기본 개념
자금세탁 정의: 범죄수익의 불법원천을 가장(위장)
자금세탁 3단계: 배치(금융기관에 유입) → 반복(금융거래를 반복) → 통합(불법자금을 합법자산과 통합)
국제 협약 연도 암기
비엔나(1988): 마약 / 바젤(1988): 은행감독 / 팔레르모(2000): 조직범죄
볼프스버그(2000): 은행업체 / 메리다(2003): 부패 / 유엔안보리결의: 중요
FATF 핵심
FATF 범위 확대 순서: 마약 → 중대범죄 → 테러자금 → 대량살상무기(WMD)
필수 암기 권고사항: R1(RBA), R5(테러), R8(NPO), R10(CDD), R15(가상자산), R16(트래블룰), R20(STR)
R22·24·25·29(꼭 기억) — 특히 R29(FIU) 매우 중요
R37(국제사법공조·쌍방가벌성), R39(범죄인송환)
FATF 평가방법론: 기술적 평가 + 효과성 평가 / CDD조치 및 생명보험 수익자 CDD 중요
R18 주석: 해외사업장 / R29 주석: 접수 → 분석 → 제공
국제기구
에그몽 그룹: 주요 사업, 보안 인터넷(ESW)
EU 지침 순서: 3차 → 4차 → 5차 → 형사법 → 6차 → 자금세탁방지 규정
미국 금융감독기관: 재무부, FSOC, CFPB, FRB, OFAC, FinCEN, OCC
EU 금융감독기관: ESFS, ESRB, ESA(EBA·ESMA·EIOPA)
영국 AML 감독기관: FCA, PRA, OPBAS
영국 JMLSG: 영국무역협회 내 구성된 민간 협의체 (정부기관 아님) / 1990년부터 활동 / AML/CFT 우수사례 공표·실무해석 기여
EU AMLD 차수별 핵심:
1차(1991) — 마약수익 초점, 금융기관만 대상
2차(2001) — 전제범죄 확대, 변호사·회계사 등 비금융 전문직 포함
3차(2005) — RBA·BO·CDD·PEP 체계화 (FATF 권고 반영)
4차(2015) — 실제소유자 등록부, NRA 의무화 (현행 근간)
5차(2018) — VASP 규제 대상 편입, 투명성 강화
6차(2018, 형사지침) — 회원국 간 형사처벌 기준 통일
2024패키지 — 단일규정집(AMLR) + EU 자금세탁방지기구(AMLA) 신설, 4차 지침 폐지·대체
국내 법률체계
금융실명법: 주요내용, 특징, 면제 항목 암기
특금법 연혁: 2001년 최초 시행 / 2006년 CDD·CTR 시행 / 2019년 전금업·대부업(자산 500억↑), CDD 일회성거래 기준금액 변경
특금법 주요 내용: 금융거래·불법자산·자금세탁행위·STR·CTR·CDD·전신송금 등 정보제공·수사기관 정보제공·제공사실 통보·비밀보장
범죄수익은닉규제법: 2001년 제정, 2022년 혼합식으로 변경 (사형·무기·장기 3년이상 징역/금고)
테러자금금지법: 지정·미지정금융거래등제한대상자(직간접소유/지배법인), 거래 시 금융위원회 허가
기타 제도편 주요사항
무역기반자금세탁(TBML): 6대원칙, 가이던스
VASP·트래블룰: 특금법, 시행령, 가상자산이용자보호법
DNFBP: 법률 전문가를 위한 RBA 가이던스 / NPO: 설립 간편·현금 가금·테러자금 위험 높음
FIU(금융정보분석원) 목적·조직·업무: 기획재정부 산하 독립기관 / 목적: 자금세탁·테러자금조달 방지 / 주요 업무: 금융정보 수집·분석·제공(법집행기관), 제도 이행 평가, 국제협력 / 정보 흐름(R29 주석): 접수 → 분석 → 제공
FIU 감독/검사: 가상자산·카지노는 FIU 직접 검사 / 나머지는 11개 수탁기관 통해 검사 / 제주도 카지노는 제주도청이 검사
