작성자: Web3의 A Spinach
최근 국제결제은행(BIS)에서 발표한 "암호자산 자금세탁방지 준수"[1]라는 제목의 브리핑 문서를 읽었습니다. 세계 중앙은행들의 중앙은행으로서 BIS의 모든 보고서는 여러 국가의 금융 규제에 대한 기준이 될 것입니다. 그래서 제목을 보고 첫 반응은 이랬습니다. "드디어 누군가 암호화폐를 통제할 기발한 방법을 생각해 낸 건가?"
하지만 전체 텍스트를 읽어본 후, 이 논문은 실용적인 해결책이 아니며, 제 생각에는 오히려 괜찮은 항복에 가깝다는 것을 깨달았습니다.
BIS는 학문적 언어를 사용하여 잔인한 사실을 재치 있게 인정했습니다. 즉, 기존 금융의 KYC/AML 시스템은 분산형 암호화폐 세계에 직면하여 완전히 실패했다는 것입니다.
그들의 "혁신적인" 솔루션은 무엇인가?
지갑을 평가하고, 사용자에게 규정을 준수하는지 확인하도록 권장하며, 입금 및 출금 지점에서 최종 확인을 수행합니다.
평생 십팔룡제압권을 수련해 온 무술의 달인이, 상대가 전차를 몰고 오는 것을 보고, 도시 문에 "전차 출입 금지"라는 표지판을 세우자고 제안하는 것과 같습니다.
스코어링을 구현하고 조정하는 데 드는 비용이 얼마나 높은지는 말할 것도 없고, 설령 구현한다고 해도 누군가가 높은 스코어링을 받는 지갑 계좌에 독성 물질 몇 개를 넣으면 어떻게 될까요?
사용자에게 직접 확인하도록 권장하는 것은 마치 달러 지폐를 받기 전에 마약 구매에 사용되었는지 먼저 확인하라고 하는 것과 같습니다. 이론적으로는 가능하지만 실제로는 터무니없습니다.
입출금 과정에서 KYC/AML을 수행하는 것은 이러한 기존 금융기관들이 남겨둔 마지막 자존심일지도 모릅니다. 최소한 신원과 자금 출처를 확인할 수는 있습니다.
왜 전통적인 규제 시스템이 온체인에서 거의 완전히 실패했다고 말하는 걸까요? 전 세계 규제 기관들이 여전히 추진하고 있는 터무니없는 규제 규칙, 바로 '트래블 룰(Travel Rule)'을 살펴보겠습니다.
여행 규칙: 전통 금융에서 암호화폐 세계로의 희극
여행 규칙의 부조리를 이해하려면 먼저 과거와 현재를 이해해야 합니다.
1996년, 인터넷 전화 시대였던 당시 미국 금융범죄단속국(FinCEN)은 은행비밀보호법의 일환으로 여행규칙(Travel Rule)을 처음 도입했습니다. 당시 요건은 간단했습니다. 3,000달러 이상의 송금을 처리하는 은행은 송금인의 정보를 다음 금융기관에 전달해야 했습니다.
이것이 전통적인 은행 시스템에서는 잘 통하는 이유는 무엇일까요?
은행은 중앙집중화되어 있기 때문에 완전한 고객 정보와 SWIFT와 같은 표준화된 정보 전송 시스템을 갖추고 있습니다. 중국공상은행(ICBC)은 장산(Zhang San)에 대해 모든 것을 알고 있고, 중국건설은행(CBC)은 이사(Li Si)에 대해 모든 것을 알고 있으므로, 이체 과정에서 정보 교환은 자연스러운 과정입니다.
하지만 2019년에 금융활동기구(FATF)는 획기적인 결정을 내렸습니다. 바로 여행 규칙을 암호화폐로 확대하는 것입니다.
