FATF 트래블 룰 카운트다운: 99개 관할 구역, 2026년 3분기까지 규제 미준수 시 뱅킹 퇴출 위기
2026년 3분기까지 가상자산에 대한 FATF(국제자금세탁방지기구)의 트래블 룰(Travel Rule)을 시행하지 않는 국가들은 회색 리스트(gray list)에 오를 수 있으며, 이는 사실상 글로벌 환거래 은행 업무에서 차단되는 결과를 초래할 수 있습니다. 평가 대상 117개 관할권 중 85개국이 현재 관련 법안을 통과시켰으나 59%가 아직 이를 집행하지 않고 있는 상황에서, 가상자산 역사상 가장 중대한 규제 준수 마감 기한을 향한 시계는 빠르게 흘러가고 있습니다.
은행 표준에서 가상자산 의무 사항으로
트래블 룰은 새로운 개념이 아닙니다. 이는 1996�년 전통적인 은행들이 일정 금액 이상의 전신 송금 시 송신인과 수신인 정보를 공유하도록 요구하는 규정에서 시작되었습니다. 변화된 점은 2019년 FATF가 이 요구 사항을 가상자산 서비스 제공자(VASP) — 즉 거래소, 수탁 지갑 및 고객을 대신해 자금을 이동하거나 보관하는 모든 가상자산 사업자 — 로 확대한 것입니다.
논리는 간단했습니다. 은행이 돈을 보내는 사람과 받는 사람을 식별해야 한다면, 가상자산 전송에도 동일한 투명성이 적용되어야 한다는 것입니다. 하지만 실행 과정은 결코 단순하지 않았습니다.
해당 의무화 조치 이후 7년이 지났지만, 글로벌 규제 준수 현황은 여전히 불균형합니다. FATF 자체 데이터에 따르면 117개 관할권 중 85개국이 트래블 룰 법안을 통과시켰거나 개발 중이며, 이는 2024년 65개국에서 크게 증가한 수치입니다. 그러나 법안을 통과시키는 것과 이를 실제로 집행하는 것은 전혀 다른 문제입니다. 법안을 보유한 관할권 중 약 59%가 아직 감독 결과를 발표하거나 미준수 법인에 대한 집행 조치를 취하지 않았습니다.
그 간극은 이제 강력하게 좁혀지려 하고 있습니다.
회색 리스트라는 강력한 제재
공식적으로 '강화된 모니터링 대상 국가'로 알려진 FATF의 회색 리스트는 이 기구의 주요 집행 메커니즘입니다. 이 리스트에 오르는 것은 단순히 가벼운 경고가 아니라 금융적 격리를 의미합니다.
2026년 2월 기준, 최근 총회에서 쿠웨이트와 파푸아뉴기니가 추가되면서 21개국이 회색 리스트에 올라 있습니다. 그 결과는 가혹합니다.
- 환거래 은행 업무 중단: 주요 글로벌 은행들은 회색 리스트 국가의 금융 기관과의 관계를 일상적으로 거부하거나 제한하여 국제 결제 네트워크로의 접근을 차단합니다.
- 강화된 고객 실사 요구 사항: 영국의 규정과 같은 법규에 따라 금융 기관은 회색 리스트 관할권이 포함된 모든 거래에 대해 강화된 조사를 적용해야 하며, 이는 비용과 마찰을 증가시켜 사실상 비즈니스를 저해합니다.
- IMF 및 세계은행의 압력: 회색 리스트에 오른 국가는 무역 금융, 외국인 직접 투자 및 다자간 대출 기구에 대한 접근성에서 부정적인 영향을 받습니다.
- 자본 유출: 기업과 투자자들이 회색 리스트 관할권에서 적극적으로 이탈하면서 경제적 고립의 악순환이 발생합니다.
특히 가상자산 기업의 경우, 회색 리스트 등재는 미준수 관할권에서 운영되는 VASP가 은행 관계를 유지하거나 디지털 자산을 실물 경제와 연결하는 동맥인 법정화폐 입출금 통로(on/off-ramps)를 구축하는 것이 거의 불가능해짐을 의미합니다.
VASP가 실제로 해야 할 일
트래블 룰은 VASP가 일정 요건을 충족하는 전송에 대해 특정 정보를 수집, 검증 및 전달할 것을 요구합니다. 2025년 6월 FATF의 획기적인 권고안 16(Recommendation 16) 개��정 이후, 이러한 요구 사항은 크게 확대되었습니다.
