Aave 의 SOC 2 Type II : DeFi 최초의 기업용 규제 준수 감사가 어떻게 기관 자본을 유입시키는가
지난 10년 동안, 은행을 대상으로 한 모든 DeFi 피치 덱은 동일한 벽에 부딪혀 끝이 났습니다. 프로토콜의 TVL은 거대했고, 스마트 컨트랙트 감사는 5중으로 쌓여 있었으며, 수익률은 기관이 자체적으로 조달할 수 있는 그 어떤 것보다 높았습니다. 그러다 구매 팀이 한 가지 질문을 던집니다 — "SOC 2 인증이 있나요?" — 그리고 거래는 중단되었습니다.
2026년 4월, Aave Labs가 그 질문에 답했습니다. 최대 규모의 탈중앙화 대출 프로토콜 팀이 Aave Pro, Aave Kit, Aave App 전반에 걸쳐 보안(Security), 가용성(Availability), 기밀성(Confidentiality)을 보장하는 SOC 2 Type II 인증을 획득한 것입니다. 이는 최상위 DeFi 프로토콜이 기업용 SaaS 제공업체, 클라우드 플랫폼, 규제 대상 금융 인프라에 요구되는 것과 동일한 운영 통제 기준을 통과한 최초의 사례입니다.
이것은 암호화폐 업계 사람들이 본능적으로 열광할 만한 보도자료는 아닙니다. 토큰 ��락업 해제도, TVL 급증도, 에어드랍도 없습니다. 하지만 실제로 진입하지 못한 채 2년 동안 DeFi 주변을 맴돌던 은행 리스크 위원회, 자산 관리 규제 준수 책임자, 기업 재무 담당자들에게 이 인증은 마지막 구조적 장애물 중 하나를 제거해 줍니다. 그리고 이는 "트러스트리스(trustless)"가 가질 수 있는 의미를 변화시킵니다.
왜 SaaS 감사 표준이 갑자기 DeFi에서 중요해졌는가
AICPA가 관리하는 시스템 및 조직 통제(SOC 2) 프레임워크는 기업 구매 팀이 진입을 허용할지 여부를 결정하는 기준이 되는 인증입니다. Slack과 같은 모든 B2B SaaS 벤더는 이 인증에 생사가 달려 있습니다. Type I은 통제 시스템이 갖춰져 있음을 나타내고, Type II는 해당 통제가 6개월 이상의 지속적인 관찰 기간 동안 실제로 효과적으로 작동했음을 나타냅니다.
Aave의 인증은 프로토콜의 릴리스 수명 주기에 적용되는 개발 워크플로우, 소프트웨어 보호, 정보 처리 절차 및 운영 관행을 조사한 것으로 알려졌습니다. 이는 엔지니어가 프로덕션 환경에 접근하는 방법, 사고가 감지되고 보고되는 방식, 데이터 흐름이 기록되는 방식, 변경 관리가 승인되는 방식과 같은 그다지 화려하지 않은 운영 메커니즘에 관한 것입니다.
DeFi는 역사적으로 "프로토콜이 곧 계약이며, 계약이 곧 감사이다"라는 합리적인 논거를 내세우며 이러한 유형의 평가를 거부해 왔습니다. Trail of Bits, OpenZeppelin, Certora는 Solidity의 공격적 코드 리뷰를 중심으로 전체 비즈니스를 구축했습니다. 그런데 왜 불변의 인프라 위에 관리형 서비스 감사가 추가로 필요할까요?
그 답은 2024년과 2025년에 피할 수 없게 되었습니다. 스마트 컨트랙트 감사는 특정 시점의 코드를 살펴봅니다. 이는 규제 대상 할당자(allocator)에게 개발 팀이 새벽 2시에 발생한 제로데이 취약점 노출을 어떻게 처리하는지, 누가 프런트엔드 배포 파이프라인의 키를 가지고 있는지, 멀티시그 서명자가 피싱 방지 MFA를 사용하는지, 또는 팀의 벤더 목록에 보안이 뚫린 것으로 알려진 npm 종속성이 포함되어 있는지 여부를 알려주지 않습니다. 이것들은 조직적인 질문이며, SOC 2 Type II는 기업 리스크 팀이 이러한 질문을 던질 때 사용하는 언어입니다.
