀센 | 5억 달러 이상 규모의 의심스러운 자금 흐름, 이란/북한/베네수엘라 연루 가능성 |
두 가지 주목할 만한 패턴이 있습니다. 첫째, 법 집행이 더 이상 미국에만 집중되지 않습니다. 유로폴과 아일랜드 중앙은행이 독자적으로 움직이고 있으며, 자금세탁방지법(AMLA)의 완전한 권한을 기다리지 않고 있습니다. 둘째, 가란텍스(Garantex) 사례는 제재만으로는 법규를 준수하지 않는 거래소를 막을 수 없다는 것을 보여줍니다. 미국 재무부 해외자산통제국(OFAC)은 2022년 4월 가란텍스에 제재를 가했습니다. 해당 거래소는 거의 3년 동안 운영되었으며, 법 집행 기관이 서버를 물리적으로 압수했을 때에야 비로소 운영이 중단되었습니다.
심각한 자금세탁방지(AML) 위반에 대한 비용은 이제 영업정지 명령, 수십억 달러의 벌금, 범죄 감시, 시장 퇴출 등을 포함합니다. 바이낸스의 43억 달러 손실 사례가 여전히 가장 주목받고 있지만, OKX와 코인베이스 유럽 사례는 위험을 평가하는 중견 규모의 CASP(결제 서비스 제공업체)에게 더욱 중요한 기준을 제시합니다.
스테이블코인 피벗과 바이비트 해킹 사건
Chainalysis의 2026 암호화폐 범죄 보고서는 불법 금융 문제에 대한 새로운 시각을 제시했습니다. 전체 불법 온체인 거래량은 2025년에 1,540억 달러에 달할 것으로 예상되며, 이는 전년 대비 162% 증가한 수치입니다. 이 중 84%는 스테이블코인과 관련되어 있으며, 이는 2024년의 63%에서 증가한 것입니다. 제재 대상 기관들이 이러한 급증세를 주도했습니다. 제재 대상 주소로의 송금액은 전년 대비 694% 증가했습니다. 이 중 거의 대부분은 러시아의 루블화 기반 스테이블코인인 A7A5에서 발생했으며, A7A5는 12개월도 채 안 되는 기간 동안 933억 달러를 거래했습니다. 이 중 상당 부분은 그리넥스(Grinex) 거래소를 통해 이루어졌습니다.
2025년의 대표적인 사건은 바이빗(Bybit) 해킹입니다. 2월 21일, 북한의 라자루스 그룹(Lazarus Group)은 트레이더트레이터(TraderTraitor) 클러스터라는 이름으로 활동하며, 해킹된 세이프월렛(SafeWallet) 프런트엔드를 통해 바이빗 콜드월렛에서 15억 달러 상당의 이더리움을 빼돌렸습니다. 5일 만에 약 4억 달러가 탈중앙화 거래소, 크로스체인 브리지, 비트코인 전환 등을 통해 이동했습니다. 결국 회수된 자금은 전무했습니다. 북한 정부와 연계된 해커들은 2025년 한 해 동안 20억 달러 이상을 훔쳤는데, 이는 그들의 암호화폐 절도 역사상 가장 성공적인 해였습니다.
자금세탁방지(AML) 팀에게는 두 가지 중요한 점이 있습니다. 첫째, 블록체인 분석만으로 거래 상대방을 검증하는 것은 더 이상 충분하지 않습니다. 자금세탁 경로는 이제 변경 불가능한 스마트 계약, 아토믹 스왑, 그리고 탈취 후 몇 시간 내에 이루어지는 브리징 등을 이용합니다. 둘째, 스테이블코인 발행기관이 블록체인에서 가장 강력한 방어벽이 되었습니다. 테더(Tether)나 서클(Circle)과 같은 기관이 특정 주소를 동결하는 것이 사후 추적보다 훨씬 효과적입니다.
2026 규정 준수 일정: MiCA, 영국 금융감독청(FCA), 통화청(MAS)
서구 4대 주요 관할 구역 중 3곳이 12개월 이내에 구조적 자금세탁방지(AML) 관련 규정 시행 기한에 도달합니다. 따라서 이들 국가를 넘나들며 사업을 운영하는 암호화폐 기업은 세 가지 라이선스 취득 과정을 동시에 계획해야 합니다.
