본문으로 건너뛰기

순간적 보관, 장기 컴플라이언스: 암호화폐 결제 창업자를 위한 플레이북

· 약 5분
Dora Noda
Software Engineer

암호화폐 결제 플랫폼을 구축하고 있다면, “우리 플랫폼은 고객 자금을 몇 초만 건드리니까 보관이라고 할 수 없지”라고 스스로에게 말했을 수도 있습니다.

이는 위험한 가정입니다. 전 세계 금융 규제당국에게는 고객 자금에 대한 순간적인 통제조차도 여러분을 금융 중개인으로 만들게 됩니다. 그 짧은 접촉—몇 초라도—은 장기적인 컴플라이언스 부담을 촉발합니다. 설립자에게는 코드의 기술적 구현뿐 아니라 규제의 실질을 이해하는 것이 생존에 필수적입니다.

이 플레이북은 복잡한 규제 환경 속에서 현명하고 전략적인 결정을 내릴 수 있도록 명확한 가이드를 제공합니다.

1. “몇 초”가 왜 여전히 자금 전송 규칙을 트리거하는가

핵심은 규제당국이 통제를 어떻게 정의하느냐에 있습니다. 미국 재무부 금융범죄단속네트워크(FinCEN)는 명확히 규정합니다: “전환 가능한 가상화폐를 수락하고 전송하는 사람” 은 보유 기간에 관계없이 머니 트랜스미터로 분류됩니다.

이 기준은 FinCEN의 2019년 CVC 가이드라인2023년 DeFi 위험 평가에서도 재확인되었습니다.

플랫폼이 이 정의에 해당하면 다음과 같은 까다로운 요구사항을 충족해야 합니다:

  • 연방 MSB 등록: 미국 재무부 산하 머니 서비스 비즈니스(MSB)로 등록.
  • 서면 AML 프로그램: 포괄적인 자금세탁방지(AML) 프로그램을 수립·유지.
  • CTR/SAR 보고: 통화거래보고서(CTR)와 의심거래보고서(SAR) 제출.
  • Travel‑Rule 데이터 교환: 특정 이체에 대해 송신자·수신자 정보를 교환.
  • 지속적인 OFAC 스크리닝: 사용자를 제재 명단과 지속적으로 대조.

2. 스마트 계약 ≠ 면책

많은 설립자는 스마트 계약으로 프로세스를 자동화하면 보관 의무에서 자유로워진다고 생각합니다. 그러나 규제당국은 기능적 테스트를 적용합니다: 코드를 어떻게 작성했는지가 아니라 누가 실질적인 통제권을 가지고 있는지를 판단합니다.

금융행동태스크포스(FATF)는 2023년 목표 업데이트에서 “마케팅 용어나 자체 DeFi 선언이 규제 지위를 결정짓는 요소가 아니다”라고 명확히 했습니다.

당신(또는 당신이 제어하는 멀티시그)이 다음 중 하나라도 수행할 수 있다면, 당신이 보관자입니다:

  • 관리 키를 통해 계약을 업그레이드한다.
  • 자금을 일시 중지하거나 동결한다.
  • 배치 정산 계약을 통해 자금을 스윕한다.

관리 키가 없고 사용자가 직접 서명한 정산만 가능한 계약만이 가상자산 서비스 제공자(VASP) 라벨을 피할 수 있으며, 그 경우에도 UI 레이어에서 제재 스크리닝을 통합해야 합니다.

3. 라이선스 지도 한눈에 보기

규제 환경은 관할 구역마다 크게 다릅니다. 아래는 전 세계 라이선스 현황을 간략히 정리한 표입니다.

지역현재 관할 기관실질적 장벽
미국FinCEN + 주별 MTMA 라이선스이중 레이어, 고가 보증보험, 감사 필요. 현재까지 31개 주가 머니 트랜스미션 현대화법(MTMA)을 채택.
EU (현 시점)국가별 VASP 등록최소 자본 요건, 하지만 MiCA가 완전 시행될 때까지 패스포팅 권한이 제한됨.
EU (2026)MiCA CASP 라이선스€125k–€150k 자본 요건, 27개 EU 시장에 단일 패스포트 제공.
영국FCA 암호자산 등록완전한 AML 프로그램과 Travel Rule을 준수하는 인터페이스 필요.
싱가포르 / 홍콩PSA (MAS) / VASP 조례보관 분리와 고객 자산에 대한 90% 콜드월렛 규정 의무화.

