홍콩 디지털 자산 개발 정책 선언 2.0이 최근 발표된 후, 금융서비스재무국(이하 "FSTB")과 증권선물위원회(이하 "SFC")는 디지털 자산 거래 및 수탁 서비스 제공업체를 위한 허가 시스템 구축을 위한 입법안에 대한 의견을 수렴하기 위해 공동 협의 문서를 발표했습니다. 공개 협의는 8월 29일까지 두 달 동안 진행됩니다. 아시아 최고의 디지털 자산 셀프 수탁 솔루션 제공업체인 Safeheron은 이 문서에 대한 상세한 해석을 최초로 제공했습니다.
보관 모델, 규제 범위 및 규정 준수 표준을 분석합니다.
이 협의 문서에서 홍콩 정부는 디지털 자산 보관 서비스에 대한 정의를 두 가지 주요 시나리오로 정의합니다.
고객을 대신한 디지털 자산 보관: 비즈니스 형태로 고객을 위한 디지털 자산 보관 활동
관리 전송 도구: 개인 키 관리를 포함하되 이에 국한되지 않는 고객 디지털 자산의 전송을 가능하게 하는 도구
정의는 규제 범위가 주로 수탁형 지갑 서비스 제공업체에 집중되어 있음을 명확히 합니다. 이러한 기관은 고객 디지털 자산을 관리하거나 자산을 이전할 권한을 가지며, 일반적으로 고객을 대신하여 지갑 개인 키를 보관하는 서비스 모델 형태로 운영됩니다. 협의 문서의 내용을 바탕으로, 정책은 주로 다음과 같은 수탁형 모델을 대상으로 합니다.
중앙 집중형 보관 서비스: 거래소, 보관 기관 및 기타 기관이 고객의 디지털 자산을 직접 보관합니다. 예를 들어, 개인 고객은 특정 거래소에 계좌를 보유하고 있으며, 계좌에 있는 자산 또한 거래소가 직접 보관합니다. 거래소는 해당 자산을 비공개로 보관합니다.
제3자 보관 서비스: 독립적이고 전문적인 중앙 보관 기관이 제공하는 서비스는 거래소와 지불 서비스 제공업체가 플랫폼 자금을 유지하는 데 도움을 줄 수도 있습니다.
개인 키 관리 서비스: 고객의 개인 키를 관리하는 서비스입니다. 해당 서비스가 자산을 직접 보유하거나 서비스 플랫폼에 저장하지 않더라도, 고객의 개인 키를 관리합니다.
문서에 명시된 규제 요건 및 규정 준수 기준과 관련하여, 디지털 자산 보관 서비스 라이선스를 취득한 기관은 다음과 같은 규제 요건을 충족해야 합니다.
적절성 및 적합성 평가: 경영진과 핵심 인력은 적절성 및 적합성 기준을 충족해야 합니다.
자본적정성비율: 최소 자본요건을 충족하고 재무안정성을 확보
사이버 보안 표준: 고객 자산을 보호하기 위해 엄격한 사이버 보안 조치와 기술 솔루션을 구현합니다.
자산 분리: 고객 자산은 기관 자체 자산과 엄격하게 분리되어야 합니다.
위험 관리: 운영적 위험, 기술적 위험 등을 포함한 포괄적인 위험 관리 프레임워크를 구축합니다.
자금세탁방지 준수: 홍콩의 자금세탁방지 및 테러자금조달방지 조례의 관련 조항을 준수합니다.
보험 준비: 관리 자산에 대해 보험이나 기타 재정적 보호가 필요할 수 있습니다.
이러한 규제 요건은 기존 금융 수탁기관의 기준을 따릅니다. 본 문서에서 규제 기관의 업무 분담 및 역할 조정과 관련하여, 홍콩의 디지털 자산 수탁 규제 프레임워크는 2단계 규제 구조를 채택하고 있습니다.
CSRC는 표준 설정 기관으로서 허가 및 등록된 디지털 자산 보관 서비스 제공자에게 적용되는 규제 요건을 공식화하는 역할을 담당합니다.
