금융위원회 산하 금융정보분석원(FIU)이 업비트 운영사 두나무에 대해 특정금융거래정보법(특금법) 위반에 따른 최종 제재로 352억 원의 과태료를 6일 부과했다. 올 초부터 이어진 자금세탁방지(AML) 의무 위반 관련 제재 절차의 최종 결론이다.

이번 조치는 FIU가 지난해 두나무에 대한 현장 검사에서 고객확인의무(KYC) 위반 530만 건, 거래제한의무 위반 약 330만 건 등 총 860만 건에 달하는 위반 사항을 적발한 데 따른 것이다.

업비트에 대한 규제 압박이 점점 커지는 분위기다. 그러나 이번 과태료 부과를 '악재 해소'로 받아들이는 분위기도 감지된다. 올 2월 FIU가 '일부 영업 정지'라는 초강수 카드를 꺼내 들며 시장 전체가 경색됐으나 업비트가 법적 대응을 통해 영업 정지 집행을 막아낸 데 이어 이번에 과태료 규모가 다소 낮게 확정되면서 법적 리스크가 소멸했다고 보는 시각도 있다.

두나무 측은 즉각 "투자자 보호 조치를 강화했으며 재발 방지를 위해 더욱 노력하겠다"며 "앞으로도 고객에게 안전한 거래 환경을 제공하도록 최선을 다하겠다"고 밝혔다.

9개월간의 공방
이번 352억 원 과태료 처분은 지난 9개월간 이어진 FIU와 업비트 간의 긴 법적·행정적 공방의 최종 마침표다.

사태의 발단은 지난 2월 25일로 거슬러 올라간다.

당시 FIU는 2024년 실시한 현장 검사 결과를 토대로 업비트에 3개월 일부 영업 정지 및 이석우 대표이사에 대한 문책 경고, 준법감시인 면직 등 임직원 9명에 대한 신분 제재라는 중징계를 통보했다. 일부 영업 정지의 구체적인 내용은 '신규 고객에 한한 가상자산 입출금 제한'이었다.

시장은 충격을 받았다. 비록 기존 고객의 거래나 원화 입출금, 신규 고객의 가입 및 거래 자체는 허용됐지만 국내 시장 점유율 70% 이상을 차지하는 업비트의 신규 성장 동력에 직접적인 제동이 걸렸기 때문이다. 업비트의 KYC 시스템이 불량하다는 '낙인'이 찍힌 것도 뼈아픈 대목이다.

논란이 커지는 가운데 업비트는 '대외적 사과'와 '법적 불복'이라는 투트랙 카드를 뽑아들었다. 실제로 제재 발표 당일 "회원들께 심려를 끼쳐드려 사과드린다"며 공식 입장을 내고 내부 통제 강화를 약속하는 한편 이틀 만인 2월 27일 서울행정법원에 '처분 취소 소송'과 '집행정지 신청'을 제기하며 총력전에 나섰기 때문이다.

분위기는 묘하게 돌아갔다. 법원이 3월 말 "제재가 즉시 집행될 경우 업비트가 입을 신뢰도 하락 등 '회복하기 어려운 손해'가 인정된다"며 집행정지 신청을 인용했기 때문이다. 이 결정으로 3개월 일부 영업 정지 처분은 본안 소송 판결 시까지 효력이 전면 중단됐고, 업비트는 단 하루도 영업에 차질을 빚지 않게 됐다.

이후 시장의 관심은 영업 정지와 분리되어 계류 중이던 '과태료' 규모에 쏠렸다. 그리고 6일 발표된 352억 원의 과태료는 FIU가 시장 안정성을 고려하면서도 업계 1위 사업자에 대해 강력한 경고 메시지를 보낸 절충점으로 해석된다. 

