루아나 로메로: “강한 규제가 곧 효과를 의미하진 않는다 – 우리에겐 더 나은 감독·교육·금융정보가 필요하다”

루아나 로메로(Luana Romero)는 브라질은 물론, 라틴아메리카 전역에서 컴플라이언스와 자금세탁방지(AML) 분야를 대표하는 전문가 중 한 명이다. 15년이 넘는 경력 동안 브라질의 역사적인 반부패 수사인 ‘라바 자토(Lava Jato, Car Wash) 작전’을 비롯해 다양한 프로젝트에 참여하며, 규제가 어떻게 안에서부터 진화해 왔는지 누구보다 가까이에서 지켜봤다. 그녀는 담담하지만 단호하게 말한다. “최근 몇 년 사이 규제는 분명 많이 발전했어요. 그렇지만 ‘이제 충분히 견고하다’고 말하는 건 너무 단순한 결론이에요.”

그녀의 모든 발언을 관통하는 키워드는 ‘무결성(Integrity)’이다. “저는 크립토 생태계를 정말 사랑하지만, 트레이더는 아니에요. 제가 파는 건 ‘무결성’이에요.” 그녀는 확신에 찬 목소리로 말한다. “컴플라이언스 담당자는 참호 속의 병사, 투명성을 지키는 최전선이에요.” 과장이 아니다. 라틴아메리카 핀테크의 30% 이상이 몰려 있는 브라질 같은 나라에서, 컴플라이언스 오피서의 역할은 ‘있으면 좋은’ 정도가 아니라 ‘없으면 안 되는’ 필수 포지션이다.

질문: 루아나, 무엇이 당신을 컴플라이언스와 AML, 특히 크립토·핀테크 생태계에 집중하게 만들었나요?

답변: 저는 늘 제 삶의 ‘목적’을 찾고 있었어요. 일하는 걸 정말 좋아하지만, 제가 하는 일이 사회와 제 삶, 그리고 다른 사람들의 삶에 어떤 의미가 있는지 알고 싶었죠. 처음에는 물류와 통관 업무를 전공했고, 그 분야에서 오랫동안 일했어요. 그러다 기업 사기, 무역 사기 같은 각종 ‘사기’ 이슈에 깊이 빠져들게 되었죠.

그게 계기가 되어 회계학을 공부하고 공인회계사 자격까지 취득했지만, 전통적인 회계사로 일한 적은 거의 없어요. 대신 금융범죄를 수사하는 포렌식 회계 전문가로 활동해 왔습니다. 아주 어린 나이에 세금 사기 조사부터 시작했죠. 브라질에서는 직접세와 간접세를 구분하는데, 저는 간접세 영역을 맡았어요. 그 생태계에서는 사기가 워낙 많거든요.

시간이 흐르면서 공부도 계속했고, 현장 경험도 쌓았습니다. 컴플라이언스와 자금세탁방지 분야에서 일한 지도 어느덧 15년이 넘었어요. 브라질 최대의 반부패 수사인 라바 자토 작전 마지막 세 단계에 금융 조사 담당으로 참여한 것도 이 시기입니다.

이 경험 덕분에 저는 늘 브라질 AML 최전선에 있을 수 있었어요. 크립토 생태계와의 인연은, 제가 많은 컴플라이언스 전문가들을 컨설팅하기 시작하면서 본격적으로 시작됐습니다. 어느 날, 브라질 최대 암호화폐 거래소에서 강연을 해달라는 초청을 받았고, 그 강연 후 바로 팀에 합류해 달라는 제안을 받았어요. 처음에는 시니어 컴플라이언스 애널리스트로 들어갔다가, 이후 부서를 총괄하게 되었고, 자금세탁방지 및 컴플라이언스 프로그램 전체를 설계했습니다. 그 거래소는 결국 라틴아메리카 최초의 크립토 유니콘이 되었죠.

이렇게 저는 이 ‘파괴적(disruptive)’인 생태계 안으로 들어오게 되었습니다. 그래서 저는 종종 이렇게 말해요. “나는 코인을 파는 사람이 아니라, 무결성을 파는 사람이다.” 왜냐하면 크립토 생태계에도 ‘무결성’이 들어설 자리는 분명히 존재하기 때문입니다. 우리 컴플라이언스 담당자들은 바로 그 무결성을 지키는 ‘참호 속의 병사’, 전체 시스템의 투명성과 신뢰를 지키는 최전선이에요.