FATF란 무엇일까요? 1989년 마약 자금세탁 방지를 위해 설립된 정부 간 기구입니다. 40가지 권고안은 자금세탁 방지에 있어 세계적인 기준으로 여겨집니다. FATF가 발언하면 전 세계 규제 기관들이 경청합니다.
2019년 6월 21일, FATF는 올랜도에서 권고 15(INR.15)에 대한 해석서를 채택했습니다. 이 해석서는 기존 금융기관의 송금에 적용되었던 권고 16(트래블 룰)을 가상자산 분야로 확장 적용하는 것입니다. 이 해석서는 가상자산 서비스 제공업체(VASP)가 1,000달러/유로를 초과하는 거래를 처리할 때 송금인과 수취인의 신원 정보를 수집하고 전송하도록 요구합니다. 여기에는 다음이 포함됩니다.
- 이름
- 계좌번호(지갑 주소)
- 지리적 위치 또는 ID 번호
- 필요한 경우 더 자세한 내용을 알려주세요
그들의 논리는 이렇습니다. 여행 규칙은 20년 이상 전통 금융 분야에서 적용되어 왔으므로 암호화폐 세계에서도 문제가 되어야 합니다.
이 논리의 문제점은 그들이 블록체인이 어떻게 작동하는지 전혀 모른다는 것입니다.
여행 규칙의 글로벌 혼란
현재 여행 규칙 시행 현황을 살펴보겠습니다. FATF의 2025년 6월 보고서에 따르면, 99개 관할권이 여행 규칙 관련 법안을 통과시켰거나 통과를 추진 중이라고 밝혔습니다. 인상적이죠?
그러나 문제는 세부 사항에 있습니다. 관할권의 75%는 여전히 부분적으로만 준수하거나 준수하지 않고 있습니다.[2] 이는 2023년 4월과 정확히 같은 비율입니다. 73개국 중 75%, 진전 없음.
왜 그럴까요? 각 나라마다 나름의 방식이 있기 때문입니다.
미국은 1996년부터 유지해 온 기존 규칙인 3,000달러 기준을 유지했습니다. 그러나 FATF는 1,000달러를 권고했고, 이로 인해 첫 번째 분할이 발생했습니다.
싱가포르는 2020년 1월 28일부터 1,500싱가포르 달러를 기준으로 새로운 시스템을 가장 먼저 도입한 국가 중 하나였습니다. 한국은 2022년 3월 25일 100만 원(약 821달러)을 기준으로 새로운 시스템을 도입했습니다. 일본은 금액에 관계없이 모든 거래에 새로운 시스템을 적용하도록 의무화했습니다.
EU는 훨씬 더 터무니없는 짓을 하고 있습니다. 자금 이체 규정(TFR)의 시행을 2024년 12월 30일까지 연기한 다음, "우리는 어떤 기준도 정하지 않을 것이며, 단 1유로센트라도 여행 규정을 적용할 것"이라고 밝혔습니다.
결과는? 미국에서 EU로 1,500달러가 송금된 것입니다. 미국은 여행 규정이 필요하지 않다고 했지만, EU는 필요하다고 했습니다. 양측 모두 "규정을 준수"했지만, 거래는 교착 상태에 빠졌습니다.
이게 최악은 아닙니다. 이스라엘은 2021년에 입국 장벽이 없는 여행 규정을 시행했지만, 다른 나라들은 거의 따르지 않았습니다. 캐나다도 입국 장벽이 없지만, 캐나다의 규정은 다른 나라들의 규정과 상충됩니다.
이런 종류의 독립의 결과는 무엇인가?
Notabene의 2024년 산업 조사[3]에 따르면, 전년 대비 개선(52%에서 29%로 감소)에도 불구하고 VASP의 29%는 실사 평가를 실시하지 않고 모든 상대방에게 무차별적으로 여행 규정 정보를 보내고 있습니다.
이러한 "광범위한" 접근 방식은 실제로 당혹스러운 현실을 반영합니다. 대부분의 VASP는 상대방이 실제로 이 정보를 사용하는지, 규정을 준수하는지 확인할 방법이 없기 때문에 그저 동작만 하고 있습니다.
