v0.0
글로벌 규제 환경 분석: EU, 한국, 미국, APAC¶
1. Executive Summary¶
D'CENT 엔터프라이즈의 GTM 전략(한국 0-12개월 → APAC 12-24개월 → EU 24-36개월)에 따라, 각 시장 진입 시 충족해야 할 암호화폐 커스터디 관련 규제를 분석한다. 2024-2025년을 기점으로 글로벌 암호화폐 규제가 급격히 정비되고 있으며, D'CENT은 이러한 규제 환경을 기회로 활용할 수 있는 포지션에 있다.
핵심 시사점:
- 한국 (최우선): 가상자산이용자보호법(2024.7)에 따른 콜드 스토리지 80% 의무는 D'CENT의 에어갭 솔루션에 직접적인 시장 기회. ISMS-P 인증은 VASP 필수 요건으로 최우선 취득 대상.
- EU (설계 시점부터 반영): MiCA(2024.12)와 DORA(2025.1)는 GTM Phase 3이지만, CASP 라이선스의 시스템 거버넌스 요구사항이 아키텍처 설계에 직접 영향을 미치므로 설계 초기부터 반영 필수.
- 미국 (중장기 모니터링): 현재 GTM에 포함되지 않으나, SEC/FinCEN 규제 프레임워크가 빠르게 변화 중. 주별 라이선스(뉴욕 BitLicense, Wyoming SPDI) 경로를 모니터링해야 함.
- APAC (시장별 차등): 일본(FSA), 싱가포르(MAS), 홍콩(SFC) 각각 독립적 규제 프레임워크를 운영하며, 콜드 스토리지 관련 규정 수준이 상이.
규제 대응 우선순위: | 순위 | 규제 | 시장 | 대응 시점 | 근거 | |------|------|------|----------|------| | 1 | ISMS-P + 가상자산이용자보호법 | 한국 | 즉시 (Month 0-9) | GTM Phase 1 필수 | | 2 | 특금법 AML/Travel Rule | 한국 | 즉시 (Month 0-12) | VASP 신고 요건 | | 3 | MiCA/DORA | EU | 설계 반영 (Month 0-6), 인증 (Month 18-30) | 아키텍처 제약 | | 4 | FSA/MAS/SFC | APAC | Month 12-24 | GTM Phase 2 | | 5 | SEC/FinCEN | 미국 | 모니터링 (Month 0-36) | 중장기 대비 |
2. Section 1: 한국 규제 환경 (GTM Phase 1 — 최우선)¶
2.1. 가상자산이용자보호법 (2024년 7월 시행)¶
2.1.1. 법률 개요¶
가상자산이용자보호법은 가상자산 이용자의 자산을 보호하기 위한 한국의 핵심 규제로, 2024년 7월 19일부터 시행되었다. 이 법률은 가상자산사업자(VASP)에게 이용자 자산의 안전한 보관과 관리에 대한 구체적 의무를 부과한다.
2.1.2. 핵심 조항 분석¶
이용자 자산 분리 보관 의무: - 가상자산사업자는 이용자의 가상자산과 자기 자산을 분리하여 보관해야 함 - 이용자 예치금(원화)은 은행 예치, 신탁, 보증보험 등으로 보호 - 콜드 스토리지 보관 비율: 이용자 가상자산의 80% 이상을 콜드 스토리지(인터넷 미연결 환경)에 보관해야 함
D'CENT 시스템 시사점: - D'CENT의 에어갭 콜드월렛은 "인터넷 미연결 환경" 요구사항을 설계 수준에서 완벽히 충족 - 80% 콜드 스토리지 의무는 D'CENT 솔루션의 직접적인 시장 수요 동인 - 자산 분리 보관 증빙 기능(Proof of Segregation)이 대시보드에서 지원되어야 함
보고 의무: | 의무 | 내용 | 시스템 설계 반영 | |------|------|----------------| | 의심거래보고(STR) | 자금세탁/테러자금 의심 거래 금융정보분석원 보고 | 이상 거래 탐지 알림 + STR 보고서 자동 생성 기능 | | 고액거래보고(CTR) | 일정 금액 이상 거래 자동 보고 | 거래 금액 임계값 모니터링 + CTR 보고서 기능 | | 자산 현황 보고 | 정기적 자산 보유 현황 금감원 보고 | Proof of Reserve 리포트 자동 생성 |
시스템 설계 반영사항:
| 요구사항 | 컴포넌트 | 설계 우선순위 |
|---|---|---|
| 콜드/핫 월렛 자산 분리 관리 및 비율 모니터링 | 대시보드 | P0 (필수) |
| 자산 분리 보관 증빙 리포트 | 대시보드 | P0 (필수) |
| 이상 거래 탐지 알림 | 대시보드 | P1 (권장) |
| STR/CTR 보고서 자동 생성 | 대시보드 | P1 (권장) |
| 자산 현황 보고 기능 | 대시보드 | P0 (필수) |
2.2. ISMS-P (개인정보 및 정보보호 관리체계 인증)¶
2.2.1. ISMS-P 개요¶
ISMS-P는 한국인터넷진흥원(KISA)이 관리하는 정보보호 및 개인정보보호 관리체계 인증으로, 가상자산사업자(VASP)는 의무 인증 대상이다. 총 80개 인증 기준으로 구성되며, 크게 관리체계 수립/운영(16개)과 보호대책 요구사항(64개)으로 나뉜다.