최전선 규제 기관으로서의 HKMA: 관련 서비스 제공을 위해 등록된 은행 및 저장 가치 지불 시설을 규제합니다.
홍콩 정부의 디지털 자산 커스터디 규제 정책은 상업용 커스터디 서비스 제공업체를 중심으로 명확하게 구성되어 있음을 알 수 있습니다. 이 규제 시스템은 "동일 사업, 동일 위험, 동일 규칙"이라는 규제 원칙을 준수하며, 상업용 커스터디 서비스를 기존 금융 서비스와 유사한 규제 범위에 포함시키는 동시에 개인이 셀프 커스터디 지갑을 사용할 수 있는 자유를 보장합니다. 이 규제 프레임워크는 모든 커스터디 모델을 대상으로 하는 것이 아니라, 고객을 대신하여 디지털 자산을 보관하거나 자산 이전 도구(예: 개인 키)를 제어할 수 있는 상업용 서비스 제공업체에 초점을 맞추고 있다는 점에 유의해야 합니다.
셀프 호스팅 모델 감독 및 준수에 대한 간략한 분석
MPC 셀프 커스터디 서비스, MPC + TEE 셀프 커스터디 서비스 등 주류 셀프 커스터디 서비스 비즈니스 모델은 고객이 자신의 기업 지갑/계정의 개인 키를 100% 완벽하게 제어할 수 있는 것을 의미합니다. 본 문서에는 "제3자를 통해 고객 가상 자산을 보관한다"는 관련 표현도 포함되어 있으며, 원문은 다음과 같습니다.
"본 문서의 작성자인 저희는 가상 자산 보관 서비스 제공업체가 서비스 제공 과정에서 제3자를 이용할 수 있음을 이해합니다. 이는 기업 그룹 내 독립 법인 또는 기타 기술 인프라 회사를 통해 고객의 가상 자산을 보관하기 위한 것입니다. 예를 들어, 가상 자산 보관 서비스 제공업체는 개인 키 샤드를 계열사에 저장하거나 다자 컴퓨팅(MPC) 기술을 사용하여 고객의 가상 자산을 이전할 수 있습니다. 저희는 시장의 다양한 비즈니스 모델, 제3자 참여 및 기술 인프라 환경에 대한 여러분의 의견과 관찰을 기다립니다. 이를 통해 저희는 새로운 시스템의 허가 요건 및 관련 규제 요건에 포함되거나 제외되어야 할 법인 및/또는 개인을 더욱 정확하게 정의하고 판단하는 데 도움이 될 것입니다."
이는 홍콩 정부의 셀프 호스팅 서비스 모델에 대한 심도 있는 기술적 이해와 폭넓은 비즈니스 통찰력을 충분히 보여주며, 향후 관련 규제 프레임워크 수립을 위한 탄탄한 토대를 마련합니다. 그러나 명확한 규정 준수 규제 프레임워크가 구축되기 전에, 셀프 호스팅 서비스 제공업체는 어떻게 규제 동향에 적극적으로 대응하고, 비즈니스 보안 및 규정 준수를 보장하며, 시장의 신뢰를 얻어야 할까요?
포괄적인 자격 및 안전 기준
ISO/IEC 27001:2022, SOC 2 등과 같은 공인된 권위 있는 보안 인증 및 자격은 자체 보관 기관의 규정 준수 관행을 크게 개선할 수 있습니다. 이러한 인증은 자체 보관 기관이 불분명한 규제 환경에서도 최고 수준의 보안 및 규정 준수 관행을 준수할 수 있도록 보장합니다. 예를 들어, 싱가포르 통화청(MAS)은 ISO/IEC 27001:2022 및 SOC 2와 같은 권위 있는 인증을 높이 평가합니다. 또한, 보험 보장 또한 간과할 수 없는 중요한 연결 고리입니다. 보험 보장은 기관 고객 자산에 대한 추가적인 보안을 제공할 뿐만 아니라 자체 보관 기관이 더 높은 보안 및 규정 준수 기준을 충족하도록 유도합니다.
