글로벌 블록체인 보안 전문 기업 웁살라시큐리티가 특금법 개정안을 준수하는 ‘가상자산 AML’ 솔루션을 코인엔코인 거래소에 구축하기로 계약을 체결했다고 5일 공식 밝혔다.
웁살라시큐리티는 자사의 가상자산 위협 데이터베이스(TRDB)에 집단지성 기반으로 취합된 최신 보안 위협 정보를 5700만여개 보유, 실시 간 공유하고 있으며 작년 9월 과학기술정보통신부 주최 ‘AI 데이터 가공 바우처 사업’의 수요기업으로 선정되어, ‘NSHC’로부터 다크웹 관련 위협 데이터를 제공받아 가상자산 지갑 위험도 평가 솔루션 CARA(Crypto Analysis Risk Assessment)의 AI머신러닝 서비스 고도화를 완료한 바 있다.
웁살라시큐리티 보도자료에 따르면 코인엔코인 거래소는 KT FSCD(금융보안데이터센터), BITGO 멀티시그월렛 등 다양한 보안 서비스를 도입하였으며 특금법 개정안 시행 전 13번째로 ISMS 승인을 받은 거래소이다.
웁살라시큐리티 측은 특금법 개정안을 준수하기 위한 필수 조건으로 ▲정보보호관리체계(ISMS) 인증 ▲KYC ▲기존금융권(법정화폐)AML ▲가상자산AML을 꼽았으며 “FATF권고안 및 국내 특금법을 준수하는데 가장 핵심이 되는 사안은 ‘위험기반접근법(RBA·Risk Based Approach)을 근거로 한 ‘가상자산 AML’ 시스템을 구축하는 것”이라고 강조했다.
기존금융권(법정화폐) AML이란, KYC(고객 신원 검증 절차)를 통해 서비스 이용자들의 신원을 우선 확인하고, 은행에 입금된 현금에 대한 자금세탁 등 의심스러운 행위 여부를 종합적으로 분석, 작성한 의심거래보고서(STR)를 금융정보분석원(koFIU)에 신고하는 일련의 모든 절차를 일컫는다.
하지만 이는 법정화폐(현금)에 대한 의심거래보고에 한정되어 있기 때문에 실제 가상자산사업자(VASP)가 특금법 개정안을 준수하기 위해서는 ‘가상자산 AML’ 시스템을 별도로 갖추어야 한다는 의미다. 즉, 가상자산 AML 솔루션을 통해 피싱, 사기, 해킹 등과 연루된 블랙리스트 지갑주소에 대한 실시간 모니터링을 지속하고, 의심거래 발견 시 3영업일 이내 합당한 증빙자료와 함께 가상자산 의심거래보고서(STR)를 작성하여 koFIU에 제출해야 하는 것이다.
웁살라시큐리티의 관계자는 “특히 거래소의 경우 상장된 가상자산의 각 메인넷 별 거래에 대한 자금세탁 여부를 별도로 확인 후 STR을 koFIU에 신고해야 하기 때문에, 보안적 측면에서 가상자산 위협 블랙리스트, 데이터베이스 등 AML 관련 시스템은 외부망(인터넷)과 분리하여 기업 내부망에 안전하게 보호하는 것이 필수다.” 고 밝혔다.
이어 “코인엔코인 거래소는 본 계약을 통해 자사의 암호화폐 위협데이터베이스(TRDB)를 내부망에 구축했기 때문에 가상자산의 지갑주소의 블랙리스트 데이터베이스를 보유함으로써 위험 지갑주소에 대해 실시간 판별 및 의심거래 추적이 가능해진다.”고 밝혔다.
웁살라시큐리티의 구민우 한국지사장은 “KYC, 법정화폐의 AML를 구축했다 하더라도 가상자산 AML을 별도로 구축하지 않으면 KoFIU에 제출하는 보고서도 결국 반쪽짜리 STR이라는 얘기” 라고 꼬집으며, “코인엔코인 거래소는 이미 ISMS도 인증 받았음은 물론, 옥타솔루션을 통해 KYC와 기존금융권의 AML 시스템을 도입했다. 또한 이번 계약을 통해 자사의 내부 구축형 가상자산 AML 솔루션인 ‘TOMS(Threat Reputation Database On-premise Management System)’까지 구축함으로써 특금법 개정안이 명시한 모든 조건을 갖추었다고 할 수 있다”고 말했다.
코인엔코인 전현풍 대표는 “코인엔코인 거래소는 고객들의 안전한 자산 보호를 최우선 과제로 삼고 모든 역량을 집중해 왔다. 이번 웁살라시큐리티와의 AML 계약을 통해, 가상자산사업자(VASP)로서 필요한 모든 정책 준수과 자금세탁방지의 의무를 다하고 유저들에게 더 신뢰를 줄 수 있는 거래소가 되기를 희망한다. “고 말했다.
