5개국 규제 조항 추출표: 콜드월렛 커스터디 적용 조항
1. 개요
1.1. 추출 방법론
본 문서는 5개국(한국/EU/미국/일본/싱가포르) 규제 프레임워크에서 콜드월렛 셀프 커스터디 에 직접 적용되는 구체 조항을 추출한다. v0.4에서 완성한 "7규제 x 7모델 매트릭스"(regulatory-compliance-matrix.md)를 기반으로, 조항 번호 수준의 구체 추출로 깊이를 한 단계 높인다.
추출 기준:
- 콜드월렛 셀프 커스터디에 직접 적용 되는 조항만 포함
- 핫월렛 전용 또는 수탁형(제3자 보관)에만 적용되는 조항은 명시적으로 제외
- 각 조항에 고유 ID 부여: REG-{국가코드}-{순번} (예: REG-KR-01)
적용 범위 판단 원칙:
- D'CENT Enterprise의 고객사는 VASP/금융기관/기관투자자
- 고객사가 규제 대상이며, D'CENT은 인프라 제공자로서 고객의 규제 준수를 지원
- 셀프 커스터디 = 고객이 프라이빗 키를 직접 보관, 제3자에게 위탁하지 않음
Confidence 기준:
| 등급 | 기준 | 해당 국가 |
|------|------|----------|
| HIGH | 시행 중인 법률/규정이며 공식 원문 확인 가능 | 한국, EU |
| MEDIUM | 시행 중이나 구체 조항의 영문 해석에 불확실성 존재 | 일본, 싱가포르 |
| LOW | Draft 상태이거나 최종 확정 전 | 미국 (GENIUS Act) |
1.2. 입력 문서
regulatory-landscape.md (Phase 2) -- 글로벌 규제 환경 초기 분석compliance-architecture-matrix.md (Phase 2) -- 42개 AC-ID 제약조건electronic-finance-network-separation.md (Phase 20) -- 전자금융감독규정/망분리isms-p-virtual-asset-act.md (Phase 20) -- ISMS-P/특금법 적합성 평가mica-dora-assessment.md (Phase 21) -- MiCA/DORA 배포 모델별 평가regulatory-compliance-matrix.md (Phase 22) -- 7규제 x 3모델 종합 매트릭스
2. 한국 규제 조항 추출 (Confidence: HIGH)
한국은 D'CENT Enterprise의 Phase 1 시장이며, 가장 상세한 추출을 수행한다.
2.1. 가상자산이용자보호법
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-KR-01 가상자산이용자보호법 제6조 (이용자 자산의 보관·관리)
"가상자산사업자는 이용자의 가상자산을 자기의 가상자산과 분리하여 관리하여야 한다"
VASP
분리보관
필수
2024.7 시행. 에어갭 아키텍처에서 물리적 분리 자동 충족
REG-KR-02 가상자산이용자보호법 시행령 (콜드월렛 보관 비율)
"이용자 가상자산의 80% 이상을 인터넷과 분리된 콜드월렛에 보관"
VASP
분리보관
필수
금융위원회 권고 기준. 에어갭 콜드월렛 = 100% 콜드 보관으로 자동 초과 충족
REG-KR-03 가상자산이용자보호법 (의심거래보고/고액거래보고)
"자금세탁 의심거래를 금융정보분석원(FIU)에 보고, 일정 금액 이상 거래 자동 보고"
VASP
보고
필수
STR/CTR 보고서 자동 생성 기능이 대시보드에 필요
REG-KR-04 가상자산이용자보호법 (자산 현황 보고)
"정기적 자산 보유 현황을 금융감독원에 보고"
VASP
보고
필수
Proof of Reserve 리포트 자동 생성 기능 필요