DeFi: 여행 규칙의 사각지대
규제 기관이 여전히 중앙 집중형 거래소의 여행 규칙에 어려움을 겪고 있는 반면, DeFi는 이 문제를 완전히 우회했습니다.
여행 규칙의 전제는 VASP(중개 기관)가 이를 시행한다는 것입니다.
저는 Uniswap에서 직접 토큰을 교환하기 위해 MetaMask를 사용하고 있습니다. 알려주세요.
- MetaMask는 VASP인가요? 그냥 브라우저 플러그인일 뿐이에요.
- Uniswap은 VASP인가요? 그냥 코드 조각일 뿐이에요.
- 이더리움 채굴자는 VASP인가요? 거래 검증만 합니다.
두 당사자가 직접 P2P로 거래하는 경우, 여행 규칙을 시행할 중개자가 없습니다.
이건 법을 집행해 달라고 공기에 요구하는 것만큼이나 터무니없는 짓입니다.
누가 여행 규칙을 시행하나요? 코드에 KYC 정보를 제공해야 하나요?
FATF의 답변은 DeFi 프로토콜 개발자를 VASP로 간주해야 한다는 것입니다.
이 논리의 부조리는 TCP/IP 프로토콜을 만든 사람이 모든 인터넷 범죄의 책임자라고 말하는 것과 같습니다. 비탈릭 부테린이 이더리움을 만들었으니, 그가 이더리움에서 발생하는 모든 불법 거래에 책임을 져야 합니까? 만약 사토시 나카모토가 아직 살아 있다면, 그는 종신형을 선고받았을까요?
범죄 대응: 스머핑의 기술
진짜 범죄자들은 여행 규칙을 어떻게 생각할까? 아마 희극으로 볼 거야.
범죄자들은 전통적인 스머핑 전략을 사용하여 큰 거래를 작은 거래로 나누어 여행 규칙[4]을 회피합니다. 18,000달러를 이체하고 싶으신가요? 900달러짜리 거래를 20번으로 나누어 각기 다른 시간에 다른 지갑에서 이체합니다. 각 거래는 기준 금액 미만이므로 여행 규칙이 적용되지 않습니다.
북한 해커들이 올해 바이비트 거래소에서 14억 6천만 달러를 훔쳐냈습니다. 이는 역사상 최대 규모의 암호화폐 절도 사건입니다. 그들은 트래블 룰을 사용했을까요? 물론 아닙니다.
2024년 불법 활동에 사용된 암호화폐의 규모는 수백억 달러에 달했습니다. 그러나 이러한 범죄자들 중 누구도 여행 규칙에 적발되지 않았습니다.
여행 규칙의 또 다른 결과는 규제 차익거래를 심화시킨다는 것입니다. 규제가 강화될 때마다 마치 치약을 짜는 것과 같습니다. 여기서 짜면 저쪽으로 나오는 것이죠.
규정 준수 비용: 비용이 많이 드는 쇼
여행 규정은 해결책이 아닌 천문학적인 규정 준수 비용만 가져올 뿐입니다.
추정에 따르면 중소 규모 거래소에 여행 규칙을 구현하는 데 드는 비용은 다음과 같습니다.
- 기술 솔루션 조달: 연간 수수료 10만~50만 달러
- 시스템 통합 및 변환: 일회성 비용 50만~200만 달러(전체 거래 시스템을 변환해야 함)
- 규정 준수 팀 확장: 연봉 비용은 20만 달러에서 100만 달러까지 다양합니다(전담 여행 규정 준수 담당자가 필요합니다)
- 법률 컨설팅 수수료: 연간 $100,000-$500,000 수수료(국가마다 규정이 다르므로 현지 법률 지원이 필요함)
- 감사 및 보고: 연간 수수료 $50,000-$200,000
이건 눈에 보이는 비용일 뿐인데, 눈에 보이지 않는 비용은 어떨까요?
