소규모 기업을 위한 OFAC 제재 준수: SDN 스크리닝, 50% 규칙 및 자발적 자기 신고

약 13분Mike ThriftMike Thrift
소규모 기업을 위한 OFAC 제재 준수: SDN 스크리닝, 50% 규칙 및 자발적 자기 신고

최근 온라인으로 악기를 판매하는 캘리포니아의 한 기타 제조업체가 OFAC 위반 혐의를 해결하기 위해 41,591달러를 지불했습니다. 이 회사가 직면했던 법정 최고 벌금은? 무려 80배나 높은 3,313,224달러였습니다. 이 차이는 단 하나의 결정에서 비롯되었습니다. 규제 당국이 발견하기 전에 회사가 위반 사항을 자발적으로 신고한 것입니다.

이 비율은 2026년 제재 집행의 모든 것을 말해줍니다. 재무부 해외자산통제국(OFAC)은 더 이상 월스트리트 은행들만 쫓지 않습니다. 부동산 투자자, 핀테크 스타트업, 이커머스 판매자, 악기 수입업체, 암호화폐 지갑 제공업체들이 지난 18개월 동안 집행 목록에 이름을 올렸습니다. 국제긴급경제권한법(IEEPA)에 따른 민사 벌금 상한액은 현재 위반 건당 377,700달러 또는 거래 가액의 2배 중 더 큰 금액이며, OFAC는 무과실 책임(strict liability) 원칙을 적용하므로 고의성 여부는 따지지 않습니다.

귀하의 비즈니스에 미국 외부, 심지어 내부라도 고객, 공급업체 또는 결제 상대방이 있다면 귀하는 이미 위험에 노출되어 있습니다. 전담 컴플라이언스 부서가 없는 기업을 위한 효과적인 OFAC 프로그램의 모습은 다음과 같습니다.

중소기업이 갑자기 OFAC의 주목을 받는 이유

OFAC 역사의 대부분 동안 집행은 은행에 집중되었습니다. 하지만 지난 5년 동안 상황이 바뀌었습니다. 당국은 집행 방향을 "전통적인 뱅킹에서 핀테크 및 암호화폐와 같은 새로운 고위험 부문으로 전환"할 것이라고 공개적으로 밝혔으며, 최근의 조치들이 이를 뒷받침합니다:

  • Exodus Movement (암호화폐 지갑): 이란 거래 및 제재 규정 위반 혐의 254건 이상 (중대하고 자발적으로 신고되지 않은 12건 포함)
  • Poloniex: 760만 달러 합의
  • Payoneer: 150만 달러 합의
  • BitPay: 507,375달러 합의
  • Kraken: 362,158달러 합의
  • 개별 부동산 투자자: 470만 달러 민사 벌금
  • 2026년 현재까지 발표된 단 3건의 집행 조치 총액: 6,607,661달러

패턴은 명확합니다. 국경을 넘어 돈, 물품 또는 서비스가 오가는 모든 비즈니스, 혹은 제재 대상자가 결제할 수 있는 웹사이트를 운영하는 곳이라면 제재 프로그램이 필요합니다. 여기에는 쇼피파이(Shopify) 스토어, 해외 고객에게 송장을 발행하는 SaaS 기업, 프리랜서 마켓플레이스, 결제 대행사, 암호화폐 거래소, 외국인 소유주로부터 임대료를 징수하는 부동산 회사, 역외 자산을 보유한 고객을 관리하는 회계 법인 등이 포함됩니다.

OFAC가 실제로 제한하는 것

OFAC는 30개 이상의 개별 제재 프로그램을 관리합니다. 이는 크게 두 가지 범주로 나뉩니다.

포괄적 엠바고 (국가 전체 금지)

2026년 현재, 네 개 국가는 미국인과의 무역, 금융 거래 및 서비스에 대해 거의 전면적인 금지 조치를 받고 있습니다:

  • 쿠바
  • 이란
  • 북한 (DPRK)
  • 시리아

우크라이나 내 점령 지역인 크림반도, 도네츠크, 루한스크 또한 포괄적 제재 대상입니다. 이러한 관할권 내에서 또는 그와 함께 비즈니스를 하려면 특정 OFAC 라이선스가 필요하며, 그렇지 않으면 법을 위반하는 것입니다.