2.2.2. 인증 의무 대상¶
- 정보통신서비스 제공자 중 연 매출 100억원 이상 또는 일평균 이용자 100만명 이상
- 가상자산사업자(VASP): 규모와 관계없이 의무 인증 (특금법 개정에 의거)
- D'CENT 엔터프라이즈 고객이 VASP인 경우, 고객의 ISMS-P 인증 요구사항을 충족하는 시스템 제공 필요
2.2.3. 커스터디 시스템 해당 인증 기준 (80개 중 핵심 항목)¶
관리체계 수립/운영 (16개 기준 중 핵심)
| 기준 | 항목 | 커스터디 적용 |
|---|---|---|
| 1.1 | 정보보호 정책 수립 | 커스터디 보안 정책, 키 관리 정책 수립 |
| 1.2 | 최고책임자 지정 | 정보보호최고책임자(CISO) 지정 의무 |
| 1.3 | 조직 구성 | 정보보호 전담 조직 운영 |
| 1.4 | 자원 확보 | 보안 인력 및 예산 확보 |
| 2.1 | 정보자산 식별 | 키 데이터, 시드, 정책 데이터 자산 분류 |
| 2.3 | 위험 평가 | 커스터디 시스템 위험 평가 (STRIDE 연계) |
| 2.6 | 정보보호 대책 구현 | 보호 대책의 시스템 설계 반영 |
| 3.1 | 운영 현황 관리 | 보안 운영 현황 정기 점검 |
| 3.3 | 내부 감사 | 연 1회 이상 내부 감사 수행 |
보호대책 요구사항 (64개 기준 중 핵심 항목)
| 기준 | 항목 | 커스터디 적용 | 설계 반영 |
|---|---|---|---|
| 4.1 | 접근통제 정책 | RBAC 기반 접근 제어 정책 | 역할/권한 매트릭스 설계 |
| 4.2 | 네트워크 접근통제 | 대시보드 네트워크 보안 | 네트워크 세그멘테이션, 방화벽 |
| 4.3 | 정보시스템 접근통제 | 시스템별 접근 제어 | 콜드월렛/앱/대시보드별 인증 |
| 5.1 | 암호화 정책 | 키 암호화, 통신 암호화 | SE 암호화, 에어갭 통신 암호화 |
| 5.2 | 암호키 관리 | 암호키 생성/저장/폐기 | CCSS Aspects 1-3 연계 |
| 6.1 | 보안 로그 관리 | 감사 로그 기록/보존 | 변조 불가 로그 설계 |
| 6.2 | 접근 기록 관리 | 접근 이력 기록 | 모든 시스템 접근 로깅 |
| 7.1 | 침해사고 대응 | 키 침해/시스템 침해 대응 | 인시던트 대응 절차 |
| 8.1 | 개인정보 수집 제한 | 최소 수집 원칙 | 수탁 서비스 티어 해당 |
| 8.4 | 개인정보 파기 | 삭제 기능 | 고객 요청 시 즉시 삭제 |
| 9.1 | 취약점 관리 | 시스템 취약점 점검 | 정기 취약점 스캔, 침투 테스트 |
| 9.3 | 변경 관리 | 시스템 변경 통제 | 펌웨어/앱 업데이트 변경 관리 |
| 10.1 | 재해 복구 계획 | 서비스 복구 계획 | 키 복구, 디바이스 교체 절차 |
| 10.2 | 백업 관리 | 데이터 백업 | 시드 백업, 대시보드 데이터 백업 |
| 11.1 | 물리적 보안 | 디바이스 보관 환경 | 보관실 출입 통제, CCTV |
식별된 핵심 인증 기준: 24개 (관리체계 9개 + 보호대책 15개) — 목표 15개 초과 달성
2.2.4. ISO 27001과의 매핑¶
| ISMS-P 영역 | ISO 27001 대응 | 중복률 | 추가 대응 필요 |
|---|---|---|---|
| 관리체계 수립/운영 | ISMS 프레임워크 | 약 80% | ISMS-P 고유 서식 작성 |
| 접근통제 | A.5.15, A.8.2-3 | 약 85% | 한국어 정책 문서 |
| 암호화 | A.8.24 | 약 75% | 국내 암호 모듈 검증(KCMVP) 고려 |