11개 검사수탁기관: 금융감독원, 행정안전부, 과학기술정보통신부, 중소벤처기업부, 관세청, 제주도청, 농협, 수협, 신협, 산림조합, 새마을금고
주의 (과기정통부): 과학기술정보통신부는 우체국 예금·보험만 검사 수행
VASP 실명계정 개시 3대 기준 (시행령 제10조의18): ① 예치금 구분관리 ② ISMS 인증 획득 ③ 고객별 거래내역 분리관리 / 최소 자본금은 기준 아님
트래블룰: 한국 2022년 3월 25일 시행 (※2021년3월=VASP신고제 / 2024년7월=이용자보호법 — 혼동 주의)
기준금액: 국내 100만 원 이상 / FATF 글로벌 1,000 USD/EUR (전통금융 15,000보다 낮음)
제재: 감면과 가중, 제재권자, 징역+벌금 병과, 과태료 부과기준
제재심의위원회: 10명 이내 민간위원 구성 / 재적 위원 과반수(2분의 1 이상) 출석 시 개의
위험 기초
자금세탁에 사용되는 법인 유형: 무기명 주식 보유 법인, 위장회사, 전위회사
한국의 AML/CFT 위험: 위협 / 취약성 / 결과 / 위험
9가지 주요 위험: 전제범죄(7) + 금융업·거래수단 취약분야(2)
업권별 특징
은행: 가장 위험 높고 통제도 가장 잘 됨. 가상계좌 재판매 위험
저축은행·상호금융업: 은행 통제 강화 시 이용 가능성↑, 검사는 업권별 중앙회 + 금융감독원 병행 위탁
대부업: 자산규모 500억↑ AML 의무
소액해외송금업: 자기자본 10억↑, 전문인력 2인↑
환전업: 일반환전영업자 외화 매입 한도 없음 / 온라인·무인환전기기는 2천불/4천불
카지노: 일회성거래 기준금액 300만원, CTR은 건별 거래
가상자산거래소: 신고요건·의무·트래블룰·준비금·VASP와 거래하는 금융회사의 의무
TBML(무역기반자금세탁) 위험신호: 과다·과소 청구 / 품질·품목 허위 기재 / 다중(이중) 청구 / 가상 서비스·무형 거래 / 선적서류와 실제 거래 불일치 / 무역상대방 불일치
내부통제 & 위험평가
내부통제: 이사회·대표이사·준법감시인의 역할과 책임
위험 통제 절차: 제도마련 → 내재화/평가 → 통제평가 → 위험 파악 → 추가 통제방안·위험수용범위 내 관리
위험평가 산식: 고유위험 − 내부통제 효과성 = 잔여위험 < 리스크수용범위
FIU 제도이행평가: ML/TF 위험노출 정도에 비례하여 위험관리수준을 갖추고 있는지 평가
고객확인(CDD)
고객확인 정의: 신원확인을 넘어 거래목적·실제소유자 확인·자금원천 확인 등 추가 주의의무
금융실명제 vs CDD 차이: 금융실명제(금융실명법) = 거래 시 실명 확인(누구인가, Who) / CDD(특금법) = 실명확인 + 거래목적·실제소유자·자금원천까지 확인(왜·어떻게) — CDD가 더 넓고 깊은 개념
고객확인 연혁: 2006년 최초 실행 / 2008년 강화된 CDD 시행 / 2016년 실제소유자 확인 시행
고객확인 대상: 계좌 신규 개설, 일회성 금융거래
CDD 이행 시기 5가지: ① 거래관계 수립 시 ② 기준금액 이상 일회성 거래 시 ③ 전신송금 일회성 거래 시 ④ ML/TF 의심 시 ⑤ 기존 CDD 정보 진위 의심 시
필수 고위험(EDD): PEP, 반복 STR 보고자, 귀금속상, 대부업자, 가상자산거래소, 고액자산가, 무기명 양도성예금 등 초고위험 상품거래자, 부정적 언론 보도자
고객확인 면제: 공과금 수납, 법원공탁금·정부법원본관금·송달료 지출 등
법인 실제소유자 순서: 25%↑ 지분소유자 → 지분 가장 많은 주주·경영진 과반 선임 주주·사실상 지배자 → 대표자
실제소유자 확인 면제: 국가·지방자치단체·공공단체·금융회사·사업보고서 제출대상법인(상장회사)