표적 및 부문별 제재

러시아는 현재 세계에서 가장 심하게 제재를 받는 국가이지만, 포괄적 엠바고 상태는 아닙니다. 대신 OFAC는 에너지, 금융, 방위 및 기술 부문에 걸쳐 표적 금지 조치를 취하고 있으며, 수천 명의 개인 및 단체를 지정했습니다. 베네수엘라, 벨라루스, 미얀마 또한 상당한 표적 제재 체제를 유지하고 있습니다.

국가별 프로그램 외에도 OFAC는 국적에 관계없이 마약 밀매업자, 테러리스트, 인권 침해자, 사이버 행위자 및 부패한 외국 관리를 대상으로 하는 리스트 기반 제재를 유지하고 있습니다.

실제로 스크리닝해야 하는 제재 리스트

"우리는 SDN 리스트를 확인합니다"라고 말하는 것은 가장 흔한 컴플라이언스 지름길이자, 가장 흔한 컴플라이언스 실패 요인입니다. OFAC는 여러 리스트를 게시하며, 그중 하나라도 빠뜨리면 벌금이 누적됩니다.

리스트대상 범위차단 시점
특별지정제재대상(SDN) 리스트개인, 단체, 선박 및 항공기. SDN의 자산은 차단되어야 함.항상
통합 제재 리스트 (Consolidated Sanctions List)모든 비 SDN 리스트를 집계한 마스터 파일항상
부문별 제재 식별(SSI) 리스트러시아 에너지, 금융 및 방위 부문 대상지침에 따라 다름
해외 제재 회피자(FSE) 리스트미국 제재 회피를 돕는 자들항상
비 SDN 메뉴 기반 제재(NS-MBS) 리스트주로 CAATSA에 따른 표적 조치적용된 메뉴 항목에 따라
팔레스타인 입법위원회(NS-PLC) 리스트선거에 참여한 PLC 위원차단 시 항상

OFAC 제재 리스트 검색 도구(sanctionssearch.ofac.treasury.gov)에서 이 모든 항목을 무료로 검색할 수 있지만, 이 무료 도구는 대량 스크리닝이 아닌 일회성 조회를 위해 설계되었습니다. 실제 운영 환경에서는 상용 스크리닝 서비스, 자동화된 API 또는 OFAC가 매일 게시하는 증분(delta) 파일을 수집하는 사내 도구를 사용합니다.

50퍼센트 규정: 이름 대조만으로는 부족한 이유

거의 모든 기업을 당혹스럽게 만드는 규정은 다음과 같습니다:

한 명 이상의 차단 대상자가 직접적, 간접적 또는 총합 50% 이상을 소유한 법인은 해당 법인이 어떤 OFAC 목록에도 명시되지 않았더라도 그 자체로 차단 대상이 됩니다.

두 가지 중요한 시사점이 있습니다:

  1. SDN 간의 합산이 적용됩니다. SDN A가 케이맨 지주 회사의 30%를 소유하고 SDN B가 25%를 소유하고 있다면, 개별 소유자가 50%에 미치지 못하더라도 해당 지주 회사는 차단됩니다.
  2. 간접 소유가 인정됩니다. 제재 대상자가 모회사의 지분 60%를 보유하고, 그 모회사가 자회사의 지분 60%를 보유하고 있다면, 직접적인 지분 계산(60% × 60% = 36%) 결과와 상관없이 자회사는 차단됩니다. OFAC는 모회사를 완전히 차단된 것으로 간주하며, 이는 자회사에 대한 전체 소유권이 그대로 이어진다는 것을 의미합니다.

이 규정 때문에 단순한 이름 스크리닝은 실패합니다. "Atlas Logistics LLC"라는 이름의 벤더는 SDN 목록에 나타나지 않을 것입니다. 하지만 만약 이 회사의 최종 실소유주가 3개의 유령 회사를 통해 총 51%의 지분을 보유한 제재 대상 러시아 올리가르히라면, 귀사는 그들의 인보이스를 결제함으로써 미국 제재법을 위반하게 됩니다.