| 로그 관리 | A.8.15-16 | 약 80% | 국내 법적 보존 기간 반영 |
| 개인정보 보호 | — | 약 30% | ISMS-P 고유 영역, 별도 대응 필요 |
| 물리적 보안 | A.7.1-4 | 약 70% | 국내 기준 세부 사항 |
2.3. 특정 금융정보법 (특금법)¶
2.3.1. VASP 신고 의무¶
특정금융정보법(특금법)에 따라 가상자산사업자(VASP)는 금융정보분석원(FIU)에 신고하고 수리를 받아야 영업할 수 있다.
D'CENT 셀프 커스터디 vs 수탁 서비스 사업자의 규제 차이:
| 구분 | 셀프 커스터디 인프라 제공 | 수탁 서비스(제3자 자산 관리) |
|---|---|---|
| VASP 해당 여부 | 도구 제공자로서 직접 VASP 해당 가능성 낮음 | VASP 해당. 신고 의무 |
| AML 의무 | 고객사(VASP)가 이행. D'CENT은 도구 제공 | 직접 AML 프로그램 운영 의무 |
| Travel Rule | 고객사 의무. 시스템에서 지원 기능 제공 | 직접 이행 의무 |
| ISMS-P | 고객사가 요구 시 시스템 인증 기준 충족 증빙 | 직접 인증 취득 의무 |
2.3.2. Travel Rule¶
2022년부터 시행된 Travel Rule에 따라, 100만원 이상의 가상자산 이전 시 송수신인 정보를 전달해야 한다.
시스템 설계 반영사항: | 요구사항 | 컴포넌트 | 설계 우선순위 | |---------|---------|-------------| | Travel Rule 메시지 생성/수신 인터페이스 | 대시보드 | P1 (수탁 서비스 티어) | | VASP 간 정보 교환 프로토콜 지원 (IVMS101 등) | 대시보드 | P2 (선택) | | KYC/AML 시스템 연동 인터페이스 | 대시보드 | P1 (수탁 서비스 티어) |
2.4. 한국 규제 요약 테이블¶
| 규제 항목 | 요구사항 | 시스템 컴포넌트 영향 | 설계 우선순위 |
|---|---|---|---|
| 콜드 스토리지 80% 의무 | 이용자 자산의 80%+ 콜드 보관 | 대시보드 (비율 모니터링) | P0 |
| 자산 분리 보관 | 이용자/자기 자산 분리 관리 | 대시보드 (분리 계정 관리) | P0 |
| STR/CTR 보고 | 의심/고액 거래 보고 | 대시보드 (보고서 생성) | P1 |
| ISMS-P 접근통제 | RBAC 기반 접근 제어 | 대시보드 + 오프라인앱 | P0 |
| ISMS-P 암호키 관리 | 키 생성/저장/폐기 절차 | 콜드월렛(SE) + 대시보드 | P0 |
| ISMS-P 로그 관리 | 변조 불가 감사 로그 | 대시보드 + 오프라인앱 | P0 |
| ISMS-P 재해 복구 | 키/서비스 복구 계획 | 전체 | P0 |
| Travel Rule | 100만원 이상 이전 시 정보 전달 | 대시보드 | P1 |
| VASP 신고 | FIU 신고 수리 | 운영 (시스템 외) | P0 (운영) |
3. Section 2: EU 규제 환경 (GTM Phase 3 — 설계 시점부터 반영)¶
3.1. MiCA (Markets in Crypto-Assets Regulation, 2024년 12월 시행)¶
3.1.1. MiCA 개요¶
MiCA는 EU 전역에 적용되는 포괄적 암호화폐 규제 프레임워크로, 2024년 12월 30일부터 전면 시행되었다. CASP(Crypto-Asset Service Provider) 라이선스 제도를 도입하여 암호화폐 서비스 제공자에 대한 인가와 감독 체계를 확립했다.