이러한 높은 준수 비용은 시장 집중도를 가속화하고 있습니다. 거대 기업들은 당연히 트래블 룰(Travel Rule)을 지지합니다. 경쟁사들은 준수 비용을 감당할 수 없지만, 거대 기업들은 이를 감당할 수 있기 때문입니다. 이는 규제가 아니라 규제 비용을 통한 시장 정화입니다.
가장 큰 숨은 비용은 무엇일까요? 바로 혁신의 종말입니다.
스타트업 팀이 가장 먼저 고려해야 할 것은 기술 혁신이 아니라,
- 이것이 여행 규칙을 준수하는가?
- 우리는 규정 준수 비용을 감당할 수 있을까?
- VASP로 확인되면 어떻게 해야 하나요?
결과적으로 혁신은 규제가 덜 엄격한 곳으로 이동하거나 아예 포기됩니다. 우리는 19세기적 사고방식으로 21세기 혁신을 억누르고 있습니다.
이것이 바로 '트래블 룰'에 대한 진실입니다. 막대한 비용을 들여 구축된 쓸모없는 시스템은 비용 증가, 효율성 저하, 혁신 저해 외에는 아무것도 해결하지 못했습니다. 그리고 일반 사용자들은 이 규제의 우스꽝스러운 행태에 대한 대가를 치러야 합니다. 끝없는 양식 작성, 끝없는 검토 대기, 그리고 끝없는 수수료 지불.
극장 감독 참여자들
오늘날의 암호화폐 규제는 모든 사람이 각자의 대본을 가지고 있는, 주의 깊게 안무된 드라마와 같습니다.
규제 당국: "보세요, 우리는 여행 규정을 시행하고 있습니다! 투자자들을 보호하고 있습니다!" (사실, 그들은 그것이 쓸모없다는 것을 알지만, 정치적 성과가 필요합니다.)
대형 기관: "우리는 완벽하게 규정을 준수합니다!" (사실, "이 지갑이 당신의 지갑인가요?"라고 묻는 형식적인 절차일 뿐입니다.)
소규모 기관: "우리는 규정을 준수하기 위해 열심히 노력하고 있습니다!" (실제로는 규제가 덜한 지역으로 이전하는 것을 고려하고 있습니다)
사용자: "저는 여행 규칙을 준수합니다!" (사실, 그들은 이미 여행 규칙을 우회하는 방법을 배웠습니다)
범죄자: "여행 규칙이 뭐야?" (그냥 지금 하던 대로 계속하면 돼)
현실을 인식하되, 생각을 포기하지 마세요
이 글을 쓰고 나서, 당신은 이렇게 물을 수 있을 것입니다: 그러면 우리는 무엇을 해야 할까요?
먼저, 분명히 해 두겠습니다. 이 글은 규제 자체에 대한 비판이 아니라, 현 상황에 대한 성찰입니다. 규제는 자금 세탁 방지, 투자자 보호, 그리고 금융 안정성 유지라는 선의에서 비롯됩니다. 이러한 목표는 흠잡을 데 없고 필수적입니다.
우리가 비판하는 것은 올바른 목표를 달성하기 위해 잘못된 도구를 사용하는 것입니다. 마치 나사를 조이는 데 망치를 사용하는 것과 같습니다. 도구가 잘못되면 아무리 노력해도 헛수고가 될 것입니다.
탈중앙화된 세상에서는 기존의 규제 수단이 더 이상 효과가 없다는 사실을 인정해야 합니다. 이는 기술적 문제가 아니라 패러다임의 문제입니다. 자동차를 마차를 규제하는 방식으로 규제할 수 없듯이, DeFi를 은행을 규제하는 방식으로 규제할 수는 없습니다.