환거래계약: 환거래요청은행에 대한 EDD, 제한적 정보, 위장은행 거래제한, 고위경영진 승인
비영리단체(NPO): 설립 간편·현금 가금·테러자금 위험 높음 → 상위책임자 승인(고위경영진 승인 아님)
CTR (고액현금거래보고)
CTR 기준금액 변화: 5천만 원 → 3천만 원 → 2천만 원 → 1천만 원(2010년 1월~현재) — 총 4단계 하향
CTR 요건: 동일 금융회사 + 동일인 + 1거래일 + 지급·영수 금액 각각 합산 + 30일 이내 보고(초일불산입)
CTR 회피 거래: STR로 보고
CTR 합산 예외: 100만원 이하 원화 송금, 공과금 수납금액, 은행 지로장표, 수수료 등
CTR 보고 면제: 다른 금융회사등, 국가·지방자치단체 (공공단체는 보고대상)
CTR 제공사실 통보: FIU가 법집행기관 요청으로 CTR 제공한 경우 제공일로부터 10일 이내 명의인에게 통보
STR (의심거래보고)
STR 기준금액 변경: 5천만원(2001) → 2천만원(2004) → 1천만원(2010) → 기준금액 폐지(2013)
STR 재보고: 동일 유형 의심거래는 일정기간(예: 3개월) 모니터링 후 재보고 / 다른 유형은 즉시 보고
STR 보고기한: 내부 — 충분한 조사 기간 부여(즉시 불요) / 외부 — 특금법: 지체없이 FIU 보고 / 감독규정: 보고책임자 승인일로부터 3영업일 이내
⚠ 시한 비교: STR = 3영업일(Business Day) / CTR = 30일(Calendar Day·자연일) — 영업일 vs 자연일 구분 필수
Tipping-off 금지: 보고책임자 보고 체계 외 누구에게도 STR 정보 공유 금지 (회사 내 다른 부서·내부감사도 불가)
임계치: STR 룰을 통해 생성되는 alert 기준점 / 임계치 튜닝: 룰의 효과성·효율성 극대화 과정
제1장. CTR 제도의 개요 및 보고 기준
CTR(Cash Transaction Report) 정의: 동일 금융회사에서 동일인 명의로 1거래일 동안 기준금액 이상의 현금을 지급하거나 영수한 경우 FIU에 자동 보고하는 제도
핵심 보고 기준 4가지:
① 기준금액: 1,000만 원 이상 (원화·외화 불문)
② 산정 단위: 1거래일 기준, 동일 금융회사(점포별 합산)
③ 거래 형태: 오직 현금의 물리적 지급·영수만 합산 (대체거래·계좌이체 제외)
④ 지급과 영수는 각각 독립 합산 (상계 불가)
거래 일자 특례: 전일자 거래와 마감 후 거래가 얽힌 경우 실제 발생한 당일 기준으로 합산
비대면 거래: 온·오프라인 불문, 현금 영수·지급이 발생하면 모두 합산 대상
실명 합산 기준:
· 개인: 성명 + 주민등록번호
· 법인: 법인명 + 사업자등록번호
· 외국인: 실명증표별 구분 합산 (여권/외국인등록증을 각각 쓰면 시스템상 별개 처리 → STR 적극 검토)
· 공동명의 예금: 예금주로 등록된 자 각각의 이름으로 합산
제2장. 거래 유형별 보고의무 주체 및 거래상대방
| # | 거래 유형 | 보고의무 주체 | 거래상대방(보고 대상) |
| 1 | 계좌 거래 | 계좌 개설 금융회사 | 계좌 명의인 |
| 2 | 무통장 방식 (송금 등) | 송금 금융회사 | 송금 의뢰인 |
| 3 | 대출 실행 및 상환 | 대출 실행·상환 금융회사 | 대출 차주 |
| 4 | 자동화기기(ATM/CD) 거래 | 계좌 보유 금융회사 | 계좌 명의인 |
| 5 | 자기앞수표 지급 | 수표 지급 금융회사 | 지급 제시인 (수표 내고 현금 수령한 자) |