중소기업을 위한 실무적 대응 방안:

  • 벤더 및 고액 고객에게 실소유주 공시를 요구하고, 가급적 UBO(최종 실소유자) 인증과 연계하십시오.
  • 이름뿐만 아니라 소유 관계까지 파악할 수 있는 스크리닝 서비스 제공업체를 이용하십시오.
  • 고위험 관할구역(BVI, 케이맨, UAE, 키프로스, 홍콩, 러시아, 중국-홍콩 역외 구조)의 거래 상대방에 대해서는 자연인 수준까지 파악된 기업 등록부 초본을 요청하십시오.
  • 온보딩 시점뿐만 아니라 정기적으로 재스크리닝을 실시하십시오. OFAC는 매주 새로운 SDN을 추가합니다.

OFAC의 5대 기둥: 컴플라이언스 프로그램의 구성 요소

미 재무부는 "효과적인" 제재 컴플라이언스 프로그램(SCP)이 포함해야 할 내용을 설명하기 위해 OFAC 컴플라이언스 이행을 위한 프레임워크를 발표했습니다. 여기에는 5가지 구성 요소가 있으며, OFAC는 벌금을 계산할 때 각 요소를 명시적으로 고려합니다.

1. 경영진의 의지 (Management Commitment)

고위 경영진은 프로그램을 승인하고 자원을 할당해야 합니다. 소규모 회사의 경우, 이는 창립자, CEO 또는 CFO가 서면 정책에 서명하고, 컴플라이언스 책임자를 지명하며, 최소 연 1회 프로그램의 효과를 검토하는 것을 의미합니다. 형식적인 서명만으로는 부족합니다. OFAC는 리더들이 실제로 관여했다는 증거를 기대합니다.

2. 리스크 평가 (Risk Assessment)

귀사가 직면한 구체적인 OFAC 리스크를 문서화하십시오. 전 세계에 판매하는 SaaS 기업은 국내 부동산 회사나 국가 간 결제 대행업체와는 다른 리스크에 노출됩니다. 평가는 다음을 포함해야 합니다:

  • 고객 기반 — 지리적 위치, 산업군, 실소유주 패턴
  • 제품 및 서비스 — 국가 간 이동하거나 미달러(USD) 이외의 통화로 결제되는 모든 것
  • 유통 채널 — 직접 판매, 마켓플레이스, 제삼자 리셀러, 제휴사
  • 지리적 발자국 — 고객, 벤더, 직원 또는 거래 상대방이 운영되는 관할구역
  • 파트너 및 중개인 — 대리인, 브로커, 결제 대행사

새로운 시장 진출, 새로운 결제 수단 도입, 새로운 인수 채널 확보 등 비즈니스 모델이 변경될 때 리스크 평가를 업데이트하십시오.

3. 내부 통제 (Internal Controls)

이 단계에서 프로그램이 실무에 적용됩니다. 내부 통제에는 다음이 포함됩니다:

  • 서면 정책 및 절차
  • 문서화된 스크리닝 워크플로우 (스크리닝 시점, 대상 목록, 임계값, 매칭 결과 검토자)
  • 잠재적 매칭이 발생했을 때의 명확한 에스컬레이션 경로
  • 기록 보관 — OFAC는 차단 또는 거절된 거래에 대해 5년간의 거래 및 스크리닝 기록 보관을 요구합니다.
  • 차단 메커니즘 — 자금을 격리할 수 있는 은행 계좌, 주문 이행을 중단할 수 있는 주문 시스템
  • 의무 보고서 제출을 위한 보고 워크플로우 (매년 9월 30일까지 차단 자산 연례 보고, 차단 또는 거절된 거래 발생 후 10영업일 이내 초기 보고)

4. 테스트 및 감사 (Testing and Auditing)

독립적인 테스트를 통해 프로그램이 실제로 작동하는지 확인합니다. 소규모 회사의 경우, 분기별 자체 테스트(스크리닝 도구에 가상의 SDN 이름을 입력해 보기)와 연례 외부 검토를 수행할 수 있습니다. 발견 사항은 문서화되고 시정되어야 합니다.