2.2. 특금법 (특정 금융거래정보의 보고 및 이용 등에 관한 법률)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-KR-05 특금법 제7조 (VASP 신고)
"가상자산사업자는 금융위원회에 신고하여야 한다. ISMS-P 인증을 받아야 한다"
VASP
인증
필수
VASP 영업 전제 조건. ISMS-P 의무 연동
REG-KR-06 특금법 시행령 제10조의5 (정보보호관리체계)
"가상자산사업자는 정보보호 최고책임자(CISO)를 지정하고, 보안 관제를 수행하여야 한다"
VASP
내부통제
필수
24/7 보안 관제, 취약점 점검, 데이터 백업 의무
REG-KR-07 특금법 (Travel Rule)
"100만원 이상의 가상자산 이전 시 송수신인 정보를 전달하여야 한다"
VASP
보고
필수
2022년 시행. 대시보드에서 Travel Rule 메시지 생성/수신 인터페이스 필요
2.3. 전자금융감독규정
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-KR-08 전자금융감독규정 제13조 (전자금융거래 기록의 보존)
"전자금융거래의 기록을 5년간 보존하여야 한다. 접근 기록, 거래 기록, 오류 기록 포함"
금융기관/VASP(준용)
감사/보존
필수
감사 로그 5년 보존 요건. 변조 불가 로그 설계의 법적 근거
REG-KR-09 전자금융감독규정 제14조 (정보기술부문 보호대책)
"정보처리시스템에 대한 접근 권한의 부여·변경·삭제 기록을 관리하여야 한다"
금융기관/VASP(준용)
감사/보존
필수
RBAC 변경 이력 추적, 접근 로그 관리
REG-KR-10 전자금융감독규정 제14조의2 (클라우드 이용)
"클라우드 이용 시 CSAP 인증 CSP, 국내 리전 데이터 저장, 금감원 보고 의무"
금융기관
내부통제
조건부
Model B/C에만 적용. Model A(온프레미스)는 비적용
2.4. ISMS-P
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-KR-11 ISMS-P 2.5.1~2.5.4 (접근 통제)
"사용자 계정 등록·변경·삭제 절차, 다중 인증(MFA), 최소 권한 원칙, 반기 1회 접근 권한 검토"
VASP(의무)/모든 커스터디
내부통제
필수
RBAC + MFA + 쿼럼 승인 체계의 인증 기준 근거
REG-KR-12 ISMS-P 2.6.1 (네트워크 접근 통제)
"네트워크 세그먼테이션, 방화벽 설정, 불필요한 네트워크 접근 차단"
VASP(의무)/모든 커스터디
내부통제
필수
에어갭 아키텍처가 네트워크 분리를 물리적으로 초월 충족
REG-KR-13 ISMS-P 2.6.7 (암호화 적용)
"개인정보, 중요정보의 저장 시 암호화 적용. AES-256 이상 권장"
VASP(의무)/모든 커스터디
내부통제
필수
SE 내부 암호화 + 대시보드 AES-256 at-rest + TLS 1.3 in-transit
REG-KR-14 ISMS-P 2.9.1 (감사 로그 관리)
"보안 관련 이벤트의 감사 로그를 기록하고, 위변조를 방지하여야 한다"
VASP(의무)/모든 커스터디
감사
필수
변조 불가 감사 로그 설계의 핵심 인증 기준
REG-KR-15 ISMS-P 2.9.3 (접근 기록 관리)
"정보시스템에 대한 접근 기록을 최소 6개월 이상 보관하여야 한다"
VASP(의무)/모든 커스터디
감사/보존
필수
전자금융감독규정 5년 보존과 병행 적용
3. EU 규제 조항 추출 (Confidence: HIGH)
EU는 D'CENT Enterprise의 중장기 시장이며, MiCA/DORA/GDPR이 주요 프레임워크이다.