| 6 | 약속어음·당좌수표 지급 | 어음·수표 지급 금융회사 | 지급 제시인 |
다수 금융회사 관련 시: 최종적으로 현금 지급·영수를 직접 처리한 금융회사가 보고 의무를 짐
제3장. 보고 대상 제외 및 합산 제외 (암기 필수)
특금법상 금융거래 아닌 것 (원천 제외): 상품권, 복권, 공연·입장권, 교통카드 충전, 수입인지 판매 대금
합산 거래 예외 (비보고 대상):
· 100만 원 이하 단건: 원화 송금, 외화 매입·매각, 선불카드 거래
· 법원 관련: 법원공탁금, 정부·법원 보관금, 송달료
· 세금·지로: 공과금 수납액, 은행 지로장표 거래
· 수수료: 중도해지·중도상환·제증명서 발급 수수료 등 (주의: 이자는 합산 대상, 수수료는 제외)
공과금 수납 실명확인: 납부고지서 무통장 형태라도 100만 원 이상이면 실명확인 필요 / 대리인 거래 시 창구에 온 대리인의 실명 확인
제4장. CTR 보고 면제 대상 및 변천
현행 보고 면제 대상:
① 금융회사 간 거래
② 국가, 지방자치단체, 대통령령으로 지정한 공공기관
③ 자금세탁 위험성이 낮은 일상적 거래
※ 카지노 사업자 및 자금세탁·테러자금 고위험자와의 거래는 절대 면제 불가
⚠ 과거 면제 → 현재 보고 대상으로 전환된 기관 (혼동 주의):
일반 공공기관 / 정부출연연구기관 및 연구소 / 과학기술분야 출연연구기관 / 지방공기업 / FIU장이 지정하는 자
제5장. 보고 절차 및 정정·정보제공 제도
보고 기한: 사유 발생일로부터 30일 이내 · 초일불산입 원칙 · 말일이 공휴일이면 다음 첫 평일
보고 필수 항목: ① 보고대상 명칭·소재지 ② 현금 지급·영수 장소 ③ 거래 상대방 ④ 지급·영수 구체적 내용 ⑤ FIU장이 지정한 사항
오보고 취소·정정: 입력 오류 발견 시 사유를 명시하여 기존 보고 취소 (자체 점검 발견 또는 FIU 요구)
CTR 정보 제공 확대: 과거 검·경 중심 → 특금법 개정으로 관세청·국세청 등에도 CTR 정보 제공 (과세 자료 활용 → 고객 민원 유의)
제공사실 통보: 정부24 통해 명의인에게 통보 / FIU가 SMS 발신 → 미도달 시 등기우편 발송
★ STR vs CTR 핵심 차이: STR은 Tipping-off 금지 적용 / CTR은 Tipping-off 미적용 (제공사실 통보 제도 존재)
제6장. 위반 시 벌칙 및 주요 지적 사례
벌칙:
· 거짓 보고 (형사처벌): 1년 이하 징역 또는 1,000만 원 이하 벌금, 병과 가능
· 지연·미보고 (과태료): 3,000만 원 이하 (감경·가중 가능, 최고 3,000만 원 초과 불가)
검사 지적 유형: 지연보고 57% · 미보고 33%
· 시스템 교체 시 CTR 추출 조건 점검 소홀 → 대규모 지연보고
· 담당 직원 임의 제외 처리
· ATM 다회 분할 입출금 합산 누락
· 900만원·950만원 분할거래 징후 파악 후 보고 미이행 (STR도 미조치)
제7장. 유권해석 및 실무 Q&A
Q1. 신탁·미경과 보험료 반환도 CTR 대상인가?
→ 신탁은 특금법상 금융거래 해당 → CTR 대상 / 보험회사가 현금으로 보험료 반환 시도 CTR 대상
Q2. 신용카드 정산대금·가족카드 이용액 합산은?
→ 신용카드 정산금은 계좌 간 이체 → 물리적 현금 아니므로 CTR 대상 아님 / 현금으로 카드대금 수납 시 가족 신용카드는 주카드 명의자 명의로 합산
Q3. 양도성예금증서(CD) 해지 시 누구 명의?
→ CD는 무기명이 원칙 → 최종 소지인(해지의뢰인)의 명의로 합산
Q4. 현금 900만 원 + 이체 100만 원 = CTR 대상?