3.1.2. CASP 라이선스 요구사항¶
커스터디 서비스 관련 핵심 조항 (Article 67-75):
| 조항 | 내용 | D'CENT 설계 반영 |
|---|---|---|
| Art. 67 | 인가 의무: 커스터디 포함 10개 서비스 유형별 라이선스 | 고객(CASP)의 인가 요건 충족을 시스템으로 지원 |
| Art. 68 | 자산 보관 의무: 고객 자산 안전 보관, 분리 관리 | 자산 분리 관리 기능, 보관 증빙 리포트 |
| Art. 70 | 거버넌스 체계: 이사회 수준 책임, 내부 통제 | 정책 거버넌스 엔진, 승인 체계 감사 추적 |
| Art. 71 | 이해충돌 관리: 이해충돌 식별/관리 정책 | 역할 분리(RBAC), 이해충돌 모니터링 |
| Art. 73 | 불만 처리 절차 | 대시보드 불만 관리 모듈 (선택) |
| Art. 75 | 외부 감사 의무 | 감사 대응 리포트 자동 생성 |
셀프 커스터디 인프라 제공자의 CASP 해당 여부:
D'CENT은 커스터디 "서비스"를 직접 제공하는 것이 아니라 "인프라(도구)"를 제공하는 모델이다. MiCA에서 CASP의 정의는 제3자를 대신하여 암호자산을 보관하는 자를 의미하므로:
- 셀프 커스터디 인프라 제공: 직접 CASP 해당 가능성 낮음. 다만 MiCA가 "기술적 서비스 제공자"에 대한 규제를 향후 확장할 가능성 모니터링 필요.
- 수탁 서비스 사업자(D'CENT 고객): CASP 라이선스 의무. D'CENT은 고객의 CASP 라이선스 취득/유지를 시스템으로 지원해야 함.
자본 요구사항: - CASP 최소 자본: EUR 125,000 (커스터디 서비스) - 이는 D'CENT 고객사의 요건이나, D'CENT 시스템이 자본 적정성 관련 리포팅을 지원할 수 있음
3.1.3. 시스템 설계 반영사항¶
| 요구사항 | 컴포넌트 | 설계 우선순위 |
|---|---|---|
| 자산 분리 관리 (고객별 계정 분리) | 대시보드 | P0 (한국 규제와 공통) |
| 거버넌스 정책 엔진 (승인 체계, 정책 변경 감사) | 대시보드 + 오프라인앱 | P0 |
| 이해충돌 관리 보고 | 대시보드 | P2 |
| 외부 감사 대응 리포트 자동 생성 | 대시보드 | P1 |
| 고객 자산 보호 증빙 | 대시보드 | P0 |
| CASP 규제 보고 인터페이스 | 대시보드 | P1 |
3.2. DORA (Digital Operational Resilience Act, 2025년 1월 시행)¶
3.2.1. DORA 개요¶
DORA는 EU 금융 부문의 디지털 운영 복원력을 강화하기 위한 규제로, 2025년 1월 17일부터 시행되었다. MiCA에 의해 인가된 CASP에 자동 적용되므로, MiCA와 DORA를 함께 설계에 반영해야 한다.