5. 교육 (Training)

제재 리스크와 관련된 역할을 수행하는 모든 직원(영업, 고객 온보딩, 재무, 매출/매입 채무 관리, 벤더 관리 및 스크리닝 로직을 구축하는 엔지니어링 팀)은 교육을 받아야 합니다. OFAC는 최소 연 1회의 교육과 더불어, 새로운 프로그램이 시작되거나 새로운 제재 프로그램이 시행될 때 역할별 맞춤 교육을 실시할 것을 기대합니다.

매칭을 발견했을 때: 차단 또는 거절 결정

스크리닝 중 매칭 의심 사례를 발견하면 엄격한 의무 사항이 발생합니다.

1단계: 매칭 확인. 오탐(False positives)은 일상적입니다. "John Smith"나 "Vladimir Petrov"는 모두 많은 검색 결과를 생성합니다. 생년월일, 주소, 여권 번호, 사업장 위치 및 OFAC가 게시하는 기타 식별 데이터를 활용하십시오.

2단계: 확인된 경우, 차단할지 거절할지 결정.

  • 차단(Block): 대상이 SDN 목록에 있거나 SDN이 50% 이상 소유한 경우입니다. 해당 자산/자금을 분리된 이자 발생 계좌에 동결하고 10영업일 이내에 보고해야 합니다.
  • 거절(Reject): 거래 자체가 금지되어 있지만 SDN 자산이 연루되지 않은 경우입니다 (예: 아직 송금이 이루어지지 않은 이란과의 미승인 거래). 처리를 거부하고 10영업일 이내에 보고합니다.

3단계: 보고서 제출. 차단 또는 거절된 거래에 대한 초기 보고는 OFAC 보고 및 라이선스 신청서 포털을 통해 제출합니다. 차단 자산에 대한 연례 보고서는 매년 9월 30일까지 제출해야 합니다. 보고를 누락하는 것 자체가 별도의 위반 사항이 됩니다.

4단계: 필요한 경우 라이선스 신청. 금지될 수 있는 거래라도 인도적 물품, 특정 개인 송금, 농업 및 의료 수출, 저널리즘, 인터넷 통신 서비스 등 특정 또는 일반 라이선스에 따라 허용될 수 있습니다.

자발적 자진 신고(VSD) 결정

위반 사항이 이미 발생했음을 발견했을 때 — 예를 들어, 선별 시스템(screening)이 포착하기 전에 제재 대상 거래처로 대금이 결제되었거나, 차단된 관할 구역으로 물품이 발송되었거나, 실수로 SDN 소유 고객을 영입한 경우 — 귀하는 OFAC 준수 과정에서 가장 중대한 결정에 직면하게 됩니다.

신고할 것인가, 말 것인가?

자발적 자진 신고(VSD)가 주는 혜택

OFAC의 경제 제재 집행 지침(31 CFR Part 501, 부록 A)에 따르면, 요건을 충족하는 VSD는 다음과 같은 혜택을 제공합니다:

  • 중대(egregious) 및 비중대(non-egregious) 사례 모두에서 기본 과태료 산정액을 50% 감경합니다.
  • 비중대 사례의 경우, 기본 금액을 거래 가액의 절반으로 제한하며, 위반당 최대 $188,850의 상한선을 적용합니다.
  • OFAC의 전체 과태료 결정에서 주요 감경 요인으로 간주됩니다.

강력한 준수 프로그램, 시정 조치, 협조 등 다른 감경 요인과 결합할 경우, 최종 합의금은 법정 최고액보다 수십 배 낮아질 수 있습니다. Córdoba Music Group 사례(법정 최고액 330만 달러, 합의금 $41,591)가 이를 잘 보여줍니다.

"자발적"의 실제 의미

신고가 "자발적"으로 인정받으려면, OFAC이나 기타 연방, 주, 지방 기관이 해당 위반 사항 또는 "실질적으로 유사한" 사항을 발견하기 자체적으로 시작하여 신고해야 합니다. 거래처의 은행이 이미 귀하의 거래를 언급한 의심거래보고(SAR)를 제출했다면, 귀하의 신고는 자격이 없을 수 있습니다. 경쟁업체나 내부 고발자가 이미 귀하를 신고한 경우에도 자격이 부여되지 않습니다.

