VASP 간 정보 교환이 일어나는 단계별 과정
VASP 간 정보 교환의 핵심: 거래의 완결성과 규제 준수성 확보
가상자산 서비스 제공자(VASP) 간 정보 교환은 단순한 데이터 공유가 아닙니다. 이는 불법 자금 조달(ML) 및 테러 자금 조달(TF) 리스크를 관리하기 위한 글로벌 금융 감독 체계의 필수적인 중추입니다. 많은 이용자와 투자자는 암호화폐의 ‘익명성’에 집중하지만, 규제 대상 VASP 간의 실제 네트워크는 FATF(국제자금세탁방지기구)의 여행 규칙(Travel Rule)을 중심으로 철저한 신원 확인과 거래 추적이 이루어지는 공간입니다. 정보 교환이 제대로 이루어지지 않으면, 해당 거래는 중단되거나 심각한 규제 조치를 초래할 수 있습니다. 결국, 블록체인 상의 거래 검증보다 VASP 간의 규정 준수 정보 흐름이 자금 이동의 실제 관문입니다.
1단계: 거래 발신 및 규제 요건 트리거
이용자가 VASP A에서 VASP B로 특정 금액(일반적으로 FATF 기준 1,000 USD/유로 이상) 이상의 가상자산을 전송 요청하는 순간부터 프로토콜이 시작됩니다. 이 시점에서 VASP A는 자체 고객 확인(KYC) 및 거래 모니터링 시스템을 통해 해당 송금이 위험 프로파일과 일치하는지 1차 검증을 수행합니다, 핵심은 ‘규제 임계값’입니다. 이 임계값 미만의 소액 거래라도 VASP의 내부 위험 평가 정책이나 거래 패턴 분석(예: 소액 분할 송금 시도)에 따라 정보 교환이 필요할 수 있습니다.
2단계: 수취인 VASP 확인 및 검증 가능성 확보
VASP A는 수취인 지갑 주소가 규제를 받는 다른 VASP(B)에 소속되어 있는지 확인해야 합니다. 가상자산 사업자의 자금세탁방지 의무와 관련된 금융정보분석원(KoFIU)의 가이드라인을 분석해 보면, 이러한 검증 프로세스는 자체 데이터베이스나 제3사 제공 주소 검증 서비스(address screening solution), 또는 사업자 간 상호 협력을 통해 수행되는 것으로 확인됩니다. 만약 수취인 주소가 비관할지역 VASP 또는 개인 지갑(Unhosted Wallet)인 경우 정보 교환 프로토콜과 요구사항이 변화함에 따라 한층 강화된 실사(due diligence) 절차가 적용됩니다.
수취인 VASP가 확인되면, VASP A는 해당 VASP가 정보를 안전하게 수신하고 처리할 수 있는 기술적·법적 역량을 보유했는지 확인합니다. 이는 사전에 설정된 상호 계약(메모랜덤)이나 공통 프로토콜 가입을 통해 이루어집니다.
3단계: 규정 준수 정보 패키지 생성 및 전송
확인이 완료되면 VASP A는 FATF 여행 규칙이 요구하는 최소 정보 세트를 포함한 패키지를 생성합니다. 이 데이터의 정확성과 완전성이 모든 후속 프로세스의 기초가 됩니다.
- 송신자 정보: 성명, 가상자산 지갑 주소, 실제 주소, 공식 신분증 번호(예: 주민등록번호, 여권번호), 생년월일.
- 수취인 정보: VASP B에게 제공된 수취인 성명 및 지갑 주소.
- 거래 정보: 거래 고유 식별자(예: 트랜잭션 해시), 거래 일시 및 금액.
이 정보는 일반적으로 IVMS101(InterVASP Messaging Standard)라는 글로벌 표준 데이터 형식으로 구조화됩니다. 이 표준은 서로 다른 기술 인프라를 가진 VASP 간의 원활한 상호 운용성을 보장하기 위한 핵심입니다.
4단계: 안전한 전송 채널을 통한 정보 교환
생성된 IVMS101 형식의 정보 패키지는 블록체인 상의 가상자산 거래와 **분리되어** 전송됩니다. 이는 보안과 프라이버시가 최우선인 과정입니다. 주요 전송 방식은 다음과 같습니다.
| 전송 방식 | 작동 원리 | 장점 | 단점/고려사항 |
|---|---|---|---|
| 직접 P2P(점대점) API | 두 VASP이 직접 안전한 API(응용 프로그래밍 인터페이스) 연결을 설정하여 정보를 교환. | 통제성 높음, 비용 효율적(대규모 거래 시). | 모든 VASP와의 일대일 연결 구축 부담, 기술 표준 조정 필요. |
| 제3자 중계 네트워크 | Notabene, Sygna Bridge, TRP Labs 등 전문 서비스 제공자가 중계 허브 역할을 하여 표준화된 정보 전달. | 연결 부담 감소, 표준화 및 규제 업데이트 대응 용이, 검증 기능 추가 제공. | 서비스 이용 수수료 발생, 제3자에 대한 의존도 증가. |
| 분산형 프로토콜 | 특정 블록체인이나 분산 네트워크를 통해 암호화된 정보를 교환하는 방식. | 검열 저항성, 중개자 불필요. | 상대적으로 새로운 방식, 광범위한 채택 미흡, 규제 명확성 부족. |
5단계: 수취인 VASP의 정보 검증 및 거래 실행
VASP B는 VASP A로부터 규정 준수 정보를 안전하게 수신합니다, 이후 즉시 다음과 같은 핵심 검증 작업을 수행합니다.