구매의 벽, 짧은 설명
규제 대상 금융 기관에 소프트웨어를 판매해 본 적이 없다면, 거래를 무산시키는 워크플로우는 다음과 같습니다. 은행의 비즈니스 스폰서가 DeFi 프로토콜을 사용하고 싶어 합니다. 그들은 사용 사례(use case)를 작성합니다. 이 사례는 벤더 리스크 팀으로 전달되고, 리스크 팀은 200개의 문항으로 구성된 보안 설문지를 보냅니다. 14번 질문은 *"지난 12개월 이내의 SOC 2 Type II 보고서를 제출하십시오"*입니다. 2026년까지 어떤 DeFi 프로토콜도 이 항목에 체크할 수 없었습니다.
"우리는 탈중앙화되어 있고, 컨트랙트는 불변이며, 여기 Trail of Bits 보고서 7개가 있습니다"라는 대체 답변은 지적으로는 옳았지만 절차적으로는 쓸모가 없었습니다. 벤더 리스크 프레임워크는 신뢰가 필요 없다는 철학적 방어가 아니라 인정된 통제 인증을 기반으로 구축됩니다. "우리는 CEO가 없다"는 주장에 대한 ISO 27001 상응 기준은 존재하지 않습니다.
Aave의 SOC 2가 신용 위원회에 DAO 거버넌스를 설명해야 하는 어색함을 없애주지는 않지만, 계약에 도달하기 전에 파일럿 프로젝트를 무산시키던 절차적 단계를 충족시켜 줍니다. 이것이 기업 영업에서 가능한 것과 실행 가능한 것의 차이입니다.
커스터디 레이어를 따라잡기
Aave가 암호화폐 업계에 SOC 2를 처음 도입한 것은 아닙니다. 커스터디(수탁) 및 거래소 레이어는 이미 몇 년 전에 그 단계에 도달했습니다.
- Fireblocks는 ISO 27001, SOC 1 Type II, ISO 27017/27018 및 CCSS 레벨 3와 함께 SOC 2 Type II를 보유하고 있습니다.
- Coinbase Custody는 Deloitte & Touche로부터 SOC 1 Type II 및 SOC 2 Type II 감사를 받았습니다.
- BitGo는 적격 커스터디언에게 기대되는 SOC 인증과 함께 약 2억 5,000만~3억 2,000만 달러 규모의 Lloyd's of London 보험을 보유하고 있습니다.
커스터디언들은 기준을 통과해야만 했습니다. 그들의 제품 자체가 "우리는 귀하의 자산을 보관하며 신뢰할 수 있다"는 것이기 때문입니다. 거래소들은 기관 브로커로서의 이유로 그 뒤를 따랐습니다. 지금까지 부족했던 것은 프로토콜 레이어였습니다. 은행은 자산을 Coinbase에 수탁하고 Fireblocks를 통해 거래를 라우팅할 수 있었지만, 반대편의 대출 프로토콜에 필적하는 인증이 없었기 때문에 실제로 온체인에 자본을 배치할 곳이 없었습니다.
Aave의 SOC 2는 자산 측면에서 그 간극을 메웁니다. 이제 수직적인 기관용 스택은 다음과 같이 구성됩니다: 적격 커스터디언(SOC 인증) → 거래 및 결제 플랫폼(SOC 인증) → 대출 프로토콜(SOC 인증). 이제 모든 연결 고리는 동일한 체크리스트를 사용하는 벤더 리스크 팀이 이해할 수 있는 상태가 되었습니다.