송신인(Originator) 정보:
- 성명
- 계좌 번호 또는 지갑 주소
- 실제 주소, 주민등록번호 또는 생년월일과 출생지
수신인(Beneficiary) 정보:
- 성명
- 계좌 번호 또는 지갑 주소
2025년 개정안의 새로운 사항:
- 수취인 확인 (CoP): 국가 간 전송 시 이제 수신인의 이름이 계좌 보유자와 일치하는지 확인해야 합니다. 이는 전통적인 은행 업무에서는 이미 표준이지만 가상자산에서는 기술적으로 복잡한 시스템입니다.
- 사기 방지 의무화: 트래블 룰의 범위는 이제 자금 세탁 및 테러 자금 조달뿐만 아니라 사기 방지 및 확산 금융(proliferation financing)까지 명시적으로 포함합니다.
- ISO 20022 통합: 요구 사항이 이제 SWIFT 및 주요 결제 네트워크에서 사용하는 ISO 20022 메시징 표준과 완전히 일치합니다.
규제 준수 부담은 결코 가볍지 않습니다. VASP는 신원 확인, 거래 상대방 간의 안전한 데이터 전송 및 지속적인 모니터링을 위한 인프라를 구축하거나 통합해야 합니다. 소규모 운영자에게 이러한 비용은 진입 장벽이 되며, 구현을 위해 기술과 인력에 대한 상당한 투자가 필요합니다.
선라이즈 문제: 글로벌 규제 준수가 어려운 이유
트래블 룰 구현에서 가장 골치 아픈 과제는 아마도 '선라이즈 문제(sunrise problem)'일 것입니다. 이는 각 관할권마다 규정을 도입하는 속도가 다르다는 현실을 의미합니다. 트래블 룰을 엄격하게 집행하는 싱가포르의 VASP가 아직 규칙을 시행하지 않은 관할권의 거래 상대방에게 자금을 보낼 때 해결 불가능한 규제 준수의 간극이 발생합니다.
해당 정보를 수신, 처리 또는 보호할 법적 프레임워크가 없는 거래 상대방과 어떻게 송신인 및 수신인 데이터를 공유할 수 있을까요?
이를 해결하기 위해 몇 가지 기술적 솔루션이 등장했습니다.
- TRISA (Travel Rule Information Sharing Alliance): 검증된 VASP 디렉토리와 인증 기관(Certificate Authority) 모델을 사용하여 알려진 신뢰 루트에 신원 확인을 고정합니다.
- TRP (Travel Rule Protocol): '트래블 주소(Travel Address)' 시스템을 특징으로 하는 탈중앙화 프로토콜로, 규제를 집행하지 않는 관할권의 거래 상대방과도 규제 준수를 가능하게 함으로써 선라이즈 문제를 해결하는 데 도움을 줍니다.
- OpenVASP: 트래블 룰 데이터 교환을 위한 오픈 소스, 피어 투 피어(P2P) 프로토콜입니다.
2023년 11월, TRISA와 OpenVASP는 상호 운용성을 확보하여 두 프로토콜 중 하나를 사용하는 VASP가 트래블 룰 데이터를 원활하게 교환할 수 있게 되었습니다. 하지만 프로토콜 간의 상호 운용성이 근본적인 문제를 해결하지는 못합니다. 미준수 관할권의 거래 상대방은 아예 아무런 시스템도 갖추고 있지 않을 수 있기 때문입니다.
DeFi에 대한 질문: 탈중앙화는 어디서 끝나고 규정 준수는 어디서 시작되는가?
FATF의 DeFi 지침은 점점 더 명확해지고 있으며, 업계에는 점점 더 불편해지고 있습니다. 테스트는 구조적인 것이 아니라 기능적인 것입니다. DeFi 프로토콜에 매개변수 변경, 컨트랙트 업그레이드 또는 자금 동결을 수행할 수 있는 팀이 있다면, "탈중앙화"라는 명칭에 상관없이 그 배후의 인물들은 VASP로 취급됩니다.
이러한 기능적 접근 방식은 탈중앙화로 마케팅되는 많은 프로토콜이 트래블 룰 (Travel Rule)의 범위에 정확히 해당함을 의미합니다. 시사하는 바가 큽니다.
- 관리자 키나 거버넌스 토큰 집중도가 있는 DEX 운영자는 VASP로 분류될 수 있습니다.
- 체인 간 전송을 용이하게 하는 브리지 프로토콜은 트래블 룰 의무의 주요 대상입니다.
- 중앙 집중식 위험 관리 또는 업그레이드 기능을 갖춘 대출 플랫폼은 규정 준수 요건에 직면할 수 있습니다.
식별 가능한 제어 당사자, 관리자 키, 수정 또는 동결 능력이 없는 진정한 탈중앙화 프로토콜은 FATF의 범위에서 벗어날 수 있습니다. 하지만 "진정한 탈중앙화"에 대한 기준은 높으며, 규제 기관의 분석은 더욱 정교해지고 있습니다.