→ 동시에 [현금 900만 + 이체 100만]: 물리적 현금 900만 → CTR 대상 아님
→ 같은 날 현금 900만 입금 후 다시 현금 100만 재입금: 합계 1,000만 → CTR 대상 (고의 분할 시 STR도 검토)
Q5. 대출금 상환·전세자금대출 담보권 해지 시 보고 명의?
→ 대출 상환: 대출 차주 명의 / 전세자금대출 담보권 해지 현금 처리 시: 실제 현금 수취인(임대인) 보고
Q6. 원화 현금 1,000만 원을 외화 예금에 입금 → CTR 대상?
→ 대상. 예금 종류(원화/외화)와 무관하게 창구에 유입된 물리적 현금이 1,000만 원 이상이면 합산
1. STR 기본 개념 및 역사
STR (Suspicious Transaction Report): 수수된 재산이 불법재산이거나 ML·TF 행위를 하고 있다고 의심되는 합당한 근거가 있는 경우 FIU에 보고하는 제도 / FATF R20
판단 기준: 추측과 확신 사이의 영역 — 객관적 수치보다 업무 경험·전문성 기반 유추 / 전제범죄 = 자금세탁 이전에 벌어진 원인 범죄(밀수·뇌물·도박 등)
보고기준 금액 역사:
법 시행 당시 5,000만 원 → 2004년 2,000만 원 → 2010년 1,000만 원 → 2013년 8월 기준금액 전격 폐기
※ 2013년 이후 단돈 1원이라도 의심 정황 있으면 보고 대상 / 2021년 VASP 의무 부과 / 2022년 트래블룰 도입 → 보고 건수 급증
2. STR 대상 거래 및 의심 징후
필수 보고 대상 6가지:
① 불법재산 의심 합당한 근거
② 금융실명법 제3조 3항 위반(차명거래 등) 또는 ML·TF 의심
③ 범죄수익은닉규제법·공중협박자금조달금지법에 따라 수사기관 신고한 경우 → STR도 반드시 병행 보고
④ CDD 수행 중 고객이 정보 제공 거부
⑤ 고객에게 알릴 경우 Tipping-off 우려가 합리적으로 판단되는 경우
⑥ CTR 기준(1,000만 원) 회피 목적 분할거래(Smurfing)
의심 정황 예시: 거래금액이 고객 프로필 대비 과도 / 평소 잔액 대비 예금 회전 과도 / 과거 정상 패턴에서 완전히 벗어남
→ 금융회사는 [거래자 정보 → 계좌 정보 → 거래 정보] 순으로 기록·관리
3. 내부 보고 및 통제 체계
내부 보고 경로 3가지:
① 표준형: 영업점 직원 → 지점 책임자 → 본점 보고책임자(AML) → FIU
② 직통형: 영업점 직원 → 본점 보고책임자 → FIU (보고서 작성 후 직접)
③ 구두형: 영업점 직원 *(보고서 없이 구두)* → 본점 보고책임자 → FIU ※ 보고책임자 부담·책임 매우 큼
보고책임자 의무: 내부보고체제·업무지침 운용, 교육·연수 상시 점검 / 보고담당자 변경 등 변동 시 FIU 시스템(금융정보 홈페이지)에 즉시 갱신
지연보고 방지: 내부 의심거래 보고는 발생일(또는 인지일)로부터 3영업일 이내
대책: STR 보고 건수 일별 대사(Reconciliation) / 시스템·프로세스 변경 시 사전 테스트 강화
4. 정보누설금지(Tipping-off)와 면책·벌칙
정보누설금지 (특금법 제4조 제6항 / FATF R21):
이유: 범죄자가 STR 사실 인지 시 자산 은닉·도주 우려
범위: 사내 타 부서와 공유도 위법 — 감사부와도 공유 불가
예외: AML·준법감시 부서 간 내부 공유 / 국외 본·지점 간 공유(글로벌 매트릭스)
면책: 선의(Good faith)로 STR 수행한 직원 → 오보여도 민·형사상 책임 없음
증거채택 불가: FIU가 수사기관에 제공한 금융거래정보는 재판에서 증거 채택 불가 / 증언 거부 가능
벌칙:
| 위반 행위 | 처벌 | 비고 |
| 허위 보고 또는 제3자 정보 누설 | 1년↓ 징역 또는 1,000만 원↓ 벌금 | 병과 가능, 양벌규정 (법인 대표자도 처벌) |