속도가 중요한 이유가 바로 이것입니다. 위반이 의심되는 순간부터 시간이 촉박해집니다.

새로운 2026 VSD 포털

2026년 2월, OFAC은 disclosure.ofac.treasury.gov에 온라인 자발적 자진 신고 포털을 개설했습니다. 이는 수십 년 동안 주를 이루었던 이메일 제출과 팩스의 혼재를 대체합니다. 포털은 더 안전한 채널, 구조화된 필드, 수신 확인 기능을 제공하지만 실질적인 규칙은 변경되지 않았습니다:

  • 초기 통지에는 발생한 상황을 요약 형태로 기술합니다.
  • 원인, 범위, 시정 조치 및 관련 인력을 포함한 상세 후속 보고서180일 이내에 제출해야 합니다.

기업은 초기 제출 전에도 여전히 법률 자문을 받아야 합니다. 포털은 법적 이해관계를 바꾸는 것이 아니라, 서류 접수 방식만 바꿀 뿐입니다.

과태료 산정: 실제 노출되는 위험 수준

IEEPA(대부분의 현대 제재 프로그램을 규정하는 법률)에 따른 2026년 위반당 민사 과태료는 다음과 같습니다:

  • 법정 최고액: $377,700 (매년 인플레이션에 따라 조정됨)
  • 또는 거래 가액의 2배 중 더 큰 금액

각 거래는 별개의 위반이 될 수 있습니다. 2년 동안 40건의 주문을 한 단일 고객은 40건의 위반에 해당합니다.

OFAC의 과태료 산정은 세 단계를 거칩니다:

  1. 기본 금액 — 사례의 중대성 여부, VSD 적용 여부, 거래 가액(법정 일정표 기준)에 따라 달라집니다.
  2. 조정 — 가중 요인(의도성, 인지 여부, 제재 프로그램 목적 훼손, 숙련된 당사자, 준수 프로그램 부재) 및 감경 요인(협조, 시정 조치, 첫 위반, 소규모 경영, 재무 상태)을 고려합니다.
  3. 최종 제안 과태료 — 대상자가 이의를 제기할 수 있는 과태료 부과 전 통지서(Pre-Penalty Notice)로 발행됩니다.

고의적 위반의 경우 형사 처벌이 추가됩니다: 위반당 최대 100만 달러의 벌금 및 개인의 경우 최대 20년의 징역형에 처해질 수 있습니다.

소규모 기업을 위한 실무 준수 체크리스트

이를 시작점으로 활용하십시오. 법률 자문을 대신할 수는 없지만, 기관이 발표한 집행 결과에서 반복적으로 언급한 사항들을 포함하고 있습니다.

토대

  • 경영진이 서명한 서면 제재 준수 정책
  • 지정된 준수 책임자 (창립자나 CFO가 맡을 수 있으며, 공석으로 두지 마십시오)
  • 문서화된 리스크 평가 (비즈니스에 중대한 변화가 있을 때 업데이트)
  • 비즈니스와 관련된 모든 제재 관할 구역 및 인물 목록

스크리닝

  • 온보딩 시 모든 고객, 벤더, 수취인 및 거래처 스크리닝 실시
  • 업데이트된 SDN/통합/SSI 목록에 대해 매일 또는 매주 재스크리닝 실시
  • 고위험 거래처에 대해 실소유자(Beneficial-ownership) 정보 공개 요구
  • 잠재적 일치 항목 평가를 위한 문서화된 절차 (오탐 대 정탐)
  • 웹 플랫폼에서 알려진 금수 조치 관할 구역에 대한 지리적 위치/IP 필터링

거래

  • 이행 중단에 대한 명확한 권한이 포함된 차단 또는 거부 결정 트리
  • 차단된 자금을 예치할 수 있는 별도의 이자 발생 계좌 준비
  • 요건을 충족할 수 있는 거래를 위한 OFAC 라이선스 신청 워크플로우