3.2.2. 5대 핵심 영역 분석¶
1. ICT Risk Management (ICT 리스크 관리)
| 요구사항 | D'CENT 시스템 대응 | 에어갭 장점 |
|---|---|---|
| ICT 리스크 식별/평가/관리 프레임워크 | STRIDE 기반 위협 모델(SYS-05)과 연계 | 에어갭이 ICT 리스크의 80%+ 완화 |
| ICT 시스템 보호 대책 | SE + 에어갭 + 다중 서명 | 네트워크 공격 원천 차단 |
| ICT 시스템 장애 탐지 | 대시보드 모니터링 | 콜드월렛은 네트워크 장애와 무관 |
| 복구 절차 수립 | 키 복구, 디바이스 교체 절차 | 에어갭 디바이스는 원격 파괴 불가 |
에어갭 아키텍처의 DORA ICT 리스크 관리 고유 장점: - 콜드월렛이 네트워크에 연결되지 않으므로, 랜섬웨어, DDoS, 원격 해킹 등 ICT 리스크의 대부분이 원천 차단 - "네트워크 격리에 의한 리스크 완화"는 DORA 감사에서 강력한 보안 근거 - 에어갭 시스템은 DORA의 "디지털 운영 복원력"에서 가장 높은 수준의 복원력을 제공 (네트워크 장애 시에도 키/자산 안전)
2. Incident Reporting (인시던트 보고)
| 요구사항 | D'CENT 시스템 대응 |
|---|---|
| 주요 ICT 인시던트 감독 기관 보고 | 인시던트 리포트 자동 생성 기능 |
| 인시던트 분류 체계 | 심각도별 분류 (Critical/Major/Minor) |
| 보고 타임라인 준수 (초기 보고 4시간 이내) | 실시간 알림 + 보고서 템플릿 |
3. Digital Operational Resilience Testing (디지털 운영 복원력 테스트)
| 요구사항 | D'CENT 시스템 대응 |
|---|---|
| 정기 복원력 테스트 | 재해 복구 드릴 프레임워크 제공 |
| 위협 주도 침투 테스트(TLPT) | 시스템 침투 테스트 지원 구조 |
| 테스트 결과 문서화 | 테스트 리포트 자동 생성 |
4. Third-party Risk (서드파티 리스크)
| 요구사항 | D'CENT 시스템 대응 | 셀프 커스터디 장점 |
|---|---|---|
| ICT 서드파티 리스크 관리 | 서드파티 의존성 최소화 | 셀프 커스터디는 서드파티 리스크 자체가 최소 |
| 핵심 ICT 서비스 제공자 관리 | 블록체인 노드 제공자 관리 | 콜드월렛은 서드파티 의존 없음 |
5. Information Sharing (정보 공유)
| 요구사항 | D'CENT 시스템 대응 |
|---|---|
| 위협 인텔리전스 공유 | 보안 이벤트 공유 인터페이스 |
| 금융 부문 ISAC 참여 | 참여 지원 (시스템 외) |
3.2.3. 시스템 설계 반영사항¶
| 요구사항 | 컴포넌트 | 설계 우선순위 |
|---|---|---|
| 인시던트 보고 자동화 (분류, 보고서 생성, 타임라인) | 대시보드 | P1 |
| ICT 리스크 관리 프레임워크 (위협 모델 통합) | 대시보드 | P1 |
| 복원력 테스트 프레임워크 (드릴, 테스트 시나리오) | 대시보드 | P2 |
| 서드파티 리스크 관리 (블록체인 노드 모니터링) | 대시보드 | P2 |
3.3. EU 규제 요약 테이블¶
| 규제 항목 | 요구사항 | 시스템 컴포넌트 영향 | 설계 우선순위 |
|---|---|---|---|
| MiCA 자산 보관 의무 | 고객 자산 안전 보관, 분리 관리 | 대시보드 | P0 |
| MiCA 거버넌스 체계 | 이사회 수준 책임, 내부 통제 | 대시보드 + 정책 엔진 | P0 |
| MiCA 이해충돌 관리 | 역할 분리, 이해충돌 모니터링 | 대시보드 (RBAC) | P1 |
| MiCA 외부 감사 | 감사 대응 리포트 | 대시보드 | P1 |
| DORA ICT 리스크 관리 | 리스크 식별/평가/관리 | 대시보드 + 위협 모델 | P1 |
| DORA 인시던트 보고 | 인시던트 분류, 4시간 내 보고 | 대시보드 (알림/리포트) | P1 |
| DORA 복원력 테스트 | 정기 복원력/침투 테스트 | 전체 | P2 |
| DORA 서드파티 리스크 | ICT 서드파티 관리 | 대시보드 | P2 |