시스템 결함, 고강도 개선으로 정면 돌파

FIU의 검사 결과는 업비트가 급격한 성장을 이루는 과정에서 준법 체계 구축이 기술적 구현 속도를 따라가지 못한 '스케일링 실패(Scaling Failure)'를 겪었음을 잘 보여준다.

핵심은 KYC 시스템의 다층적 결함이었다. ▲신분증 원본이 아닌 사본, 빛 번짐, 초점 불량 등 부적격 신원 정보를 수용한 사례(약 3만4000건) ▲상세 주소를 "없음" "모름" 등으로 기재한 부실 정보를 수용한 사례(약 5800건) ▲운전면허증 진위 확인 시 '암호일련번호' 검증 절차를 누락한 사례(약 19만 건) 등이 대표적이다.

특히 '주기적 고객확인(KYC) 재이행 실패'는 906만 건에 달해 개별 직원의 실수가 아닌 시스템 아키텍처 자체의 근본적 결함이었음이 드러났다. 김지어  FIU에 신고하지 않은 19개 해외 가상자산사업자(VASP)와의 거래를 4만 5000여 건 허용하고, 수사기관의 영장 청구와 관련된 이용자 15명의 의심거래보고(STR)를 누락한 사실도 적발됐다.

업비트 입장에서는 제대로 체면을 구기는 순간이다.

다만 업비트는 제재 논의 과정에서부터 즉각적인 시스템 개선 작업에 착수해 현재는 대부분의 지적 사항을 조치 완료한 상태라고 밝혔다. 먼저 KYC 시스템의 전면 고도화를 단행했다. 인공지능(AI) 기반의 광학문자인식(OCR) 솔루션을 도입해 신분증 사진의 진위 여부와 훼손 상태를 자동으로 판별하는 시스템을 구축했다. 또한 도로교통공단 서버와 실시간 연동되는 검증 시스템을 도입, 운전면허증 '암호일련번호'까지 대조해 진위를 확인하도록 프로세스를 강화했다.

일각에서 제기된 손으로 그린 신분증 통과 루머에 대해서도 적극 해명했다. 두나무 측은 "OCR 시스템 성능을 파악하기 위한 임직원의 내부 테스트 사례였으며, 실제 KYC 사례가 아니다"라고 선을 그으며 "당국 역시 이 사실을 인지하고 위반 사례에서 제외했다"고 밝혔다.

미신고 해외 VASP와의 거래 차단 역시 강화했다. 이미 멕스씨(MEXC), 쿠코인(KuCoin) 등 23곳의 미신고 거래소로의 입출금을 제한하고 있으며 트래블룰 솔루션(VerifyVASP)을 통해 위험 주소를 식별하고 차단하는 기능을 지속적으로 업그레이드하고 있다.

한편 이번 352억 원 과태료 부과는 업비트와 가상자산 시장 전체에 중요한 이정표가 될 전망이다.

무엇보다 업비트를 짓누르던 '다모클레스의 검'이 사라졌다는 점이 가장 큰 호재다. 실제로 업계에서는 FIU가 이론상 수천억 원대의 과태료를 부과할 수 있다는 관측까지 나오며 논란이 확산됐으나 일단 큰 불은 잡혔다는 분석이 지배적이다. 

물론 352억 원이라는 금액은 국내 가상자산 업계 사상 최대 규모의 과태료다. 쉽게 넘길 수 없는 금액이다. 그러나 두나무의 재무 건전성을 고려할 때 충분히 감내 가능한 수준이며 오히려 시장에서는 이번 제재가 업비트의 '규제 면역력'을 극대화하는 계기가 되었다고 평가한다.

업비트에 이어 빗썸, 코인원 등 후속 검사를 받고 있는 경쟁사들 역시 업비트에 준하는 규제 기준을 맞춰야 하는 상황이다. 이 과정에서 이미 홍역을 치르고 시스템을 완비한 업비트의 시장 지배력과 신뢰도는 역설적으로 더욱 공고해질 수 있다는 말도 나온다.