질문: 말씀하신 ‘무결성’은, 익명성과 기존 시스템에 대한 도전에서 출발한 크립토 생태계의 원래 정신과는 다소 충돌해 보이기도 합니다. 이 지점을 어떻게 보시나요?

답변: 저는 충돌이라고 생각하지 않아요. 두 가지는 충분히 시너지를 낼 수 있습니다. 익명성은 존재하지만, 동시에 우리가 무결성을 가지고 일할 수 있게 해주는 법과 도구들도 존재하죠. 예를 들어, 브라질에는 유럽의 GDPR과 비슷한 데이터 보호법이 있어요. 이 법의 제7조 9·10항에는 ‘정당한 이익(Legitimate Interest)’ 원칙이 명시돼 있습니다.

이 덕분에 우리는 KYC(고객알기제도)를 수행하고, 거래를 감사하며, 블록체인 데이터베이스를 활용할 수 있어요. Chainalysis 같은 도구를 활용하면 자금이 최초 지갑에서 출발해 마지막 목적지까지 어떻게 흘러갔는지 추적할 수 있고, 이를 통해 다크웹과 연관된 범죄를 식별할 수 있습니다.

이러한 기술 덕분에, 우리는 탈중앙화 환경에서도 모니터링·통제·감사를 수행할 수 있습니다. 그리고 그 사실 자체가 ‘크립토 생태계에도 무결성이 존재할 수 있다’는 것을 증명하죠.

예를 들어 거래소에서 컴플라이언스는 단순히 ‘정책 문서’를 만드는 것으로 끝나지 않습니다. 각종 테스트, 모니터링, 시뮬레이션을 진행하죠. 특히 핀테크에서는 기술이 곧 핵심입니다. 그래서 모든 컴플라이언스 전문가는 블록체인, 사이버 보안, 머신러닝에 대한 기본 이해가 필수예요. 이 생태계에는 금융 리스크, 각종 스캠, 피라미드·폰지 구조, 자금세탁뿐 아니라 피싱 같은 사이버 공격 리스크도 공존합니다.

제가 일했던 몇몇 거래소는 팀의 보안 수준을 점검하기 위해 ‘윤리적 해커(ethical hacker)’를 직접 고용했습니다. 우리에게는 평범한 업무 메일처럼 보이는 가짜 이메일이 수시로 도착했고, 이를 통해 직원들이 얼마나 쉽게 속아 넘어가는지 테스트했죠. 이런 모든 것들이 모니터링 프로세스의 일부입니다.

질문: 커리어를 시작하신 이후로 관련 규제는 많이 변화했나요?

답변: 네, 확실히 많이 발전했습니다. 그렇다고 지금의 규제가 ‘완전히 충분하다’고 말할 수 있는 건 아니에요. 스페인, 브라질, 룩셈부르크 같은 나라들은 이미 섹터별 접근과 리스크 기반 감독 체계를 갖춘 비교적 잘 짜인 규제 프레임워크를 가지고 있습니다.

브라질만 보더라도, 2022년 FATF(자금세탁방지기구) 상호평가를 계기로 큰 진전이 있었고, 같은 해 제정된 14.478호 법은 크립토 자산에 대한 법적 틀을 마련해 주었습니다. 여기에, 증권위원회(CVM)가 크립토 연계 증권 거래를 감독하기 위한 규정도 두고 있습니다.

현재는 거래소에 ‘고객자산과 자기자산 분리(Asset Segregation)’를 의무화하는 법안이 논의 중이에요. 지금은 권고사항에 가깝지만, 법이 통과되면 필수 요건이 되겠죠.

하지만 법전에 적힌 ‘강한 규제’가 실제 현장에서 곧바로 ‘높은 효과’로 이어지는 건 아닙니다. 여전히 감독, 교육, 금융정보 역량이 부족한 상황이죠.

저는 여러 나라의 중앙은행과 함께 규제를 ‘제로베이스에서 설계’하는 일을 합니다. 리스크 매핑을 하고, 규제 공백을 찾고, 구체적인 해결책을 함께 디자인하죠.

라틴아메리카는 현재 세계에서 다섯 번째로 큰 크립토 시장입니다. 많은 국가들이 아직 완성된 규제 프레임워크를 갖추지는 못했지만, 중앙은행들은 리서치·연구·정책 설계에 매우 적극적으로 나서고 있어요.

질문: 지금의 규제 체계에서, 어떤 ‘공백’이나 ‘과제’가 가장 크다고 보시나요?

답변: 저는 보통 세 가지 큰 과제를 이야기합니다.