| 관할권 | 뼈대 | 사선 | 영향 | 한계점 |
|---|---|---|---|---|
| EU | MiCA + 자금 이체 규정 | 2026년 7월 1일 | 기존 CASP는 모두 정식 승인을 받아야 합니다. ESMA는 4월 7일에 승인 기간 연장은 없을 것이라고 확인했습니다. | 제로(CASP-to-CASP) |
| EU | AMLR + AMLA 감독 | 2027년 7월 10일 | AMLR은 AMLD5/6을 대체하며, AMLA는 위험도가 가장 높은 40개 기관에 대한 직접적인 감독을 시행합니다. | EU 전역에서 표준화됨 |
| 영국 | FCA의 완전한 암호화폐 승인 | 9월 2026 | 신청 창이 열립니다. 기존 자금세탁방지(AML) 등록에서 자동 이월되지 않습니다. | 체제별 |
| 싱가포르 | MAS DTSP 프레임워크 | 2025년 6월 30일 (통과됨) | 해외 진출 기업은 DTSP 라이선스가 필요하지만, 싱가포르 통화청(MAS)은 "일반적으로 발급하지 않을 것"이라고 밝혔습니다. | 체제별 |
| 글로벌 | FATF 권고 16 | 전진 | 여행 규칙: 관할 구역의 73%가 관련 법률을 제정했지만, 59%는 시행하지 않고 있습니다. | 미 달러/유로 1,000 기준선 |
AMLA는 새로운 유럽 자금세탁방지기구입니다. 프랑크푸르트에 본부를 두고 2025년 7월 1일부터 공식적으로 업무를 시작했습니다. AMLA의 임무는 자금세탁 및 테러자금조달방지를 모두 포괄합니다. 이로써 자금세탁방지/테러자금조달방지(AML/CFT) 규제 준수가 EU 내 단일 기관의 관할 아래 놓이게 되었습니다. AMLA의 첫 번째 과제는 약 60개에 달하는 분산된 국가별 자금세탁방지 감독 기관을 단일 규정집 아래 통합하는 것입니다. 2028년부터는 위험도가 가장 높은 EU 내 40개 기업에 대한 직접 감독이 시작될 예정입니다. 2025년 11월 아일랜드 중앙은행이 코인베이스 유럽에 부과한 2,150만 유로의 벌금은 이러한 움직임을 보여주는 초기 신호입니다. 각국 당국은 AMLA의 완전한 권한 행사를 기다리지 않고 적극적으로 대응하고 있습니다.
트래블 룰(Travel Rule)의 격차는 매우 심각합니다. FATF의 2025년 목표 업데이트에 따르면, VASP(가상자산서비스 제공업체)를 허용하는 117개 관할 구역 중 73%가 권고 16에 따른 법률을 제정했지만, 59%는 여전히 이를 시행하지 않고 있습니다. EU 자금이전규정은 FATF보다 한 단계 더 나아가 CASP(자본자산서비스 제공업체) 간 이체에 대해 최소 기준치를 0으로 설정하여, 규제 대상 기관 간 모든 이체에 수혜자 정보를 완벽하게 기재하도록 하고 있습니다.
자금세탁방지(AML) 비용: 벤더 스택 및 컴플라이언스 담당자 급여
이는 자금세탁방지(AML) 규정 준수와 관련하여 교육 자료에서 거의 다루지 않는 부분입니다. 자체 프로그램을 운영하는 중견 규모의 CASP(인증된 자금세탁방지 서비스 제공업체)는 수많은 명확한 항목들을 마주하게 됩니다. 그 규모는 결코 작지 않습니다.
| 요소 | 벤더 사례 | 연례 밴드 | 메모 |
|---|---|---|---|
| 블록체인 분석(KYT) | 체인분석 KYT + 리액터 | 12만 유로~25만 유로 | 가장 큰 단일 항목인 경우가 많습니다. |
| 지갑 심사 | 타원형 내비게이터 | 8만 유로~18만 유로 | 때때로 체인 분석(Chainalysis)을 대신하여 사용되기도 합니다. |
| 거래 위험 | TRM 랩스 | 6만 유로~15만 유로 | 주요 3개 업체 중 가장 저렴함 |
| KYC/신원 확인 | 숨섭, 온다토, 트룰리오 | 좌석 기반 | 온보딩 규모에 따라 확장됩니다. |
| 여행 규칙 | Notabene, Sumsub 여행 규칙, TRISA | 신청 | 가격은 VASP 메시지 볼륨에 따라 결정됩니다. |
| 제재 심사 | LSEG / LexisNexis World-Check | 좌석 기반 | OFAC SDN, EU, 영국 목록은 매일 업데이트됩니다. |
중견 규모의 암호화폐 관련 업무에 필요한 도구만 해도 연간 30만 유로에서 70만 유로가 소요됩니다. 이는 급여 비용을 제외한 금액입니다. 그다음은 인건비입니다. 미국 암호화폐 컴플라이언스 책임자의 평균 연봉은 15만 9,792달러입니다(ZipRecruiter, 2025년 기준). 최고 컴플라이언스 책임자(CCO)의 평균 연봉은 20만 달러입니다. 런던의 자금세탁방지 책임자(MLRO)는 13만 파운드에서 18만 파운드를 받습니다(Morgan McKinley 2025년 가이드). 여기에 컴플라이언스 보조 담당자 한 명을 더하면 미국에서는 40만 달러, 영국에서는 22만 파운드를 넘어섭니다. 규제 대상 CASP(암호화폐 서비스 제공업체)의 제대로 된 자금세탁방지(AML) 프로그램 구축에는 법률 자문, 감사, 인프라 구축 비용을 포함하여 총 100만 달러 미만인 경우는 드뭅니다.