3.1. MiCA (Markets in Crypto-Assets Regulation, 2023/1114)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-EU-01 MiCA Art. 67 (Prudential & organisational requirements)
"CASP는 적절하고 비례적인 IT 시스템과 보안 메커니즘을 유지하여야 한다. 효과적인 거버넌스 체계 수립 의무"
CASP
내부통제
필수
2024.12 전면 시행. 3-Zone 아키텍처의 "적절성" 논증 필요
REG-EU-02 MiCA Art. 68(1)(4) (Custody of crypto-assets)
"고객의 암호자산을 CASP 자체 자산과 분리 보관. 보관 암호자산의 포지션 기록 유지 및 정기 검증"
CASP (보관 서비스)
분리보관
필수
에어갭 아키텍처에서 SE별 물리적 분리로 자동 충족
REG-EU-03 MiCA Art. 69(1)(2) (Record-keeping)
"서비스, 활동, 거래에 대한 기록 유지. NCA가 요구하는 기간 동안 보존 -- 최소 5년"
CASP
감사/보존
필수
감사 로그 5년 보존. NCA 접근 가능 형식으로 유지
REG-EU-04 MiCA Art. 70 (Outsourcing)
"핵심 기능 위탁 시 NCA에 사전 통지. 위탁 계약에 보안 요구, 감사 권한, 종료 조건 포함"
CASP
내부통제
필수
Model B/C에서 D'CENT에 대시보드 운영 위탁 시 적용
3.2. DORA (Digital Operational Resilience Act, 2022/2554)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-EU-05 DORA Art. 6-7 (ICT risk management framework)
"금융 엔티티는 포괄적 ICT 리스크 관리 프레임워크를 수립하여야 한다. 이사회 책임 명시"
금융기관/CASP
내부통제
필수
2025.1 적용. 거버넌스 체계, 위험 평가 프레임워크 요구
REG-EU-06 DORA Art. 12 (Backup policies)
"백업 정책 및 복구 절차 수립. 정기적 복구 테스트 의무"
금융기관/CASP
내부통제
필수
키 백업(R3covery 카드, 금속 시드), 대시보드 데이터 백업
REG-EU-07 DORA Art. 28-30 (ICT third-party risk)
"핵심 ICT 제3자의 리스크 평가 및 등록부 관리. CTPP(Critical Third-Party Provider) 감독 체계"
금융기관/CASP
내부통제
필수
Model B/C에서 CSP/D'CENT이 ICT 제3자로서 리스크 평가 대상
3.3. GDPR
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-EU-08 GDPR Art. 17 (Right to erasure)
"데이터 주체는 개인 데이터의 삭제를 요청할 권리가 있다"
모든 커스터디 (개인정보 처리 시)
내부통제
필수
감사 로그 5년 보존 의무(REG-KR-08, REG-EU-03)와 잠재적 충돌. 법률 근거 우선 원칙으로 해소
REG-EU-09 GDPR Art. 25 (Data protection by design)
"데이터 처리 시 적절한 기술적·조직적 조치를 설계 단계부터 통합(Privacy by Design)"
모든 커스터디
내부통제
필수
에어갭 아키텍처가 데이터 최소 수집 원칙에 구조적으로 부합
REG-EU-10 GDPR Art. 44-49 (Cross-border transfer)
"개인 데이터의 EU 역외 이전 시 적정성 결정, 표준 계약 조항(SCC), 또는 동의 필요"
모든 커스터디 (EU 고객)
내부통제
필수
한국 적정성 결정(2022.12) 활용 가능. Model B/C에서 EU 리전 CSP 사용 시 이전 불필요
4. 미국 규제 조항 추출 (Confidence: LOW)
미국은 현재 D'CENT GTM에 포함되지 않으나, 글로벌 동향 모니터링 차원에서 추출한다. GENIUS Act는 2026년 현재 Draft 상태 이며, 최종 확정 시 Delta 업데이트가 필요하다.