1. 규제·감독의 파편화: 많은 나라에서 법과 규정이 여러 기관과 문서에 흩어져 있고, 규제 당국 간 협력이 부족해요. 그러다 보니, 통합적인 대응을 하기 어렵습니다.

2. 비(非)금융 부문 규제의 부재: 변호사, 공증인, 명품·럭셔리 산업, 부동산, 온라인 게임 같은 분야는 여전히 규제의 사각지대에 놓여 있는 경우가 많습니다.

3. 감독 역량의 격차: 룩셈부르크·스페인·브라질처럼 기술 기반 감독을 빠르게 도입하는 나라들이 있는 반면, 라틴아메리카와 아프리카 여러 국가들은 기술·인력 자원이 부족해 AML 감독 역량이 크게 떨어집니다.

최근 저는 아프리카에서 교육 프로그램을 진행했는데, 현장의 열의는 정말 대단했습니다. 다만, 그 열의만큼 현실적인 제약도 많더군요. 재밌는 점은 ‘용어’가 지역마다 다르다는 거예요. 스페인에서는 ‘자본세탁(blanqueo de capitales)’, 멕시코에서는 ‘돈세탁(lavado de dinero)’, 브라질과 다수의 라틴아메리카 국가에서는 ‘자산세탁(lavado de activos)’이라는 표현을 주로 씁니다. 저는 가능한 한 ‘자산세탁’이라는 용어를 쓰려고 해요. 범위를 가장 넓게 포괄하거든요.

질문: 일부 고급 툴의 비용이, 규정을 지키고 싶어 하는 기업들에겐 너무 큰 장벽이 되지는 않나요?

답변: 저는 이런 도구들을 ‘비용’이 아니라 ‘투자’로 보는 편이에요. 좋은 도구는 비싸기도 하지만, 그만큼 만들어내는 가치도 큽니다.

그래서 컨설팅을 할 때는 항상 ‘금융 교육’을 함께 넣습니다. 어떤 리스크 완화 도구들이 있고, 각 도구의 가격 대비 효용이 어느 정도인지 설명하죠. 물론 상당히 고가인 솔루션들도 있지만, 조금 더 접근 가능한 가격대의 우수한 솔루션들도 분명 존재합니다.

저는 퀄리티에 상당히 엄격합니다. 제가 직접 써보지 않은 툴은 추천하지 않아요. 브라질은 AML 관련 기술에서 상당히 앞서 있는 편입니다. 이미 10년 전부터 반부패법을 시행하고 있고, 중앙은행도 기술 도입을 아주 적극적으로 밀어붙였죠.

그래서 예산이 제한적이라 해도, 보안을 우선순위에 두기만 한다면 ‘제대로’ 하는 방법은 항상 있다고 생각합니다.

질문: 그 점이 바로 디딧(Didit)이 지향하는 바이기도 합니다. 우리는 무료·모듈형·유연한 KYC를 제공하고 있는데요…

답변: 정말 훌륭하네요! 저는 KYC 프로그램에 특히 까다로운 편이에요. 예전에 제가 근무했던 거래소에서는 FATF(국제자금세탁방지기구)의 40개 권고안을 기준으로 아주 촘촘한 KYC 절차를 설계했습니다. 놀라운 건, 여전히 많은 전통 은행들이 이 권고안을 제대로 검토조차 하지 않는다는 거예요.

수업 시간에는 이 얘기를 농담 섞어 자주 합니다. “여러분, 오늘 ‘꿈해몽 책’ 읽으셨나요?”라고요. 여기서 ‘꿈해몽 책’은 FATF 권고안을 말합니다. 전 세계 어디서든 기본적으로 적용해야 할 ‘국제 표준’이라는 뜻이죠.

저는 브라질에서 다양한 툴을 직접 사용해 보고, 여러 벤더와 미팅도 하며, 항상 개선을 위한 피드백을 제공합니다.

질문: 왜 브라질이 핀테크 강국이자 크립토 허브가 되었을까요?

답변: 브라질은 라틴아메리카에서 가장 큰 국가이자, 거래 건수 기준으로는 가장 큰 크립토 시장입니다. 경제 상황에 따라 거래 규모만 보면 가끔은 아르헨티나가 앞서기도 하지만, 개별 거래 건수로 보면 우리가 더 많죠.

브라질은 기술에 매우 개방적인 나라입니다. 핀테크 기업이 많고, 제공하는 금융 제품도 다양하며, 규제 역시 꽤 복잡합니다. 브라질에서는 보험, 의료 등 거의 모든 섹터마다 별도의 감독 기관이 존재해요. 심지어 국가 보건 규제 기관도 이제는 자금세탁방지 컴플라이언스 프로그램을 요구할 정도죠.