4. 사례 연구: BoomFi의 폴란드 VASP 경로

BoomFi 전략은 EU를 목표로 하는 스타트업에 좋은 모델을 제공합니다. 이 회사는 2023년 11월 폴란드 재무부에 등록해 VASP 자격을 획득했습니다.

성공 요인:

  • 빠르고 저비용: 승인 절차가 60일 미만에 완료됐으며, 고정 자본 요건이 없었습니다.
  • 신뢰성 확보: 등록 자체가 컴플라이언스를 증명하며, VASP 기록을 요구하는 EU 상인들에게 필수 조건이 됩니다.
  • MiCA로의 원활한 전환: 이 VASP 등록은 추후 MiCA CASP 라이선스로 바로 업그레이드 가능해 기존 고객 기반을 유지할 수 있습니다.

이 경량 접근법 덕분에 BoomFi는 초기 시장 진입과 제품 검증을 빠르게 진행하면서, 더 엄격한 MiCA 프레임워크와 향후 미국 출시를 준비할 수 있었습니다.

5. 빌더를 위한 리스크 감소 패턴

컴플라이언스는 사후 고려사항이 아닙니다. 제품 설계 단계부터 내재되어야 합니다. 아래는 라이선스 노출을 최소화할 수 있는 몇 가지 패턴입니다.

지갑 아키텍처

  • 사용자 서명·계약 포워딩 흐름: ERC‑4337 Paymaster 또는 Permit2와 같은 패턴을 활용해 모든 자금 이동이 사용자에 의해 명시적으로 서명·시작되도록 함.
  • 관리 키 타임락 자가 소멸: 계약이 감사·배포된 뒤, 타임락을 이용해 관리 권한을 영구 포기, 통제권이 없음을 증명.
  • 라이선스 파트너와 샤드 보관: 배치 정산 시, 라이선스를 보유한 보관 파트너와 협력해 자금 집계·지급을 위임.

운영 스택

  • 거래 전 스크리닝: API 게이트웨이를 통해 OFAC·체인 분석 점수를 삽입, 거래가 처리되기 전 주소를 검증.
  • Travel Rule 메신저: $1,000 이상 크로스‑VASP 이체 시 TRP 또는 Notabene 같은 솔루션을 통합해 필수 데이터 교환 수행.
  • KYB → KYC 순서: 먼저 사업자를 검증(Know Your Business)하고, 이후 사용자(Know Your Customer)를 온보딩.

확장 순서

  1. VASP로 유럽 진출: 폴란드 등 국가별 VASP 등록(또는 영국 FCA 등록)으로 제품‑시장 적합성을 입증.
  2. 파트너를 통한 미국 진출: 주 라이선스가 확보될 때까지, 라이선스를 보유한 스폰서 은행·보관 기관과 제휴해 미국 시장에 진입.
  3. MiCA CASP 업그레이드: EU 27개 시장에 대한 패스포트를 확보하기 위해 CASP 라이선스로 전환.
  4. 아시아‑태평양: 거래량·전략 목표에 따라 싱가포르(MAS) 또는 홍콩(VASP 조례) 라이선스를 검토.

핵심 정리

암호화폐 결제 분야의 모든 설립자가 기억해야 할 핵심 원칙:

  1. 통제권이 코드보다 우선: 규제당국은 누가 돈을 움직일 수 있는지를 판단합니다.
  2. 라이선스는 전략적 선택: 경량 EU VASP는 다른 고자본 시장에 대비하면서 문을 열어줍니다.
  3. 초기부터 컴플라이언스 설계: 관리 키 없는 계약과 제재 인식 API는 런웨이와 투자자 신뢰를 확보합니다.

고객 자금을 이동한다면 언제든 검증받을 준비를 하세요—그것이 바로 성공적인 암호화폐 결제 비즈니스의 기본입니다.