4. Section 3: 미국 규제 환경 (중장기 대비)¶
4.1. 연방 수준 규제¶
4.1.1. SEC (Securities and Exchange Commission)¶
디지털 자산의 증권 분류: - SEC는 Howey Test를 통해 일부 디지털 자산을 증권으로 분류 - 비트코인은 상품(commodity)으로 분류되어 SEC 관할 외 (CFTC 관할) - 이더리움의 분류는 변동 중 (2024-2025년 SEC 입장 변화) - 증권으로 분류된 자산의 커스터디는 Qualified Custodian 요구사항 적용
Qualified Custodian 요구사항: | 항목 | 내용 | D'CENT 영향 | |------|------|-----------| | 정의 | SEC Rule 206(4)-2: 브로커-딜러, 은행, 퓨처스 커미션 머천트, 또는 외국 금융기관 | D'CENT은 직접 Qualified Custodian이 아님. 인프라 제공 | | 고객 자산 보호 | 고객 자산의 물리적/법적 분리 보관 | 자산 분리 보관 기능 | | 감사 요구사항 | 연 1회 서프라이즈 검사 또는 SOC 2 리포트 | SOC 2 Type II 인증으로 커버 |
셀프 커스터디 vs 수탁 서비스의 규제 차이: - 셀프 커스터디(기업이 자체 키 보유): Qualified Custodian 규제 적용 범위 논쟁 중. SEC Staff Bulletin에서 명확한 가이던스 미발행. - 수탁 서비스(제3자 자산 관리): Qualified Custodian 요구사항 전면 적용. - D'CENT 셀프 커스터디 인프라 제공은 현재 SEC 직접 규제 대상이 아니나, 규제 환경 변화 모니터링 필요.
4.1.2. FinCEN (Financial Crimes Enforcement Network)¶
BSA(Bank Secrecy Act) 적용: | 의무 | 내용 | D'CENT 시스템 지원 | |------|------|-----------------| | AML 프로그램 | 자금세탁방지 프로그램 운영 | AML 모니터링 인터페이스 | | KYC | 고객 신원 확인 | KYC 연동 API | | SAR 보고 | 의심활동보고서 제출 | SAR 보고서 생성 기능 | | CTR 보고 | $10,000 이상 거래 보고 | CTR 자동 보고 기능 |
Money Transmitter 등록: - 가상자산 전송 서비스 제공 시 Money Transmitter 등록 필요 - 셀프 커스터디 도구 제공은 Money Transmitter 해당 가능성 낮음 - 수탁 서비스 제공 시 주별 Money Transmitter 라이선스 필요
4.1.3. CFTC (Commodity Futures Trading Commission)¶
- 비트코인을 상품(commodity)으로 분류하고 관할
- 비트코인 선물/파생상품 관련 커스터디에 CFTC 규제 적용
- D'CENT 현물 커스터디에는 직접 영향 제한적
4.2. 주별 규제¶
4.2.1. 뉴욕 BitLicense¶
| 항목 | 내용 |
|---|---|
| 관할 기관 | NYDFS (New York Department of Financial Services) |
| 적용 대상 | 뉴욕 거주자와 가상화폐 활동을 하는 모든 기업 |
| 핵심 요구사항 | 자본 요건, 사이버보안 프로그램, AML/KYC, 기록 보관, 감사 |
| 사이버보안 | 23 NYCRR Part 500: CISO 지정, 연간 침투 테스트, 데이터 암호화 |
| D'CENT 영향 | 미국 시장 진입 시 가장 엄격한 라이선스. SOC 2 + CCSS 인증이 BitLicense 심사 지원 |
4.2.2. Wyoming SPDI (Special Purpose Depository Institution)¶
| 항목 | 내용 |
|---|---|
| 관할 기관 | Wyoming Division of Banking |
| 적용 대상 | 디지털 자산 전문 수탁 기관 |
| 장점 | 연방 은행 수준 인가, Qualified Custodian 자격 획득 가능 |