4.1. GENIUS Act (Draft)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-US-01 GENIUS Act Sec. 3 (Digital asset custody standards)
"디지털 자산 커스터디 서비스 제공자는 고객 자산의 분리 보관과 정기 감사를 수행하여야 한다" (Draft)
커스터디 제공자
분리보관/감사
조건부 (Draft)
Draft 상태 . 확정 시 Auto 등급(에어갭 자동 충족) 예상
REG-US-02 GENIUS Act (Reserve & audit requirements)
"커스터디 자산의 준비금 증명(Proof of Reserve)과 외부 감사 의무" (Draft)
커스터디 제공자
보고/감사
조건부 (Draft)
Draft 상태 . Proof of Reserve 기능은 REG-KR-04와 공통 요건
4.2. SEC/OCC 가이던스
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-US-03 OCC Interpretive Letter 1170 (2021)
"국법은행은 디지털 자산 커스터디를 허가받은 활동으로 수행할 수 있다. 적절한 리스크 관리 체계 필요"
국법은행
내부통제
권고
은행 커스터디 허용 선례. 셀프 커스터디 인프라 제공과는 간접 관련
REG-US-04 NY BitLicense (23 NYCRR Part 200.12)
"가상화폐 사업자는 반기 1회 이상 사이버보안 감사 실시. 72시간 이내 사이버보안 이벤트 보고"
NY주 가상화폐 사업자
감사/보고
필수 (NY주)
NY주 한정 적용. 사이버보안 감사 및 이벤트 보고 의무
5. 일본 규제 조항 추출 (Confidence: MEDIUM)
일본은 D'CENT APAC GTM Phase 2 대상이며, 자금결제법과 JFSA 가이드라인이 핵심이다.
5.1. 자금결제법 (Payment Services Act, PSA)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-JP-01 자금결제법 제63조의10 (이용자 재산의 관리)
"암호자산교환업자는 이용자의 암호자산을 신뢰성 있는 방법으로 관리하여야 한다. 콜드월렛 95% 이상 보관 의무"
암호자산교환업자
분리보관
필수
한국 80% 대비 더 엄격. 에어갭 콜드월렛 100% 자동 초과 충족
REG-JP-02 자금결제법 제63조의11 (장부서류의 작성·보존)
"암호자산교환업자는 거래 기록을 작성하고 10년간 보존하여야 한다"
암호자산교환업자
감사/보존
필수
보존 기간 10년으로 5개국 중 가장 길다. 장기 아카이빙 설계 필수
REG-JP-03 자금결제법 제63조의12 (정보의 안전관리)
"암호자산교환업자는 업무에 관한 정보의 누설, 멸실, 훼손 방지를 위해 필요한 조치를 강구하여야 한다"
암호자산교환업자
내부통제
필수
ISMS-P와 유사한 정보 보안 관리 의무
5.2. JFSA 가이드라인
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-JP-04 JFSA 암호자산 교환업자 감독 가이드라인 III-1-2
"시스템 리스크 관리: 경영진의 IT 리스크 인식 및 관리 체계 확립, 정기적 시스템 감사 실시"
암호자산교환업자
내부통제
권고
DORA ICT 리스크 관리와 유사 패턴
6. 싱가포르 규제 조항 추출 (Confidence: MEDIUM)
싱가포르는 D'CENT APAC GTM Phase 2 대상이며, MAS PSA와 AML/CFT Notice가 핵심이다.
6.1. Payment Services Act (PSA)
ID
조항 번호/명칭
원문 근거 (핵심 요약)
적용 범위
요건 유형
의무 강도
비고
REG-SG-01 PSA Sec. 54 (Safeguarding of customers' money/assets)
"디지털 결제 토큰 서비스 제공자는 고객의 자산을 안전하게 보관하여야 한다. 고객 자산과 자기 자산 분리"
DPT 서비스 제공자
분리보관
필수
MAS 가이드라인에서 콜드 보관 90% 권고
REG-SG-02 MAS PSN02 (AML/CFT Notice for DPT Service Providers)
"DPT 서비스 제공자는 고객 확인(CDD), 의심거래보고(STR), 기록 보존(5년) 의무를 이행하여야 한다"