하지만 이것이 모든 규제 노력을 포기해야 한다는 것을 의미하지는 않습니다. 오히려 새로운 사고방식이 필요합니다. 좋은 규제는 교통법과 같아야 합니다. 즉, 사람들의 운전을 막는 것이 아니라 도로를 더 안전하게 만드는 것이어야 합니다.
어쩌면 우리에게 필요한 것은 통일된 글로벌 표준이 아니라, 다양한 관할권 간의 건전한 경쟁일지도 모릅니다. 규제 혁신과 기술 혁신은 서로 상충되는 것이 아니라 함께 나아가야 합니다.
이를 위해서는 강력한 온체인 데이터 분석 역량이 필요합니다. Chainalysis와 같은 기업들은 행동 분석을 통해 개인 신원 정보 접근 없이도 의심스러운 거래를 효과적으로 식별할 수 있음을 입증했습니다. 규제 프레임워크가 더욱 명확해짐에 따라, 암호화폐 업계의 규정 준수 인프라는 더욱 중요해질 것입니다.
우리가 요구해야 할 것은 무정부 상태가 아니라 더 스마트한 거버넌스입니다. 규제 당국과 업계 관계자들은 함께 앉아 진지한 대화를 나누고, 서로의 우려를 이해하며, 새로운 기술의 특성에 맞는 규제 방향을 함께 모색해야 합니다.
결국, 진정한 적은 규제나 암호화폐가 아니라, 기술적 허점을 악용하여 범죄를 저지르는 자들입니다. 이 점에서 규제 기관과 실무자의 목표는 동일합니다.
마지막 생각
서두에 나온 BIS 보고서로 돌아가 보겠습니다.
표면적으로는 해결책을 제시하고 있습니다. 하지만 실제로는 한 시대의 종말을 알리고 있습니다. 전통적인 금융 질서가 암호화폐 자산에 대해 행사하던 관할권이 돌이킬 수 없게 상실된 것입니다.
2025년의 암호화폐 규제 상황은 이렇습니다. 관련된 모든 사람이 농담이라는 걸 알면서도 계속해서 벌어지는 값비싼 희극입니다.
1996년 은행 송금 규정이었으나 2019년 암호화폐 세계로 강제 이식된 여행 규정은 그 자체로 규제의 무기력함을 드러낸 것입니다. 낡은 병에 새 술을 담는 것과 같고, 말이 끄는 마차 시대의 교통 규칙으로 고속도로를 관리하는 것과 같습니다.
하이에크가 말했듯이 "지옥으로 가는 길은 선의로 포장되어 있다." 현재의 암호화폐 규제도 이러한 흐름을 따르고 있을지도 모릅니다. 원래 의도는 자금 세탁 방지, 투자자 보호, 금융 안정성 유지 등 선의였습니다. 그러나 결과적으로 시행된 규제는 마찰을 심화시키고 혁신을 저해하며 암암리에 활동을 부추겼습니다.
판도라의 상자가 열렸고, 분산화의 지니는 다시 병 속으로 들어가지 않을 것입니다.
이 패배하는 전쟁을 계속하기보다는, 우리는 이 새로운 세상에서 어떻게 균형을 찾을지 고민해야 합니다. 여기에는 더 엄격한 규칙이 아니라 새로운 지혜가 필요합니다.
그리고 이러한 지혜는 21세기 기술을 관리하기 위해 여전히 20세기 사고방식을 사용하는 규제 기관에서는 당연히 나오지 않을 것입니다.
미래는 우리가 가는 곳이 아니라, 우리가 미래를 만들어가는 곳입니다.
저는 역사가 이 시대를 돌아볼 때, 인류가 한때 더욱 개방적이고 투명하며 효율적인 금융 시스템을 구축할 기회가 있었지만, 기술을 이해하지 못하는 관료 집단 때문에 결국 망쳐버렸다고 기록하지 않기를 바랄 뿐입니다.
그건 어떤 규제 실패보다 더 큰 농담이 될 겁니다.
