미·중 전략 경쟁 심화와 경제 블록화, 우크라이나·러시아 전쟁, 이란 전쟁 등 지정학적 위기가 확대되면서 글로벌 공급망 관리 패러다임이 빠르게 변화하고 있다. 과거엔 공급망 관리(SCM·Supply Chain Management)가 ‘비용 절감 효율성과 적기 공급(Just-In-Time)’을 최우선 목표로 운영됐다. 최근에는 국가 안보와 경제제재 대응을 중심으로 한 리스크 관리 체계로 전환되는 양상이다. 특히 미국과 유럽연합(EU)을 중심으로 수출 통제와 경제제재가 강화되면서 규제의 초점도 단순 품목(What) 관리에서 거래 주체(Who), 나아가 결제 및 금융 경로(How)까지 확대되고 있다. 이에 따라 글로벌 기업은 공급망 전반에 대한 상시적 실사 체계와 정보기술(IT) 기반 KYC(Know Your Customer)1) 시스템 구축 압박을 받고 있다.

이러한 변화 속에서 공급망 관리가 단순 물류·조달 영역을 넘어 국가 안보 및 기업 생존 전략의 핵심 요소로 부상하고 있다. 특히 공급자·브로커·최종 사용자·금융기관 등 거래에 연관된 모든 이해 당사자를 대상으로 한 실사(Due Diligence)가 요구되며, 제재 회피를 위한 우회 거래망과 유령 회사까지 추적 범위가 확대되고 있다. 실제로 미 재무부 산하 금융범죄단속네트워크는 2024년 TD은행에 KYC 및 거래 모니터링 실패를 이유로 13억달러 규모의 벌금을 부과했으며, OFAC(Office of Foreign Assets Control·미 재무부 산하 해외자산통제실) 역시 태국 소재 기업 SCG플라스틱에 이란 제재 위반을 이유로 2000만달러 벌금을 부과했다. 이는 비(非)미국 기업도 미국제재 체계 준수 의무에서 자유롭지 않다는 점을 보여주는 사례로 제시됐다.

제재 대상 확대와 공급망 관리의 디지털 전환

주요국 중심으로 최근 제재 대상이 급속히 확대되고 있다. 미국과 EU는 러시아, 중국, 중동 지역뿐 아니라 제재 회피를 지원하는 제삼국 기업과 우회 거래망까지 제재 리스트에 포함하고 있으며, 2024년 말 기준 OFAC의 특별지정 제재대상(SDN)은 1만5000개 이상, EU제재 대상은 5000여 개 수준으로 증가한 것으로 나타났다. 특히 미국은 러시아 관련 금융 제재와 함께 중국의 반도체·인공지능(AI) 기술 굴기를 차단하기 위한 수출 통제를 병행하며 ‘타깃 디커플링(Target Decoupling)’2) 전략을 강화하고 있다. 이러한 환경 변화 속에서 기존 수작업 중심의 거래처 검증 방식은 한계에 직면하고 있으며, AI·클라우드·전사적 자원관리(ERP) 연계 기반의 자동화된 우려 거래자 식별 시스템이 빠르게 확산하고 있다. 글로벌 무역 컴플라이언스 소프트웨어 시장은 2025년 5억2800만달러 규모에서 2035년 15억4100만달러 규모로 성장할 것으로 전망되며, 특히 우려 거래자 식별 애플리케이션 비중이 가장 큰 영역으로 확대되고 있는 상황이다. 이는 각국 규제 기관이 발표하는 방대한 제재 리스트를 기업이 자체적으로 관리하기 어려워졌음을 의미한다.

OFAC 50% 룰과 실소유주 추적 한계

다만 IT 기반 KYC 시스템이 모든 제재 리스크를 해결할 수는 없는 것으로 알려졌다. 대표적 사례가 OFAC의 ‘50% 룰’이다. 이는 제재 대상자가 직간접적으로 50% 이상 지분을 보유한 기업은 제재 대상 명단인 ‘SDN 리스트’에 직접 등재되지 않았더라도 동일한 제재 대상으로 간주하는 규정이다. 기업은 단순 거래 상대방뿐 아니라 최종 실소유주(UBO·Ultimate Beneficial Owner)와 지배구조까지 추적해야 하는 의무를 지게 된다. 2023년 마이크로소프트(Microsoft·MS) 사례가 대표적 한계 사례로 나타났다. 당시 MS는 해외 자회사가 제공한 소프트웨어 서비스 거래 상대방이 SDN 직접 대상은 아니었지만, 실질적으로 SDN 대상자가 과반 지분을 보유한 기업이었다는 점이 문제가 돼 OFAC과 330만달러 규모 벌금 합의를 진행했다. 이는 글로벌 IT 기업조차 복잡한 지분 구조와 간접 소유관계를 완벽하게 추적하기 어렵다는 점을 보여주는 사례로 평가된다. 또 제재 대상자가 유령 회사, 다단계 자회사 구조, 익명 신탁 등을 활용해 실소유주를 은닉하는 사례가 증가하면서 상용 솔루션만으로는 완전한 식별이 어렵다는 점도 지적됐다. 이에 따라 기업이 회색 지대 거래에 대해 명확한 지분 구조 확인 전까지 거래를 중단할 수 있는 내부 기준과 ‘의심 징후(red flag)’ 체계를 마련하고 거래를 중단할 수 있어야 한다는 전문가의 설명이다.

결제 경로 검증과 전사적 컴플라이언스 필요성 확대

기업이 물류 흐름 중심으로 공급망을 관리하면서도 정작 금융 및 결제 경로 검증은 상대적으로 소홀히 하는 문제가 있다고 전문가는 지적했다. 구매자나 납품 업체가 제재 대상이 아니더라도, 거래 과정에 포함된 은행이나 결제 대행사가 제재 리스크에 연루되면 대금 지급 중단이나 세컨더리 보이콧 대상이 될 가능성이 있다는 설명이다. 특히 미국 상무부와 재무부는 금융기관에 대해 단순 제재 리스트 조회를 넘어 고객의 고객까지 추적하는 강화된 자금 흐름 검증 체계를 요구하고 있으며, 러시아 군수산업과 연계된 공통 고위험품목(CHPL·Common High Priority List) 취급 여부까지 확인하도록 가이드라인을 강화하고 있다. 구매자가 명단에 없더라도, 제재 위험이 큰 특정 지역의 소형 은행이나 구조가 불투명한 결제 대행사, 또는 제삼국의 금융기관으로부터 대금 지급이 이뤄질 것이라는 정보를 받았다면, 해당 거래는 초기 단계에서부터 판별할 수 있도록 리스크 기반 접근 방식을 통한 방안이 필요한 상황이다. 이에 따라 수출 기업 역시 거래 상대방뿐 아니라 결제 네트워크의 건전성까지 사전에 검토해야 하는 상황이다.