- 정보 일치성 확인: 수신된 정보(수취인 이름, 지갑 주소)가 자사 기록과 정확히 일치하는지 확인합니다.
- 송신자 vasp 검증: 정보를 보낸 당사자가 합법적이고 신뢰할 수 있는 vasp인지 재확인합니다.
- 위험 평가: 수신된 송신자 정보와 거래 내역을 바탕으로 자체 ml/tf 위험 평가 모델에 적용합니다. 위험 신호가 감지되면 거래를 보류하거나 거절할 수 있습니다.
모든 검증이 완료되면, VASP B는 비로소 블록체인 상에서 대기 중인 실제 가상자산 거래를 최종 완결(컨펌)하고, 수취인 계정에 자산을 입금합니다. 정보 교환이 선행되지 않은 거래는 실행되어서는 안 됩니다. 특히 실제 자산이 이동하는 물리적 네트워크 계층에서의 입출금 시 트랜잭션 데이터가 전송되는 흐름을 정확히 이해해야만 예기치 못한 전송 오류나 지연 상황에 효과적으로 대응할 수 있습니다.
6단계: 기록 보관 및 감사 대응
정보 교환의 마지막 단계는 행정적이지만 법적 책임과 직결됩니다. 송신 VASP와 수신 VASP 모두 교환된 규정 준수 정보의 전체 내역(전송 일시, 내용, 검증 결과)을 법정 요구 기간(일반적으로 5년 이상) 동안 안전하게 보관해야 합니다. 이 기록은 금융 정보 분석원(FIU)의 요청이 있을 경우 즉시 제출되어야 하며, 내부 감사와 규제 당국의 정기 검사를 대비한 증거로 기능합니다.
정보 교환 실패 시 발생하는 리스크와 대응 체계
이상적인 흐름과 달리, 기술적 오류, 표준 불일치, 또는 고의적 회피 시도로 인해 정보 교환이 실패할 수 있습니다. 이러한 상황에서 VASP는 수동적이지 않고 매우 적극적인 의사결정을 해야 합니다.
| 실패 시나리오 | 발생 가능 원인 | VASP의 표준 대응 조치 | 후속 리스크 |
|---|---|---|---|
| 기술적 전송 실패 | API 오류, 네트워크 장애, 형식 오류. | 재전송 시도, 대체 채널 모색. 일정 시간 내 해결 불가 시 거래 반려. | 고객 불만, 거래 지연, 운영 리스크. |
| 정보 불일치 또는 부족 | 수취인 지갑 주소 불일치, 필수 정보 미기재. | 송신 VASP에 즉시 정보 정정 요청. 정정 전까지 거래 보류. | 규제 미준수 리스크, 불법 자금 흐름 개입 가능성. |
| 비협력적 VASP 또는 개인지갑 | 수취인이 정보 제공을 거부하는 해외 VASP 또는 개인 지갑. | 강화된 실사(EDD) 수행. 고위험으로 판단 시 거래 자체를 거절 또는 금액/횟수 제한. | 규제 당국의 제재, 높은 ML/TF 리스크 노출. |
진화하는 과제와 미래 방향성
현행 VASP 간 정보 교환 시스템은 여전히 성장 중인 생태계입니다. 표준의 통일성과 글로벌 규제 조화, 그리고 시스템적 확장성 확보는 지속적인 과제로 분류됩니다. 특히 패스트프레젠트프로젝트의 기술 설계 가이드에서 제시한 리스크 통제 프레임워크를 참고하면, 탈중앙화 금융(DeFi) 프로토콜과의 상호운용성 및 비수탁형 지갑 거래의 적법성 보장은 업계와 규제당국이 해결해야 할 핵심 사안입니다. 앞으로는 자동화된 실시간 위험 평가 엔진이 정보 교환 체계에 직접 통합되고, 분산 신원(DID)과 제로지식증명(ZKP) 같은 고도화된 기술이 프라이버시 보호와 규정 준수 입증의 중추적 역할을 수행할 전망입니다.
결론적으로 VASP 간 정보 교환은 단계별 기술 프로세스이기 전에, 금융 안전망을 구축하는 규제 준수 프로세스입니다. 각 단계에서 데이터의 정확성, 전송의 보안성, 검증의 엄격함이 결합되어야만 가상자산 생태계의 신뢰와 지속 가능성이 유지됩니다. 이 체계의 효율성은 궁극적으로 불법 활동을 차단하고 합법적 이용자를 보호하는 능력으로 평가받을 것입니다.