실질적인 효과는 규제되는 암호화폐 경제와 규제되지 않는 암호화폐 경제 사이의 규정 준수 격차입니다. 트래블 룰 집행이 강화됨에 따라, 규제 대상 VASP는 신원을 확인할 수 없는 상대방과의 거래를 점점 더 제한하게 될 것입니다. 이는 규정을 준수하는 경로에는 기관 자본이 흐르고, 비준수 채널은 점점 더 고립되는 2계층 시스템을 효과적으로 만들게 됩니다.
지역별 규정 준수 현황: 누가 앞서고, 누가 뒤처지는가
전 세계적인 상황은 극명한 차이를 보여줍니다.
선도적인 관할 구역:
- 유럽 연합: 2024년 12월부터 시행되는 자금 이체 규정 (TFR)은 27개 회원국 전체에 통일된 트래블 룰 프레임워크를 구축했습니다. 규모에 관계없이 모든 암호화폐 전송에는 송신자와 수신자의 전체 세부 정보가 필요합니다. 면제 한도 (de minimis threshold)는 없습니다.
- 싱가포르: 싱가포르 통화청 (MAS)은 정보 공유를 위한 최소 한도 없이 포괄적인 트래블 룰 요건을 가장 먼저 시행한 곳 중 하나입니다.
- 일본: 일본 금융청 (JFSA)을 통해 활발하게 집행하는 초기 도입 국가 중 하나입니다.
- 영국: FCA 지침에 따라 2023년 9월부터 모든 전송에 전체 ��세부 정보를 요구하며 집행 중입니다.
- 미국: FinCEN은 트래블 룰 보고에 3,000달러 기준을 적용하며, 적용 범위를 확대하기 위한 규칙 제정을 진행 중입니다.
뒤처지거나 부재한 경우:
- 아프리카, 동남아시아, 라틴 아메리카의 여러 관할 구역은 법안을 통과시켰지만 감독 인프라가 부족합니다.
- 일부 관할 구역은 트래블 룰 요건 시행은 고사하고 법적 체계에서 VASP를 정의조차 하지 못했습니다.
2026년 2월 FATF 총회는 사이버 기반 사기 및 가상자산에 초점을 맞춘 새로운 간행물도 승인했으며, 향후 몇 달 내에 추가적인 위험 지표와 규정 준수 권고 사항을 담은 스테이블코인 중심의 보고서가 발표될 예정입니다.
다음 단계: 2026년 3분기 변곡점
FATF의 상호 평가 일정은 자연스러운 집행 타임라인을 생성합니다. 2026년에 평가를 받는 관할 구역 중 효과적인 트래블 룰 시행이 부족한 곳은 즉각적인 그레이리스트 (gray-listing) 위험에 직면하게 됩니다. 그 결과는 다음과 같이 연쇄적으로 나타납니다.
- 은행의 디리스킹 (de-risking) 가속화: 이미 암호화폐 관련 비즈니스에 신중한 통신 은행들은 효과적인 트래블 룰 감독을 입증하지 못하는 관할 구역에서 더욱 철수할 것입니다.
- VASP 이동 심화: 비준수 관할 구역의 암호화폐 기업들은 규제 피난처로 이전하여, 업계가 규정을 준수하는 통로로 집중될 것입니다.
- DeFi 압박 고조: 규제 대상 온/오프램프의 요구 사항이 강화됨에 따라, DeFi 프로토콜은 신원이 확인된 거래를 구현하거나 법정화폐 유동성으로부터 단절될 위험에 처하게 됩니다.
- 규정 준수 비용 통합: 트래블 룰 준수의 기술적 및 운영적 부담은 업계 통합을 가속화하여, 규정 준수 인프라에 투자할 자원이 있는 대규모 플레이어에게 유리하게 작용할 것입니다.
트래블 룰 카운트다운은 단순한 규제 기술이 아닙니다. 이는 암호화폐 금융의 지형을 재편하고 있으며, 어느 관할 구역이 자본과 혁신을 유치하고 어느 곳이 뒤처질지를 결정하고 있습니다. VASP에게 전달되는 메시지는 명확합니다. 규정 준수는 더 이상 선택 사항이 아니며, 준비를 위한 창구가 빠르게 닫히고 있다는 것입니다.
여러 체인에 걸쳐 규정을 준수하는 애플리케이션을 구축하는 블록체인 인프라 팀을 위해, BlockEden.xyz는 규제 환경이 요구하는 신뢰성을 갖춘 엔터프라이즈급 RPC 및 API 서비스를 제공합니다.