2023년에는 제가 헬스케어 섹터를 위해 이 분야 최대 규모 중 하나인 AML·컴플라이언스 프로그램을 설계하기도 했습니다.

그래서 해외 기업들이 브라질에 진출하고 싶을 때, “어떻게 해야 규정을 지키면서 비즈니스를 할 수 있느냐”고 제게 묻곤 합니다. 동시에 저는 해외에서 배운 좋은 사례들을 브라질로 가져오기도 해요. 저는 스스로를 라틴아메리카인, 브라질인, 이베로아메리카인이라고 생각합니다. 제 역할은 ‘반쯤 찬 잔’을 보는 사람, 즉 내 나라의 좋은 점을 밖으로 전파하고, 밖의 좋은 점을 안으로 가져오는 다리 역할이라고 생각해요.

질문: 유럽과 라틴아메리카에서, 금융사기(Fraud) 방지와 자금세탁방지(AML)는 어떤 식으로 시너지를 내고 있나요?

답변: 두 분야의 목표는 같습니다. 금융 시스템의 ‘무결성’을 지키는 것이죠. 하지만 오랫동안, 특히 제도와 조직의 관점에서는 서로 완전히 다른 트랙에서 움직여 왔습니다.

지금 전 세계적인 트렌드는 — 스페인, 포르투갈, 룩셈부르크, 브라질을 포함해 — 이 둘을 ‘통합’하는 거예요. 기관들은 컴플라이언스, 리스크 관리, 사이버 보안 조직을 한 데 모아, 자금세탁과 연결된 복잡한 사기 패턴을 찾으려 하고 있습니다.

예를 들어 스페인에서는 은행들이 사기·자금세탁 모니터링을 위해 사용하는 알고리즘과 시스템 일부를 서로 공유하기도 해요. 브라질에서는 중앙은행이 내부 사기 중 자금세탁 위험을 가진 패턴을 찾아내기 위해 머신러닝 모델 도입을 적극적으로 권장하고 있습니다.

라틴아메리카도 점차 속도를 내고 있지만, 여전히 기관 간 협업 부족과 기술 격차라는 어려움을 안고 있습니다.

그래서 제가 할 일이 생깁니다. 저는 각국 정부·중앙은행·민간 기관과 협력해 “지금 가지고 있는 도구들로 현실적으로 할 수 있는 솔루션”을 함께 설계합니다. 중요한 건 PDF 파일에만 존재하는 ‘종이 위의 규제’가 아니라, 실제로 실행·측정·개선되는 ‘살아있는 규제’로 만드는 일이니까요.

질문: 실제로 기관들이 이 시너지를 강화하려면, 무엇부터 시작해야 할까요?

답변: 첫째는 ‘지속적인 교육’과 최신 범죄 유형에 대한 이해입니다. 둘째는, 리스크 관리를 하나의 통합된 프레임워크로 묶고, 데이터 분석·인공지능(AI)·머신러닝 같은 기술에 투자하는 거예요.

그리고 아주 중요하게도, 팀 구성이 바뀌어야 합니다. AML, 사기 방지, 법무, IT, 정보보안 담당자들이 섞여 있는 ‘크로스 펑셔널 팀’이 필요해요. 모두 같은 정보를 기반으로, 같은 목표를 향해 움직여야 하죠.

이런 시너지는 기업과 이용자를 보호하는 데 핵심적입니다. 단순히 “법을 지키기 위해서”가 아니라, 더 안전한 금융 시스템을 만들기 위해서요.

질문: 강연을 하시다 보면, 기업이나 정부 관계자들이 여러 고민을 털어놓을 것 같습니다. 가장 자주 듣는 질문은 무엇인가요?

답변: 가장 많이 듣는 질문 중 하나가 이거예요. “조직범죄 문제가 이렇게 심각한데, 규제를 어떻게 더 발전시켜 나가야 하죠?”

이럴 때 저는 법부터 쓰지 않습니다. 먼저 리스크 평가를 합니다. 그 나라 또는 그 조직이 겪는 가장 큰 ‘통증’이 무엇인지 파악하고, 그 지점부터 함께 설계를 시작하죠.

저는 “규제를 들고 가서 강요하는 사람”이 되기 싫어요. 대신 “가치를 더하는 팀원”이 되고 싶습니다. 그래서 항상 내부 팀의 일원으로, 안에서부터 함께 일하려고 합니다. 그게 제 철학이에요.