| 핵심 요구사항 | 자본 요건, 기술 보안 기준, 소비자 보호 |
| D'CENT 영향 | D'CENT 고객이 SPDI 자격을 추구할 경우, 시스템이 SPDI 기술 요구사항을 충족해야 함 |
4.2.3. 주요 주별 요구사항 비교¶
| 주 | 라이선스 유형 | 자본 요건 | 핵심 특징 |
|---|---|---|---|
| 뉴욕 | BitLicense | 가변 (규모에 따라) | 가장 엄격, 사이버보안 규정 상세 |
| Wyoming | SPDI Charter | $5M+ | 은행급 인가, Qualified Custodian |
| California | DFAL (2025~) | $5M+ | 신규 프레임워크, 요구사항 정비 중 |
| Texas | Money Transmitter | $300K 보증금 | 상대적으로 관대, 암호화폐 친화적 |
| 콜로라도 | Digital Token Act | 면제 가능 | 유틸리티 토큰 면제 제공 |
4.3. 미국 규제 요약 테이블¶
| 규제 항목 | 요구사항 | 시스템 컴포넌트 영향 | 설계 우선순위 |
|---|---|---|---|
| SEC Qualified Custodian | 고객 자산 분리 보관, SOC 2 | 대시보드 | P1 (장기) |
| FinCEN AML/KYC | AML 프로그램, KYC 연동 | 대시보드 (API) | P1 (수탁 티어) |
| FinCEN SAR/CTR | 의심/고액 거래 보고 | 대시보드 | P1 (수탁 티어) |
| BitLicense 사이버보안 | CISO 지정, 침투 테스트, 암호화 | 전체 | P2 (미국 진입 시) |
| Wyoming SPDI | 은행급 보안 요구사항 | 전체 | P2 (미국 진입 시) |
5. APAC 추가 시장 (GTM Phase 2)¶
5.1. 일본 FSA (Financial Services Agency)¶
자금결제법 기반 VASP 규제: | 항목 | 내용 | |------|------| | 등록 의무 | 암호자산교환업자로 FSA 등록 의무 | | 콜드 스토리지 | 고객 자산의 95%+ 콜드 스토리지 보관 (한국보다 엄격) | | 자산 분리 | 고객 자산과 자기 자산의 완전한 분리 | | 정기 검사 | FSA의 정기/수시 검사 대응 | | D'CENT 시사점 | 일본의 95% 콜드 스토리지 규정은 에어갭 솔루션의 최대 기회. D'CENT의 강점이 가장 잘 발휘되는 시장 |
5.2. 싱가포르 MAS (Monetary Authority of Singapore)¶
Payment Services Act 기반 라이선스: | 항목 | 내용 | |------|------| | 라이선스 유형 | Major Payment Institution (MPI) 또는 Standard Payment Institution (SPI) | | 커스터디 요구사항 | 고객 자산의 안전한 보관, 분리 관리 | | AML/CFT | MAS Notice PSN02: AML/CFT 요구사항 | | 기술 리스크 관리 | Technology Risk Management Guidelines (TRMG) 준수 | | D'CENT 시사점 | TRMG의 기술 보안 요구사항이 SOC 2와 유사. SOC 2 인증으로 대부분 커버 가능 |
5.3. 홍콩 SFC (Securities and Futures Commission)¶
VA Service Provider 라이선스: | 항목 | 내용 | |------|------| | 규제 프레임워크 | Anti-Money Laundering and Counter-Terrorist Financing Ordinance (AMLO) | | 라이선스 유형 | Virtual Asset Trading Platform (VATP) 라이선스 | | 보안 요구사항 | 고객 자산의 98% 콜드 스토리지 보관 (가장 엄격) | | 보험 요구사항 | 핫 월렛 자산에 대한 보상 기금 또는 보험 의무 | | D'CENT 시사점 | 홍콩의 98% 콜드 스토리지 규정은 에어갭 솔루션의 절대적 필요성을 증명. D'CENT 포지셔닝에 가장 유리한 시장 |
