정부가 보이스피싱과 신종 스캠(사기) 범죄를 막기 위해 규제 강화에 나서면서 기업들의 컴플라이언스 전선에 비상이 걸렸다. 법조계에서는 규제 움직임에 선제적으로 대응하지 않으면 리스크에 직면할 수도 있다는 목소리가 나온다.
신종 스캠 유형도 규제…“평판 악화 가능성”
19일 법조계에 따르면 금융위원회 산하 금융정보분석원(FIU)은 지난달 30일 보이스피싱뿐 아니라 신종피싱 이용 의심계좌에 관해서도 거래정지를 하기로 했다. 이에 따라 피해가 의심될 경우 112에 신고하면 금융사가 임시조치를 거쳐 임시 거래정지를 취하게 된다. 최장 67영업일 거래정지가 가능하다. 그동안에는 통신사기피해환급법(환급법)상 보이스피싱 범죄에 포함되지 않는 신종피싱에 관해 금융회사들이 적극적으로 계좌정지 조치를 하지 못했다.
정부는 올해 8월 통신사기피해환급법을 개정 시행한다. 이번 개정의 핵심은 금융회사, 이동통신사, 수사기관 등 관계기관이 보유한 의심정보를 신속하게 공유하고 활용하기 위한 체계 구축에 있다. 의심거래 탐지를 위해 정보를 공유하는 대상기관과 정보 범위가 확대된다. 금융회사, 수사기관, 통신사뿐 아니라 금융감독원, 가상자산사업자, 전자금융업자, 한국정보통신진흥협회 등도 의심거래 정보 공유 대상 기관에 포함됐다.
주요 로펌들은 선제적 리스크 관리에 나서야 한다고 제언했다. 법무법인 태평양은 자금세탁방지(AML) 내부통제 체계를 신종 스캠 유형까지 확대하라고 조언했다. 또 금융회사 등은 계좌 거래정지 및 해제 절차의 운영 체계를 사전에 정비해 선의의 고객 피해를 최소화하고 규제 리스크 사이에서 적절한 균형점을 확보해야 한다고 했다.
김지이나 태평양 변호사는 “신종피싱 의심계좌에 대한 초기 임시조치 및 특정금융정보법상 강화된 고객확인 적용 절차를 내부 규정 및 업무 매뉴얼에 반영하는 것이 중요하다”며 “근본적으로 고객확인절차는 AML의 시작이고 고객 확인이 제대로 이루어지지 않으면 후속 자금세탁방지 체계가 제대로 작동할 수 없다”고 제언했다. 김 변호사는 “AML 의무 위반의 경우 자금세탁방지 업무와 관련한 대표이사나 이사회의 역할과 책임이 명시되어 있기 때문에 위반시 고위 경영진의 책임이 문제될 수 있다”며 “아울러 피해자나 고객들의 민원, 민사소송 리스크도 수반될 수 있다”고 설명했다.
법무법인 율촌은 경찰 지목 의심계좌에 대한 거래정지 절차를 신설하는 등 제도 정비에 나서야 한다고 강조했다. 특히 의심정보를 정보공유분석기관에 신속히 제공해야 하는 만큼 내부 정보공유 체계의 취약점을 점검하는 등 규제 리스크에 선제적으로 대응해야 하라고 제언했다. 김시목 율촌 변호사는 “금융사들이 자체적으로 이상거래탐지시스템(FDS) 등 컴플라이언스 체계를 강화하지 않으면 소비자 보호와 범죄 예방 등을 제대로 안하고 있다는 평판 악화 문제가 발생할 수 있다”고 설명했다.
통신사 의무↑…“적용 효과 등 면밀 점검”
SK텔레콤(017670) ·KT(030200) ·LG유플러스(032640) 등 이동통신사들의 어깨도 무거워졌다. 보이스피싱 근절을 골자로 한 전기통신사업법 개정안도 올해 5월 국무회의를 통과했다. 이에 따라 타인 명의 휴대전화 개통을 막기 위한 ‘가입제한서비스’는 기존 신청자만 제공되던 방식에서 모든 이용자 대상 기본 제공으로 확대된다. 이에 따라 통신사는 관련 시스템을 새로 구축해야 하는 과제를 안게 됐다.
기간통신망의 안정적 운영을 위해 회사의 자본금 감소 또는 다른 주주의 보유 주식 처분 등으로 최대주주가 된 기간통신사업자의 ‘비자발적 최대주주’도 인가 대상에 포함된다. 공익성 심사시 국가안전보장, 공공의 안녕, 질서 유지 등에 필요한 조건을 공익성심사위원회가 부과할 수 있도록 했다. 2024년 현대자동차그룹은 국민연금공단의 지분 매각으로 KT의 최대주주로 등극한 바 있다. 향후 이런 사례가 발생하면 과학기술정보통신부의 인가 및 엄격한 공익성 심사를 필수적으로 거쳐야 한다. 과거에는 자발적으로 지분을 취득해 최대주주가 되는 경우에만 인가를 받도록 했었다.
법무법인 세종 ICT그룹은 보고서를 통해 “공익성 심사 결과에 따라 필요한 조건을 부과할 수 있게 되었으므로, 향후 인수합병(M&A)이나 지분 투자 등 지배구조 관련 의사결정 시 보다 면밀한 법률적 검토가 요구된다”며 “비자발적으로 최대주주가 되는 경우 전혀 예상하지 않았던 인가 및 공익성 심사를 받아야 하는 상황이 발생할 수 있으므로 2대 주주로서는 이러한 점도 미리 염두에 둘 필요가 있다”고 설명했다. 이어 “새롭게 도입되는 규제들은 해석 및 적용에 있어 불확실성이 존재할 수 있으므로 사전 컴플라이언스 차원에서 적용 효과 등을 면밀히 점검해 보는 것이 필요하다”고 제언했다.
가상자산 거래소에도 의무 부과
업비트·빗썸·코인원·코빗·고팍스 등 가상자산 거래소의 컴플라이언스 의무도 대폭 강화됐다. 올해 10월 통신사기피해환급법 개정안이 시행되기 때문이다. 개정안에 따르면 가상자산거래소에도 금융사와 동일한 수준으로 보이스피싱 방지·피해구제 의무가 부과된다. 가상자산거래소는 가상자산 거래 목적을 확인해야 하고 보이스피싱 의심 자금이 유통되는지 상시 감시해야 한다. 범죄가 의심되면 즉시 해당 계정을 지급 정지하고, 피해자산 관련 환급도 지원해야 한다. 법무법인 대륙아주의 가상자산신종범죄사건 팀장인 신병재 변호사는 보고서를 통해 “가상자산 계정은 금융회사와 달리 보이스피싱 계정 차단 근거가 없어 범죄 사각지대로 악용되어 왔다”며 “법 시행 이후 가상자산 관련 사업을 영위하거나 거래소와 거래 관계에 있는 기업들은 법 시행 전까지 관련 내부 절차 및 시스템을 시급히 정비해야 한다”고 말했다.
개인정보보호위원회는 보이스피싱 과정에서 유출된 개인정보를 구매·유포하는 행위를 처벌하도록 법을 마련한다. 신 변호사는 “향후 법 개정 시 마케팅·영업 목적으로 외부에서 취득한 고객 데이터의 적법성 여부가 더욱 엄격하게 심사될 것이므로 개인정보 취득 경위 및 활용 절차 전반에 대한 철저한 사전 점검이 요구된다”고 강조했다.