이러한 수치는 암호화폐 결제 시장에 진출하는 모든 사람에게 자체 개발과 구매 중 어떤 방식을 선택할지가 핵심 과제가 된 이유를 보여줍니다. 자금세탁방지법(AML)과 규정 준수 시스템 선택은 사업의 존속 가능성을 결정짓는 중요한 요소가 될 수 있습니다.
자체 구축 vs. 외부 구매: 자금세탁방지(AML)를 결제 처리 업체에 아웃소싱해야 하는 시점
중소 규모의 암호화폐 판매자는 자금세탁방지책임자(MLRO)를 고용하고 세 곳의 분석 업체 라이선스를 취득할 필요가 없습니다. 결제 처리 업체(PSP)가 주도적인 금융 기관으로서 자금세탁방지 의무를 담당합니다. 판매자는 API를 통합하기만 하면 됩니다. PSP는 라이선스 취득, 고객확인(KYC), 신원조회, 의심스러운 거래보고서(SAR) 제출, 그리고 트래블룰(Travel Rule) 준수 등의 업무를 처리합니다. 플리시오(Plisio), 비트페이(BitPay), 코인게이트(CoinGate)와 같은 업체들이 이러한 방식으로 사업을 운영하고 있습니다. 자금세탁방지는 부가 기능이 아니라 핵심 서비스입니다.
의사결정 트리는 상당히 명확합니다. 거래량 임계값을 대략 5천만 달러로 가정해 보겠습니다. 이 임계값 미만인 경우, 단일 관할 구역 내에서 VASP 활동(수탁, 거래, 송금)에 대한 규제가 없다면 PSP 방식이 거의 항상 유리합니다. 임계값 이상에서는 맞춤형 서비스 제공, 데이터 관리 및 운영 유연성 측면에서 자체 서비스 제공이 유리합니다. 이 경우 비용 절감은 더 이상 불가피해집니다.
현재 중소 규모 통신사업자에게는 하이브리드 모델이 주를 이룹니다. 규제 대상인 CASP(통신 서비스 제공업체)는 트래블 룰 라우팅과 같은 한두 가지 틈새 서비스에 대해 제3자를 활용합니다. 핵심 질문은 어떤 모델이 더 저렴한가가 아니라, 어떤 모델이 라이선스 위험을 적절한 주체에게 전가하는가입니다.
토네이도 캐시, 스마트 계약 및 OFAC 경계
별도의 정책 변화를 컴플라이언스 팀이 내재화해야 합니다. 2024년 11월 26일, 미국 제5순회항소법원은 Van Loon 사건에서 불변 스마트 계약은 국제 비상경제권법(IEEP)에 따른 "재산"이 아니라고 판결했습니다. 2025년 3월 21일, 미국 재무부 해외자산통제국(OFAC)은 토네이도 캐시 믹서에 대한 제재를 공식적으로 해제했습니다. 공동 창업자 로만 스톰에 대한 형사 소송은 계속 진행 중이며, 재판은 2025년 7월 14일로 예정되어 있습니다.
실제로 자금세탁방지(AML) 팀에게 있어 이는 포괄적인 접근 방식보다는 구체적인 접근 방식을 의미합니다. 프로토콜 자체는 더 이상 제재 대상이 될 수 없지만, 특정 지갑 주소는 OFAC SDN 목록(2026년 3월 9일 기준 12,000개 이상)에 등재될 수 있습니다. 프로토콜과의 상호작용 자체는 제재 위반이 아닙니다. 제재 대상 주소로 자금을 보내거나 받는 행위는 여전히 제재 위반입니다. 스마트 계약 상호작용 정책은 프로토콜 수준이 아닌 주소 수준에서 수립되어야 하며, OFAC SDN 피드 및 EU와 영국 제재 목록을 기준으로 심사를 진행해야 합니다. 영국은 제재 목록을 통합했습니다. 2026년 1월 28일부로 OFSI 통합 목록이 폐지되었고, 현재는 영국 제재 목록이 유일한 기준이 되었습니다.