| STR 보고 의무 위반(미보고) | 3,000만 원↓ 과태료 | 행정처분 |
5. 제도적 한계 및 후속 조치
현재 문제점: CDD 거부 시에만 거래 거절 가능 / STR 대상이라고 임의로 거절하면 Tipping-off 조항과 충돌 우려 → 적극 대응 어려움
FATF 대응: R4(몰수·잠정조치)·R38(국제사법공조 동결·몰수) 개정 추진 / '유죄판결 없는 몰수' 및 의심거래 발생 시 즉각적인 거래중지제도 도입 추진
실무 후속 조치: 고위험 모니터링 대상 등재 / 내부 요주의 명단(Watch List) 등재 / CDD 조기 재점검
6. STR 룰(Rule) 도입 및 관리 프레임워크
탐지 원칙: IF-THEN 원칙 (조건 A → 탐지 B)
방식: 룰(Rule) 방식(조건 기반 시나리오) + 스코어링(Scoring) 방식(가중치 점수화) 혼용
룰 관리 프레임워크 핵심 요소:
① 세그멘테이션(Segmentation): 고객을 유사 그룹으로 분류 → 모니터링 자원 집중
② DQMF (Data Quality Management Framework): 원천 데이터 왜곡 방지
· 리콘실리에이션(Reconciliation): 시스템 간 이동 시 건수·총액 일치 검증
· 프로파일링(Profiling): 사전 정의된 코드 외 쓰레기 값 확인
· 오류 발견 시 자금세탁방지 시스템이 아닌 원천 데이터 자체를 수정
③ 전략적 튜닝(Tactical Tuning): 리스크 프로파일 최적화·스코어링 모형 고도화
임계치(Threshold) 튜닝 4단계:
[1단계] STR 룰 복제 → [2단계] 초기 임계치 설정 → [3단계] ATL/BTL 검정 → [4단계] 최종 임계치 설정·적용
· ATL(Above-The-Line): 임계치 이상 구간 샘플링 검정
· BTL(Below-The-Line): 임계치 이하 구간 샘플링 검정
→ 기준 상향 시에도 과탐지(False Positive)를 줄이고 탐지 성능 유지할 수 있는지 검증
7. 조사·작성 실무 및 지적사항 / 유권해석
내부 조사 3단계: 조사자(영업점/실무자) → 점검자(본점 AML 팀장급) → 보고책임자(최종 승인·FIU 보고)
'혐의 없음' 종결 시 종결 처리 기준 必, 보고서에 과거 자금세탁 관련 정보·거래자 정보·거래 내용·결론 상세 기술
보고서 작성 원칙: 육하원칙 기술 / 창구 정황(고객 태도·거동) 포함 / 관련인(차명 의심자·송금 상대방) 묶어서 보고 / 평소 패턴과의 차이·자금 출처 규명 / 전신송금 시 송금인·수취인 정보 적극 반영
감독당국 주요 지적사항:
STR 지연보고 및 절차 미흡 / 의심거래 추출 기준(룰/시나리오) 운영 불합리 / 혐의 없음 종결 건 검토 불철저 / FDS-TMS 연계 미흡 / 수사기관 고발·신고 건 STR 연계 누락 / 가상자산 의심거래 보고 운영 불합리
핵심 유권해석:
· 반복 의심 고객 강제해지 불가: 여러 차례 STR 보고 고객이라도 임의 강제 거래종결 조항 없음
· Global Exit List 등록 허용: STR 사실 직접 유출 아닌 내부 리스크 관리 목적 등재는 위법 아님
· 보험사기 → STR 필수: 보험사기 혐의로 수사기관 의뢰 시 전제범죄 해당 → STR 반드시 보고
· 반복 추출 보고 주기: 동일 고객·동일 유형 반복 추출 시 매 건마다 불필요 → 일정 간격(예: 1주일)으로 취합 보고 가능
· 상품권 업자 증빙 거부: EDD/CDD 증빙 거부 시 거래 중단
· 변호사·세무사: 현행 특금법상 보고 의무자 아님
· 선의의 차명계좌: 불법 목적 아닌 순수 선의(예: 문중 회비 계좌) → STR 대상 제외 가능