기록 보관 및 보고

  • 스크리닝 기록 및 거래 기록 5년 보관
  • 영업일 기준 10일 이내에 초기 차단/거부 거래 보고서 제출
  • 매년 9월 30일까지 연례 차단 자산 보고서 제출
  • 모든 스크리닝 적발(hit) 및 처리 결과에 대한 감사 추적(Audit trail)

테스트 및 교육

  • 분기별 자체 테스트 (스크리닝 도구를 통한 더미 데이터 실행)
  • 연례 독립적 검토 (외부 법률 고문 또는 준수 컨설턴트)
  • 모든 관련 직원을 대상으로 한 연례 교육 및 출석 문서화

사고 대응

  • OFAC 업무에 익숙한 외부 법률 고문 사전 지정
  • 문서화된 VSD 결정 프로토콜 — 결정 주체, 트리거 증거, 제출서 초안 작성자 명시

집행을 유발하는 흔한 실수들

공개된 OFAC 제재 사례에서 나타나는 패턴에는 거의 항상 다음 중 하나 이상이 포함됩니다:

  1. "우리는 SDN 목록만 확인합니다." 통합 제재 목록(Consolidated), SSI, FSE 또는 NS-MBS 목록을 누락하는 것은 빈번하게 발생하는 지적 사항입니다.
  2. 정적 심사(Static screening). 고객 확보 시점에만 수행하는 확인 작업은 SDN 목록이 매주 변경되기 때문에 실패할 수밖에 없습니다. 1월에 문제가 없었던 고객이 6월에 제재 대상으로 지정될 수 있습니다.
  3. 실소유주(Beneficial ownership) 무시. 거래 상대방의 이름은 문제가 없더라도, 두 단계 위의 지분 60%를 가진 소유주가 제재 대상인 경우가 있습니다.
  4. 지오펜싱(Geofencing) 공백. 웹 플랫폼이 이란 IP는 차단하지만 VPN 트래픽은 허용하는 경우입니다. OFAC는 핀테크 사례에서 이를 언급한 바 있습니다.
  5. 잠재적 일치 항목에 대한 문서화된 절차 부재. 고객 대응 직원이 상급 보고 지침 없이 임의로 판단을 내리는 경우입니다.
  6. 필수 보고서 제출 실패. 원 거래가 적절하게 차단되었더라도, 10일 이내 보고서나 매년 9월 30일 연례 보고를 누락하는 것 자체가 위반 사항입니다.
  7. 불충분한 교육. OFAC 교육을 전혀 받지 않은 영업 직원이 제재 지역에 서비스를 약속하는 경우입니다.
  8. 느린 자진 신고. 위반 사항을 발견하고도 숨기고 있다가 다른 기관이 이를 독립적으로 발견하게 되는 경우로, 이럴 경우 자진 신고(VSD) 자격과 50% 벌금 감면 혜택을 잃게 됩니다.

재무 기록을 OFAC 준수 상태로 유지하기

제재 준수의 성패는 문서화에 달려 있습니다. 모든 차단된 거래, 거부된 결제, 모든 심사 결정, 모든 라이선스 신청 등 OFAC는 5년의 감사 기간 중 언제든 이를 요구할 수 있습니다. 이러한 항목들을 블랙박스 같은 장부 인터페이스 뒤에 숨겨두는 회계 시스템은 소환장(Subpoena) 대응 속도를 늦출 뿐입니다.

Beancount.io는 정반대의 접근 방식을 취합니다. 모든 항목이 읽기 쉬운 텍스트 형태이고, 모든 변경 사항은 버전 관리되며, 모든 계정에는 OFAC의 주의를 끄는 국가 간 활동 유형에 대해 태그를 달 수 있는 평문 회계(Plain-text accounting) 시스템입니다. 감사인이나 자발적 자진 신고를 준비하는 외부 변호사가 특정 거래 상대방에 대한 전체 결제 내역을 요청할 때, 며칠이 아닌 몇 분 만에 자료를 생성할 수 있습니다. 무료로 시작하기를 통해 OFAC가 귀하의 준수 프로그램에 기대하는 것과 동일한 투명성을 재무 관리에도 도입해 보세요.