동시에, 셀프 호스팅 서비스 제공업체는 권위 있는 보안 기관의 감사를 지속적으로 받아야 하며, 기술 추적 가능성과 보안 검증 가능성을 보장하기 위해 정기적인 제품 보안 평가 및 침투 테스트를 수행해야 합니다. 권위 있는 제3자 기관과 내부 보안 전문가의 지속적인 감독을 통해 이러한 조치는 서비스 제공업체 자체에 대한 보증을 제공할 뿐만 아니라 기관 사용자들이 안심하고 사용할 수 있도록 합니다. 기관 사용자를 위한 서비스 제공업체로서, 이러한 인증 및 감사 결과는 기관이 새로운 사업 시장으로 진출할 때 강력한 규정 준수 증거를 제공하여 다양한 지역 또는 국가의 규제 요건에 유연하게 적응하는 데 도움이 될 수 있습니다.
혁신적인 기술과 포괄적인 안전 및 규정 준수 솔루션
중앙 집중형 호스팅 서비스와 달리, 셀프 호스팅 서비스는 암호화 MPC(Secure Multi-Party Computing) 및 하드웨어 수준의 TEE(Trusted Execution Environment) 기술과 같은 더욱 진보된 혁신 기술을 사용합니다. 이러한 기술을 적절히 조합하면 중앙 집중형 호스팅보다 더 나은 보안을 확보할 수 있으므로, 기관 사용자는 호스팅 서비스 제공업체가 공급망 내 다른 공급업체와 공모하거나 팀 내에서 악행을 저지르는 것을 걱정할 필요가 없습니다. 동시에, 지속적으로 진화하는 해커 공격에도 효과적으로 대응할 수 있습니다.
또한, 규정 준수 설계는 자체 호스팅 서비스 제공업체가 기술 아키텍처 설계, 기술 구현, 제품 구현 및 기관 고객 서비스 제공에 이르기까지 전체 프로세스에 걸쳐 이루어져야 합니다. 여기에는 최고의 AML 및 KYT 기능 구축, 다계층 승인 메커니즘 구축, 분산 개인 키 관리 구현, 그리고 완벽한 거래 추적이 포함됩니다. DevSecOps 지침을 구현하면 기술 개발에 지속 가능한 보안 및 품질 보증을 제공하고, 모든 링크의 각 링크가 단독으로 악의적인 행위를 할 수 없도록 제로 트러스트 보안 아키텍처를 구축할 수 있습니다.
오픈소스 기술은 검증이 가능합니다
블록체인 산업을 기존 금융과 구분하는 주요 특징은 현재 더욱 개방적이고 기술 혁신 속도가 빠르다는 것입니다. 기술의 급속한 발전 속에서 많은 혁신 기술이 규제보다 앞서 나가는 경우가 있는데, 이는 기술 혁신과 규제 후발 간의 모순으로 이어지기도 합니다. 셀프 호스팅 서비스의 경우, 오픈소스 기술은 기술적 투명성을 효과적으로 개선하고 자체 신뢰도를 높일 수 있습니다. 더욱이 규제 업데이트가 기술 혁신보다 더딘 경우에도 오픈소스는 규정 준수에 도움을 주고 규제 기관과 시장이 기술을 더 잘 이해하도록 도울 수 있습니다.
싱가포르 통화청(MAS)의 규제 조치
글로벌 규제가 어떻게 확대되는지 살펴보세요
싱가포르의 전체 금융 생태계를 중앙에서 관리하는 정부 기관인 싱가포르 통화청(MAS)은 2020년 초부터 2019년 지급결제 서비스법을 시행했습니다. 이 법에 따른 지급결제 서비스 유형인 디지털 지불 토큰 서비스(DPT)는 관련 기업이 합법적으로 사업을 운영하기 위해 다음과 같은 라이선스를 신청하도록 요구합니다.