5.4. APAC 콜드 스토리지 규정 비교¶
| 국가 | 콜드 스토리지 비율 | 규제 기관 | 자산 분리 | D'CENT 적합도 |
|---|---|---|---|---|
| 한국 | 80% 이상 | 금감원/FIU | 의무 | 높음 |
| 일본 | 95% 이상 | FSA | 의무 | 매우 높음 |
| 싱가포르 | 명시 비율 없음 (안전 보관 의무) | MAS | 의무 | 높음 |
| 홍콩 | 98% 이상 | SFC | 의무 | 매우 높음 |
6. 규제 대응 우선순위 및 로드맵¶
6.1. GTM 타임라인 대비 규제 대응 매트릭스¶
Month 0 6 12 18 24 30 36
|---------|---------|---------|---------|---------|---------|---------|
GTM: [ 한국 (Phase 1) ][ APAC (Phase 2) ][ EU (Phase 3) ]
한국: [ISMS-P 준비][인증][--운영--]
[특금법 AML 대응][--운영--]
APAC: [---모니터링---][FSA/MAS/SFC 대응][인증/등록]
EU: [MiCA/DORA 설계반영][-----CASP 라이선스 준비-----][신청]
미국: [------ 규제 모니터링 ------][필요 시 대응 계획 수립]
6.2. "설계 시점부터 반영" vs "시장 진입 시 추가 대응" 구분¶
| 구분 | 설계 시점부터 반영 (Phase 3-5) | 시장 진입 시 추가 대응 |
|---|---|---|
| 자산 분리 관리 | 모든 시장 공통. 설계 필수 | — |
| RBAC 기반 접근 제어 | 모든 시장 공통. 설계 필수 | — |
| 변조 불가 감사 로그 | 모든 시장 공통. 설계 필수 | — |
| 키 관리 정책 엔진 | 모든 시장 공통. 설계 필수 | — |
| 재해 복구 설계 | 모든 시장 공통. 설계 필수 | — |
| 거버넌스 정책 엔진 | MiCA 요구. 설계 필수 | — |
| 에어갭 통신 암호화 | 보안 기본. 설계 필수 | — |
| STR/CTR 보고서 생성 | — | 한국 진입 시 (Month 0-6) |
| Travel Rule 인터페이스 | — | 한국/APAC 진입 시 |
| KYC/AML 연동 API | — | 수탁 서비스 티어 활성화 시 |
| 인시던트 보고 자동화 | — | DORA 적용 시 (Month 18-24) |
| 복원력 테스트 프레임워크 | — | DORA 적용 시 |
| 서드파티 리스크 관리 | — | DORA 적용 시 |
| IVMS101 프로토콜 지원 | — | 미국 진입 시 |
6.3. 규제 변화 모니터링 대상 (2025-2027년)¶
| 모니터링 대상 | 예상 변화 | 영향도 | 대응 |
|---|---|---|---|
| MiCA Level 2 규제 (세부 기술 기준) | 2025-2026년 RTS/ITS 발행 예상 | 높음 | 발행 즉시 분석 및 설계 반영 |
| 한국 가상자산법 2단계 | 2025-2026년 발행인 규제 확대 예상 | 중간 | 토큰 발행 고객 대응 준비 |
| 미국 디지털 자산 프레임워크 | SEC/FinCEN 통합 규제 논의 중 | 높음 | 프레임워크 확정 시 GTM 미국 진입 판단 |
| 일본 Web3 정책 | 세제 개편, 규제 완화 방향 | 중간 | APAC 확장 시 반영 |
| FATF Travel Rule 가이던스 업데이트 | Sunrise Issue 해결 방향 | 중간 | Travel Rule 기능 업데이트 |
| ISO 27001 암호화폐 확장 | 암호화폐 특화 부록 가능성 | 낮음 | 발행 시 반영 |
작성일: 2026-03-28 Phase 2 Plan 02 산출물 — CMP-03, CMP-04, CMP-05 요구사항 충족 다음 참조: m2-03-compliance-architecture-matrix.md (컴플라이언스-아키텍처 통합 매트릭스)
관련 문서¶
- 컴플라이언스-아키텍처 통합 매트릭스 -- 규제 준수
- 보안 인증 표준 분석: CCSS v9.0, SOC 2 Type II, ISO 27001:2022 -- 규제 준수