많은 나라들이 “어디서부터 손대야 할지조차 모르겠다”고 말합니다. 인신매매, 불법 채굴, 야생 동물·마약 밀매 같은 문제가 있는 곳에서는, 대개 자금세탁 의심 거래나 금융 사기 한 건에서 출발해, 그 뒤에 얽힌 거대한 범죄 네트워크가 드러나곤 하죠.

이런 경험들 덕분에 저는 ‘섬세함’을 잊지 않게 됐어요. 각각의 맥락을 존중하고, 그에 맞게 접근 방식을 바꾸는 게 정말 중요합니다. 저 역시 강제 노동이나 불법 경제와 관련된 사건들을 다뤄 본 적이 있어요.

그래서 저는 “법을 만드는 것만이 답이 아니다”라고 계속해서 말합니다. 먼저 무슨 일이 벌어지고 있는지 정확히 이해하고, 그다음에야 조심스럽게 개입하며 ‘실제 작동하는 솔루션’을 설계해야 하죠.

질문: 당신처럼 일하고 싶어하는 후배들에게는 어떤 조언을 해 주고 싶나요?

답변: 저는 늘 세 가지를 강조해요.

첫째, 평생 학습입니다. 이 분야는 늘 바뀌고 있어요. 기준, 기술, 범죄 수법이 매일같이 진화합니다.

둘째, 비즈니스를 이해해야 합니다. 좋은 예방 전문가가 되려면, 제품 구조와 내재된 리스크, 그리고 업계가 실제로 어떻게 돌아가는지를 이해해야 해요.

셋째, 분석력과 윤리입니다. 비판적 사고, 지정학적·사회적 맥락에 대한 감수성, 그리고 직업 윤리가 필수죠.

어쩌면 제게 윤리적으로 보이는 것이, 다른 문화권에선 다르게 느껴질 수도 있어요. 그러나 ‘무결성’만큼은 변하지 않습니다. 무결성은 보편적이고, 거래 불가능한 가치예요.

얼마 전 저는 극심한 폭력 사태를 겪고 있는 한 나라에서 강연을 했어요. 조직범죄를 주제로 한 대형 컨퍼런스였는데, 저는 유일한 여성 연사였죠. 그 자리에서 저는 제 메시지를 최대한 존중을 담아 조정해야 했습니다. 그 강연이 성공적이었다고 느낀 이유는, 바로 그 ‘공감’ 덕분이었어요.

교육은 제 인생의 목적 중 하나입니다. 제가 커리어 초기에 가지지 못했던 것들을, 지금은 다른 사람들에게 제공하고 싶어요. 지식을 나누는 일은, 정말로 모든 것을 바꿀 수 있는 힘이 있다고 믿거든요.

질문: 마지막 질문입니다. 그간의 경험을 바탕으로 봤을 때, 핀테크 업계와 자금세탁방지 생태계는 앞으로 다가올 규제에 어떻게 대비해야 할까요?

답변: 저는 무엇보다 ‘지식의 민주화’가 필요하다고 생각해요. 어려운 기술 용어를, 누구나 이해할 수 있는 말로 번역하는 작업이죠. 핀테크, 특히 크립토 생태계는 여전히 많은 사람들에게 낯설고, 그래서 불신도 큽니다.

컴플라이언스 담당자인 우리는 시장을 교육할 책임이 있습니다. 블록체인이 무엇인지, 인공지능과 머신러닝이 무엇을 하는지, 쉽고 직설적으로 설명해야 해요.

저는 이것이 성공의 핵심이라고 믿습니다. 모두가 이해할 수 있는, 투명하고 접근 가능한 커뮤니케이션 말이죠.

규제의 미래를 놓고 보자면, 저는 국제적인 규제 정합성(Convergence)이 더 강화되고, 데이터 기반 감독, 인공지능 활용, 그리고 ‘불법 자산 회수’ 역량이 더 발전할 것으로 예상합니다.

또 하나 주목하고 있는 건, ESG나 공급망 실사(서플라이 체인 듀 딜리전스)와의 통합이에요. 유럽에서는 이미 일부 지속가능성 요건을 충족해야만 대출을 받을 수 있는 사례가 등장하고 있습니다. 라틴아메리카는 이제 막 시작 단계지만, 분명 같은 방향으로 나아가고 있어요.

저는 진심으로 믿습니다. 나누고, 가르치고, 복잡한 것을 단순하게 설명하는 일. 바로 그것이 우리 모두를 더 공정하고, 더 안전한 미래로 이끌 수 있는 길이라고요.