Horizon, $ 550M 규모의 쐐기
이 인증은 단순히 고립된 상태에서 일어나는 일이 아닙니다. 이는 Aave 가 적격 기관이 미국 국채와 같은 토큰화된 실물 자산(RWA)을 담보로 스테이블코인을 빌릴 수 있도록 특별히 출시한 허가형 시장인 Aave Horizon 위에서 이루어지고 있습니다.
현재 Horizon 의 순 예치금은 약 1B 달성을 목표로 하고 있습니다. 이들은 단순히 기회를 엿보는 암호화폐 애호가들이 아닙니다. 이들은 실제 기관 포트폴리오에 포함되는 토큰화된 자산의 발행사들이며, 벤더 리스크 위원회가 신뢰하는 바로 그 이름들입니다.
Horizon 은 수요 신호이고, SOC 2 는 조달(Procurement)의 활성화 장치입니다. 이들은 항상 함께 출시될 예정이었습니다. 하나가 없으면 다른 하나는 불완전하기 때문입니다. 규제 준수 증명이 없는 허가형 RWA 시장은 베타 제품에 불과합니다. 반대로 기관급 자금을 운용할 장소가 없는 SOC 2 증명은 아무도 요구하지 않는 자격증일 뿐입니다. 이 둘이 결합되어 하나의 논지를 형성합니다. 즉, DeFi 의 다음 성장 단계는 '이전에는 진입할 수 없었으나' 이제는 진입이 가능해진 자본의 달러 규모로 측정될 것이라는 점입니다.
"코드 그리고 조직을 믿으라"의 시대
여기서 더 깊은 변화는 DeFi 가 스스로에 대해 무엇을 주장하려 하는가에 있습니다.
2020년 당시의 슬로건은 "코드를 믿으라(Trust the code)"였습니다. 스마트 컨트랙트는 결정론적이고, 감사는 공개되며, 거버넌스는 온체인에서 이루어지므로 프로토콜을 전적으로 소프트웨어만으로 평가할 수 있다는 논리였습니다. 이 이야기는 Etherscan 을 진실의 원천으로 삼고 Discord 채널을 고객 지원 센터로 사용하는 데 익숙한 크립토 네이티브 유저들에게는 통했습니다.
하지만 기관 계층에는 결코 통하지 않았습니다. 실제 자산 배분가들은 코드 리스크뿐만 아니라 거래 상대방 리스크(Counterparty risk)를 평가하기 때문입니다. 그들은 누가 프론트엔드 저장소에 코드를 푸시할 수 있는지, 팀의 도메인 등록처가 사회 공학적 공격을 당하면 어떻게 되는지, 대기 중인 엔지니어가 실시간 익스플로잇에 대응할 수 있는 권한을 가지고 있는지, 그리고 사고 대응 연습이 되어 있는지를 알고 싶어 합니다. 이 중 어떤 것도 스마트 컨트랙트에는 담겨 있지 않습니다. 하지만 이 모든 것이 SOC 2 의 범위에 포함됩니다.
새로운 슬로건은 "코드와 그것을 운영하는 조직을 모두 믿으라"입니다. 이는 다소 덜 세련된 구호일 수 있지만, 다른 모든 규제 대상 금융 인프라가 실제로 평가되는 방식과 일치합니다. AWS 가 신뢰받는 이유는 S3 가 오픈 소스이기 때문이 아니라, 아마존의 통제 시스템이 감사를 받기 때문입니다. Visa ��가 신뢰받는 이유는 카드 네트워크가 수학적으로 안전하기 때문이 아니라, VisaNet 이 수십 년간 입증된 운영 관행을 가지고 있기 때문입니다. DeFi 는 이제 그 게임을 시작하고 있습니다.
