결론부터 말하면, 해외 금융권의 KYC(Know Your Customer, 고객확인의무)는 '한 번 확인하고 끝'이던 모델에서 '계속 들여다보는' 지속적 신뢰모델(Continuous KYC, 업계에서는 perpetual KYC라고도 부른다)로 무게중심을 옮기고 있다. 계좌를 열 때 신분증 한 번 받아 끝내던 절차가, 고객의 거래 패턴·법인 지배구조·제재 리스트 변동을 거래 관계가 지속되는 내내 자동으로 재평가하는 방식으로 바뀌는 흐름이다. 이건 단순한 기술 트렌드가 아니라 규제당국의 기대치 자체가 달라지고 있다는 신호로 보는 게 맞다.

A wide-angle interior of a modern financial data operations center, rows of analysts at desks with large abstract data visualization walls, cool blue lighting, cinematic depth of field, no visible writing or sign, professional corporate atmosphere

배경을 짚어보면 이유는 비교적 명확하다. 기존 주기적 재확인(periodic review) 방식은 고객을 위험등급에 따라 1년·3년·5년 단위로 다시 들여다보는 구조였는데, 그 사이에 발생한 리스크는 사실상 사각지대로 남았다. 법인 고객의 실소유자(UBO, Ultimate Beneficial Owner)가 바뀌거나, 평범하던 계좌가 갑자기 비정상 자금 흐름을 보이거나, 새로운 제재 대상에 연결되는 일이 그 공백 기간에 얼마든지 일어날 수 있다. 데이터 처리 비용이 낮아지고 머신러닝 기반 이상거래탐지가 보편화되면서, '왜 굳이 주기를 기다리느냐, 변동이 생길 때마다 재평가하면 되지 않느냐'는 발상이 현실성을 얻게 된 셈이다.

국가별로 보면 온도 차가 분명하다. 유럽연합은 자금세탁방지 규정을 통합·강화하는 방향으로 움직이면서 단일 감독기구(AMLA, Anti-Money Laundering Authority) 설립을 추진해 온 것으로 알려져 있는데, 이 흐름은 결국 상시적 모니터링을 사실상 요구하는 압력으로 작용한다. 미국은 연방 차원의 명시적 'continuous KYC 의무화'보다는 은행비밀법(BSA) 체계 안에서 리스크 기반 접근을 강조하며 금융기관 자율에 무게를 두는 편이고, 싱가포르와 영국은 규제 샌드박스와 핀테크 친화 정책을 통해 기술 도입을 비교적 적극적으로 끌어안는 모습이다. 같은 '지속적 신뢰'라는 단어를 써도, 강제 규범이냐 권고냐, 자동화 수준을 어디까지 허용하느냐에서 나라마다 결이 다르다는 점은 기억해 둘 만하다.

해외 업계 반응을 보면 비용 절감 효과를 강조하는 목소리가 큰 편이다. 반복적인 수작업 재심사를 줄이고 위험이 실제로 올라간 고객에만 자원을 집중할 수 있다는 논리다. 다만 개인정보 상시 수집·분석이 프라이버시와 충돌한다는 우려, 그리고 알고리즘 오탐(false positive)으로 정상 고객 거래가 부당하게 차단될 수 있다는 비판도 동시에 나온다. 즉 효율과 권리 보호 사이의 균형이 아직 정리되지 않은 영역이라는 뜻이다.

그렇다면 한국 독자, 특히 국내 금융사와 가상자산사업자(VASP) 입장에서 의미는 무엇일까. 한국은 특정금융정보법(특금법)과 자금세탁방지 규정을 통해 고객확인을 운영해 왔지만, 해외처럼 '상시 재평가'를 전제로 한 시스템 투자는 아직 초기 단계로 보는 시각이 많다. 글로벌 거래·해외 송금·국경 간 제휴를 하는 기업일수록 상대국 규제 수준에 맞춰야 하는 부담이 커진다. 데이터 인프라, 실소유자 정보의 정확성, 그리고 개인정보보호법과의 정합성 문제가 동시에 걸린다. 다시 말해 기술 도입보다 '어디까지 자동으로 감시하는 것이 법적으로 허용되는가'라는 경계 설정이 더 큰 과제가 될 가능성이 있다.

불확실성도 분명히 남는다. 해외에서도 지속적 신뢰모델이 표준으로 굳어질지, 아니면 비용·프라이버시 논란 속에 부분 도입에 그칠지는 아직 확정적으로 말하기 어렵다. 한국 규제당국이 어느 시점에 어떤 형태로 가이드라인을 제시할지도 [최신 정보 확인 권장] 사안이다. 결국 지금 단계에서 기업이 할 수 있는 합리적 대응은, 데이터 정합성과 시스템 유연성을 미리 확보해 두고 규제 방향이 잡혔을 때 빠르게 적응할 수 있는 여지를 남기는 것 정도로 정리할 수 있다. 여러분은 상시 감시형 KYC가 효율과 프라이버시 사이에서 어느 쪽에 더 가까워져야 한다고 보는가.

자주 묻는 질문(FAQ)

지속적 신뢰모델 KYC가 기존 방식과 가장 크게 다른 점은 무엇인가요?

기존에는 계좌 개설 시 한 번 확인하고 위험등급별로 1~5년 주기에 다시 점검했습니다. 지속적 신뢰모델은 그 주기를 기다리지 않고 고객의 거래 패턴, 지배구조 변동, 제재 리스트 변화가 생길 때마다 자동으로 재평가한다는 점이 핵심 차이입니다.

이 변화가 한국 금융사나 가상자산사업자에 당장 의무가 되나요?

현재로서는 한국에 상시 재평가를 강제하는 명시적 규정이 자리 잡았다고 보기는 어렵습니다. 다만 해외 거래·제휴를 하는 기업은 상대국 규제 수준을 맞춰야 하는 부담이 커질 수 있어, 규제 방향을 지켜보는 것이 권장됩니다.

지속적 신뢰모델의 가장 큰 우려는 무엇인가요?

개인정보를 상시 수집·분석하는 데 따른 프라이버시 충돌, 그리고 알고리즘 오탐으로 정상 고객의 거래가 부당하게 차단될 수 있다는 점이 대표적입니다. 효율과 권리 보호의 균형이 아직 정리되지 않은 영역입니다.