DPT 서비스 제공자
보고/보존
필수
AML/CFT 기록 5년 보존. 한국/EU와 동일 수준
REG-SG-03 MAS Technology Risk Management (TRM) Guidelines
"금융기관은 IT 리스크 관리 프레임워크를 수립하고, 사이버 보안 관제, 접근 통제, 변경 관리를 이행하여야 한다"
금융기관/DPT 서비스 제공자
내부통제
권고
DORA/ISMS-P와 유사 패턴. 기술적 보안 관제 요구
7. 전체 조항 집계
7.1. 국가별 추출 조항 수
국가
추출 조항 수
Confidence
핵심 규제 프레임워크
한국 15개 (REG-KR-01 ~ REG-KR-15)
HIGH
가상자산이용자보호법, 특금법, 전자금융감독규정, ISMS-P
EU 10개 (REG-EU-01 ~ REG-EU-10)
HIGH
MiCA, DORA, GDPR
미국 4개 (REG-US-01 ~ REG-US-04)
LOW
GENIUS Act (Draft), OCC, BitLicense
일본 4개 (REG-JP-01 ~ REG-JP-04)
MEDIUM
자금결제법, JFSA 가이드라인
싱가포르 3개 (REG-SG-01 ~ REG-SG-03)
MEDIUM
PSA, PSN02, TRM Guidelines
합계 36개
7.2. 요건 유형별 분포
요건 유형
조항 수
대표 조항
분리보관 6개
REG-KR-01, REG-KR-02, REG-EU-02, REG-JP-01, REG-SG-01, REG-US-01
감사/보존 8개
REG-KR-08, REG-KR-14, REG-KR-15, REG-EU-03, REG-JP-02, REG-SG-02, REG-US-02, REG-US-04
내부통제 14개
REG-KR-06, REG-KR-09~13, REG-EU-01, REG-EU-05~07, REG-EU-08~10, REG-JP-03~04, REG-SG-03, REG-US-03
보고 4개
REG-KR-03, REG-KR-04, REG-KR-07, REG-US-04
인증 1개
REG-KR-05
7.3. 의무 강도별 분포
의무 강도
조항 수
비고
필수 27개
미충족 시 영업 불가 또는 법적 제재
권고 4개
경쟁력 확보 및 상위 인증에 필요
조건부 3개
상황(배포 모델, 관할) 의존적 적용
조건부 (Draft) 2개
GENIUS Act 확정 시 변경 예상
7.4. 핫월렛/수탁형 전용 조항 제외 목록
아래 조항은 콜드월렛 셀프 커스터디에 비적용되므로 추출 대상에서 명시적으로 제외하였다:
조항
제외 사유
MiCA Art. 73 (불만 처리)
CASP 직접 서비스 운영 시 적용. 인프라 제공자에게는 비적용
DORA Art. 17 (ICT 인시던트 분류)
금융기관 직접 의무. 인프라 제공자가 아닌 서비스 운영자에 적용
가상자산이용자보호법 (이용자 예치금 관리)
법정화폐 수탁 의무. 커스터디 솔루션은 법정화폐를 직접 수탁하지 않음
MAS PSA Sec. 23 (준비금 요건)
스테이블코인 발행자 대상. 커스터디 서비스에 비적용
8. 조항 간 교차 참조
8.1. 유사 요건 그룹
동일하거나 유사한 요건이 여러 국가에서 반복되는 패턴을 식별한다. 이는 후속 Plan 02의 Core/Delta 분류 입력이 된다.
요건 그룹
관련 조항
국가 수
Core 후보 여부
콜드 보관 비율 의무 REG-KR-02(80%), REG-JP-01(95%), REG-SG-01(90%)
3개국
Core (수치는 Delta)
자산 분리 보관 REG-KR-01, REG-EU-02, REG-US-01, REG-JP-01, REG-SG-01
5개국
Core
감사 로그 보존 REG-KR-08(5년), REG-KR-15(6개월), REG-EU-03(5년), REG-JP-02(10년), REG-SG-02(5년)
5개국
Core (기간은 Delta)
AML/STR 보고 REG-KR-03, REG-KR-07, REG-SG-02
3개국+
Core
IT 리스크 관리 체계 REG-KR-06, REG-EU-01, REG-EU-05, REG-JP-04, REG-SG-03
5개국
Core
접근 통제/RBAC REG-KR-11, REG-KR-12
2개국+
Core (업계 표준 CCSS/SOC 2에서도 필수)
삭제권 vs 보존 의무 REG-EU-08 vs REG-KR-08, REG-EU-03
2개국
Delta 충돌
관련 문서