주요 결제 기관 라이선스(MPl): 금액 제한 없이 광범위한 결제 서비스를 제공할 수 있음
표준 결제 기관 라이센스(SPl): 기업이 지불할 수 있는 금액에 제한이 있습니다(월별 거래: 단일 거래가 $3M을 초과하지 않거나 총 거래 금액이 $6M을 초과하지 않음)
은행(면허): DPT 서비스를 제공하는 은행은 기존 은행 면허에 따라 인정받을 수 있으므로 기업은 금액 제한 없이 광범위한 지불 서비스를 제공할 수 있습니다.
싱가포르 통화청은 디지털 지불 토큰 서비스를 다음과 같이 정의합니다.
디지털 결제 토큰(예: 이더리움, 비트코인)을 사고팔 수 있습니다.
다른 사람들이 디지털 지불 토큰을 거래할 수 있는 플랫폼 제공(예: 거래소)
고객의 디지털 지불 토큰 자산 보유(예: 보관 서비스)
디지털 지불 토큰 및 법정 통화(예: OTC) 교환을 용이하게 합니다.
싱가포르 통화청이 가장 중요하게 여기는 5가지 핵심 규정 준수 사항은 다음과 같습니다.
자금세탁방지(AML)/테러자금조달방지(CFT): 예를 들어, 회사는 완전한 KYC/KYT 프로세스, 제재 목록 검토 및 STR 보고 기능을 갖추고 있습니다.
고객 자산 보호: 고객 자산과 운영 자금의 완벽한 분리, 고객 자산의 횡령 금지, 콜드 월렛에 보관되는 자산 비율은 최소 98% 이상이어야 하며, 핫 월렛 자산은 완전 보험에 가입해야 함
기술적 보안 및 통제 가능성: 지갑 서명 보안, 권한 관리, 다단계 승인 및 완전하고 추적 가능한 감사 로그 제공과 같은 포괄적인 기술적 보안 제어
임원 자격은 적합하고 합리적이어야 합니다(Fit and Proper): 경영진은 재무 또는 암호화 규정 준수 배경을 가져야 하며 범죄 기록이 없어야 합니다.
내용: 등록 구역 내에 실질적인 운영 주체를 설립하고, 상근 컴플라이언스 관리자를 배치하고, 실제 사무실 위치를 설정하고, "껍데기 회사" 운영 모델을 엄격히 금지합니다.
위에서 언급한 다섯 가지 핵심 준수 사항을 통해 싱가포르 통화청(MAS)이 고객 자금 보안, 자금세탁 방지 준수 절차의 엄격한 이행, 제3자 서비스 제공업체와의 관계 관리, 제재 대상 국가와의 사업 거래 여부, 그리고 후속 준수 업무의 연속성에 특히 주의를 기울이고 있음을 알 수 있습니다. 이러한 규제 초점은 현행 홍콩 협의 문서(위에서 언급)의 규제 범위 및 준수 기준 과 명백히 유사합니다.
디지털 자산 보관 서비스 분야에서 홍콩과 싱가포르의 규제 접근 방식은 기본적으로 동일하며, 주로 적용되는 대상은 기관 고객의 개인 키를 직접 보유하거나 고객 자금을 보관하는 중앙 집중식 보관 서비스 제공업체에 초점을 맞추고 있습니다.
홍콩 정부가 디지털 자산 거래 및 커스터디 서비스 제공업체에 대한 허가 시스템을 구축하기 위한 입법 조치를 시행한 것은 홍콩 디지털 자산 발전의 새로운 국면을 알리는 신호이며, 홍콩이 글로벌 디지털 자산 중심지로서 전략적 입지를 공고히 하고 강화하는 것을 목표로 합니다. 점점 더 명확해지는 규제 체계는 커스터디 서비스 고도화를 촉진하는 중요한 촉매제가 될 것으로 예상되며, 이는 규정 준수 및 위험 관리 시스템 개선을 촉진할 뿐만 아니라 비즈니스 모델 혁신도 촉진할 것입니다. 이러한 배경에서 기관 및 기업 고객에게 높은 보안성과 규정 준수성을 갖춘 커스터디 서비스를 제공하는 데 주력하는 시장 참여자들은 활발한 발전을 위한 전략적 기회의 시대를 맞이하게 될 것입니다.