물론 여기에는 비용이 따릅니다. 암호화폐의 프로토콜 계층은 본래 조직적 신뢰가 중요하지 않은 곳이어야 했습니다. SOC 2 는 Aave Labs, Avara 엔티티, 엔지니어링 조직과 같은 중앙 집중식 팀의 개념을 일반 회사와 불편할 정도로 유사한 방식으로 신뢰 모델에 다시 도입합니다. 탈중앙화 극단주의자들의 반대는 실질적입니다. 이에 대한 반론은, 2026년에 기관 자금 흐름을 받아들일 수 있는 유일한 DeFi 프로토콜은 일반 기업처럼 감사를 기꺼이 수용하는 프로토콜뿐일 것이며, 이 두 집단 사이의 격차는 곧 빠르게 벌어질 것이라는 점입니다.
다른 프로토콜들이 내려야 할 결정
Aave 는 방금 새로운 최소 기준을 세웠습니다. 이제 다른 모든 최상위 DeFi 프로토콜은 12개월의 시한이 정해진 전략적 질문에 직면해 있습니다. SOC 2 인증을 추진할 것인가, 아니면 Aave 가 규제된 자금 흐름에서 구조적 우위를 점하는 동안 자신들은 크립토 네이티브 자본만을 두고 경쟁할 것인가?
가장 분명한 동기를 가진 후보들은 다음과 같습니다.
- Uniswap Labs — 동일한 조달 문제의 거래 측면에 위치해 있습니다. 프론트엔드와 Uniswap X 인프라에 대한 SOC 2 인증은 현재 OTC 데스크를 통해 라우팅되는 기관의 스왑 흐름을 끌어올 수 있습니다.
- Maple Finance — 이미 기관 신용 서비스를 제공하고 있으며, 크립토 네이티브 기관을 대상으로 TVL 을 4B 이상으로 성장시켰습니다. SOC 2 는 은행 급 거래 상대방으로 나아가기 위한 자연스러운 단계입니다.
- Morpho — 선별된 볼트(Vault)를 통해 공격적인 기관 포지션을 구축하고 있습니다. Aave Horizon 에 대한 경쟁력은 컴플라이언스 자격을 맞추는 데 달려 있습니다.
- Compound, Spark, Pendle — 각각 기관 수익률을 얼마나 직접적으로 겨냥하느냐에 따라 시급성은 다르지만 모두 동일한 질문에 직면해 있습니다.
가장 먼저 움직이는 프로토콜은 Stripe 가 초기 결제 프로세서들에 대해 가졌던 것과 동일한 이점을 갖게 될 것입니다. 더 나은 제품이 아니라, 구매자가 더 빨리 '예(Yes)'라고 말할 수 있게 하는 조달 스토리를 갖는 것입니다. 움직이지 않는 프로토콜은 온체인 지표가 훌륭하더라도 다음 $ 100B 이상의 DeFi 유입에서 구조적으로 소외될 위험이 있습니다.
여전히 중요한 또 다른 감사
이 중 어떤 것도 스마트 컨트랙트 감사를 대체하지 않습니다. 두 평가는 서로 겹치지 않는 리스크 영역을 다룹니다. SOC 2 는 새로운 자산 상장 시의 재진입(Reentrancy) 버그를 잡아내지 못합니다. Trail of Bits 의 리뷰는 대기 중인 엔지니어가 실제로 일요일 새벽 3시에 호출될 수 있는지 알려주지 않습니다. 미래 지향적인 DeFi 용 기관 리스크 프레임워크는 두 인증이 모두 요구되는 계층화된 모델로 수렴하고 있으며, 여기에 런타임 모니터링, 크리티컬 패스(Critical path)의 형식 검증, 그리고 상당한 수준의 보상금이 걸린 버그 바운티 프로그램에 대한 요구가 더해지고 있습니다.
Aave 는 DeFi 역사상 가장 철저하게 감사를 받은 코드베이스 중 하나를 보유하고 있으며 버그 바운티 프로그램을 수년간 대규모로 운영해 왔기에 이 점에서 유리합니다. 감사 이력이 부족한 프로토콜의 경우, SOC 2 프로세스는 운영 통제를 평가하기 전에 먼저 수정해야 할 변경 관리, 벤더 인벤토리, 액세스 검토와 같은 인접한 격차를 드러낼 것입니다. 인증 타임라인은 일반적으로 시작부터 첫 번째 Type II 보고서까지 9~18개월이 소요되며, 이는 기관의 DeFi 채택 여부가 결정될 시기와 대략 일치합니다.