암호화폐 여행 규칙에 대한 현실 점검
자금세탁방지기구(FATF)의 트래블 룰 권고 16은 가상자산서비스 제공업체(VASP)가 1,000달러/유로 이상의 송금에 대해 송금인과 수취인 정보를 전송하도록 요구합니다. FATF의 2025년 목표 업데이트에 따르면, VASP를 허용하는 관할 구역의 73%가 관련 법률을 제정했지만, 그중 59%는 이를 시행하지 않고 있습니다. EU는 FATF보다 한 걸음 더 나아가 자금이체 규정에 따라 CASP 간 송금에 대해서는 최소 금액 기준을 0으로 설정하고 있습니다.
운영 측면에서 Notabene 2025 트래블 룰 현황 보고서(91개 VASP 조사)에 따르면 응답 기업의 100%가 2025년 말까지 트래블 룰 준수를 약속했으며, 수취인 정보 확인 전까지 인출을 차단하는 기업의 비율이 전년 대비 431% 증가했습니다. Notabene, Sumsub 트래블 룰, TRISA, Veriscope 등 운영 기반 인프라는 이미 성숙 단계에 접어들었습니다. 남은 문제는 경쟁 네트워크 제공업체 간의 상호 운용성인데, 이러한 파편화 현상은 향후 2년 내에 해소될 것으로 예상됩니다.
AML 프로그램이 실제로 해야 할 일은 2026에 있습니다.
마케팅 요소를 제외하고 암호화폐 기업의 자금세탁방지(AML) 준수 프로그램은 다음과 같은 9가지 구체적인 의무 사항을 포함합니다. 첫째, 문서화된 권한을 가진 자금세탁방지 책임자(MLRO) 또는 AML 준수 책임자를 지정해야 합니다. 둘째, 고위험 고객 및 정치적으로 노출된 인물(PEP)에 대한 강화된 실사(EDD) 트리거가 포함된 위험 기반 고객확인(CIP) 및 고객실사(CDD) 프레임워크를 구축해야 합니다. 셋째, OFAC 특별지정목록(SDN), EU 통합 목록, 영국 제재 목록을 기준으로 제재 대상 여부를 심사하고 지속적으로 재심사를 실시해야 합니다. 넷째, 문서화된 규칙과 임계값을 사용하여 거래를 모니터링해야 합니다. 다섯째, 관련 금융정보분석원(FIU)에 정해진 기한 내에 의심스러운 활동 보고(SAR 및 CTR 제출)를 해야 합니다. 다섯째, 임계값(EU 내 0달러, 전 세계 1,000달러) 이상의 이체에 대해서는 트래블 룰(Travel Rule)을 적용해야 합니다. 다섯째, 프로그램에 대한 독립적인 연례 테스트를 실시해야 합니다. 다섯째, 지속적인 직원 교육을 실시하고, 교육 이수 내역을 문서화하고 날짜를 기록해야 합니다. 다섯째, 관련 보존 기간(일반적으로 5년)에 따라 기록을 보관해야 합니다.
각 프레임워크는 세부 사항에서 차이가 있지만, FinCEN, FCA, MAS 및 자금세탁방지법(AMLA) 이후의 EU 전반에 걸쳐 운영상의 최소 요건은 동일합니다. 자금세탁방지 규정과 광범위한 법률은 대부분의 사업자가 예상했던 것보다 빠르게 통합되었습니다. 이제 글로벌 AML 규정은 국가 프레임워크가 아닌 규제 요건 수준에서 상호 참조됩니다. 자금세탁방지 준수 프로그램은 그 어느 때보다 규제 기관 간에 일관성을 유지하고 있습니다. 과거에는 준수 노력이 환거래 은행 및 전통적인 금융 서비스에만 국한되었지만, 이제는 모든 규제 대상 암호화폐 채널로 확대되었습니다. 2022년부터 2025년까지의 벌금 부과 사례는 두 가지 핵심 요소, 즉 대규모 거래 모니터링과 모니터링에서 발견된 사항에 대한 의심스러운 거래 보고서(SAR) 제출 실패에 집중되어 있습니다. 이 두 가지를 우선적으로 구축해야 합니다. 효과적인 AML 준수는 대부분 지루한 작업입니다. 수백만 건의 거래와 모든 고객에 대해 이 두 가지를 일관되게 수행해야 합니다.