인프라 제공업체에게 이것이 의미하는 바
SOC 2의 파급 효과는 프로토콜에서 멈추지 않습니다. 프로토콜과 그 기관 파트너들이 의존하는 인프라 — RPC 엔드포인트, 인덱서, 데이터 제공업체, 서명 서비스 — 모두 동일한 규정 준수 프레임워크로 끌려 들어오게 됩니다. Aave를 막 승인한 은행의 벤더 리스크 관리 팀은 자사의 트랜잭션과 관련된 모든 종속성에 대해 동일한 SOC 2 질문을 던질 것입니다.
이는 "최선 노력(best effort)" 신뢰성 모델로 운영되어 온 Web3 인프라 스택의 일부 영역에 있어 불편한 상황이 될 것입니다. SLA 없이 중단되는 RPC 노드, 비공식적인 변경 관리를 수행하는 인덱서, 문서화된 액세스 제어가 없는 키 관리 서비스 등은 실제 기관의 벤더 검토에서 살아남을 수 없습니다. 인프라 레이어는 프로토콜 레이어가 방금 통과한 것과 동일한 조달 관련 논의를 거쳐야 할 시점에 직면해 있습니다.
이 기준을 조기에 충족하는 제공업체는 기관의 기본 선택지가 될 것입니다. 그렇지 못한 제공업체는 깨끗한 SOC 2 인증을 보유한 경쟁업체가 등장하는 즉시 교체될 것입니다.
BlockEden.xyz는 Sui, Aptos, Ethereum 및 20개 이상의 다른 체인에서 프로덕션 등급의 Web3 인프라를 운영하며, 기관 구매자들이 DeFi 스택의 모든 계층에서 요구하기 시작한 운영 규율을 갖추고 있습니다. API 마켓플레이스 둘러보기를 통해 기관 시대를 위해 설계된 인프라 위에서 개발을 시작해 보세요.
조용한 변곡점
단 하나의 인증(attestation)이 미치는 영향력을 과장할 수도 있습니다. Aave의 SOC 2 자체가 다음 분기에 Horizon으로 은행급 자본의 물결을 즉시 가져오지는 않을 것입니다. 조달 주기는 느리며, DeFi 참여를 둘러싼 법적 집행 가능성 및 회계 문제는 여전히 부분적으로 해결되지 않은 상태입니다. 허가형(permissioned) Aave 마켓을 통해 자금을 대출하는 최초의 국부 펀드 사례는 빨라야 2027년에나 가능할 것입니다.
하지만 이 순간은 나중에 성장의 곡선이 이미 가팔라진 이후에 되돌아보게 될 지점이 될 것입니다. 2020년과 2021년 사이클은 온체인 메커니즘을 구축했습니다. 2024년과 2025년 사이클은 규제 및 토큰화 자산 레일을 구축했습니다. 2026년 사이클은 외부에서 지켜보던 기관들이 모든 것을 실제로 사용할 수 있게 해주는 운영 신뢰 계층을 구축하고 있습니다.
Aave의 SOC 2 Type II는 이 장벽을 쌓는 첫 번째 프로토콜 레이어 벽돌입니다. 이것이 거대한 장벽임을 깨닫고 지금부터 준비하는 프로토콜들이 향후 10년의 DeFi를 정의할 것입니다. 규제 기관이나 감사인이 찾아오기만을 기다리는 이들은 왜 자신들의 온체인 TVL이 모두가 예측하던 기관의 자금 흐름으로 전환되지 않는지 설명하는 데 그 10년을 소비하게 될 것입니다.
신뢰의 인프라는 한 번에 하나의 인증씩 재건되고 있습니다. Aave가 그 첫 번째 초석을 놓았습니다.