홍콩 규제 하의 가상 자산 거래의 컴플라이언스 도전과 대응 전략

출처：오커 클라우드 체인 연구원

저자：Matthew Lee

홍콩에서 가상화폐 거래소 규정을 발표한 후, 200개 이상의 거래소가 홍콩에서 라이센스를 신청하기 위해 경쟁하고 있으며, 라이센스 발표 결과에 대한 기대감이 매우 높습니다. 공식 발표까지는 아직 시간이 남아 있으므로, 싱가포르와 일본의 경험을 참고하여 홍콩의 라이센스 발급 상황을 엿볼 수 있습니다.

일본은 아시아에서 가장 먼저 가상 자산에 우호적인 태도를 취한 국가로, 2017년부터 가상 자산의 규제를 시작했습니다. 대규모 거래소 파산을 겪은 후, 가상 자산에 대한 태도가 엄격해졌습니다. 100개 이상의 거래소가 라이센스를 신청했으며, 20개가 승인되었지만, 라이센스를 받은 회사 중 지속적으로 운영되는 곳은 약 5개에 불과합니다.

싱가포르도 블록체인 기술과 기타 금융 신기술을 적극적으로 추진하고 있지만, 가상 자산에 대해서는 보수적인 태도를 유지하고 있습니다. 2023년 6월 기준으로, 싱가포르 금융 관리국(MAS)은 총 461건의 라이센스 신청을 받았으며, 단 19개의 가상 자산 서비스 회사만이 라이센스를 받거나 원칙적으로 승인되었습니다. 거래 플랫폼을 제공하는 곳은 극소수에 불과하며, 나머지 라이센스는 FOMO 결제, DBS Vickers Securities, Revolut 등 전통 금융 배경을 가진 기관들이 차지했습니다. FTX의 폭락은 싱가포르의 주권 기금인 테마섹에게 경제적 및 명예적 이중 손실을 안겼으며, "안전한 피난처"로서의 싱가포르도 이로 인해 폭풍의 중심에 휘말리게 되었습니다.

싱가포르와 일본의 라이센스 발급 상황을 보면, "가상 자산 우호 국가"라고 하더라도 가상 자산에 대해 매우 신중하다는 것을 알 수 있습니다. 홍콩 SFC의 공식 자료에 따르면, 이미 1호 및 7호 라이센스를 보유한 OSL과 Hashkey Pro는 간단한 신청만 다시 하면 되지만, 현재까지 공식적으로 가상 자산 운영 라이센스(VASP)를 승인받지 못했습니다.

데이터 출처：SFC 공식 웹사이트

일부 전문가들은 홍콩 증권 위원회에서 Deemed Licence를 받을 수 있는 거래소는 10개를 넘지 않을 것이라고 추측하고 있습니다. 거래소가 Deemed Licence를 받은 후, SFC는 일정한 평가 기간을 통해 거래소의 구체적인 운영 상황과 위험을 심층적으로 이해한 후에야 Final Licence의 소속을 확인할 것입니다. 따라서, 이 기간 동안의 거래소 운영이 공식 승인을 받을 수 있는지의 여부에 있어 가장 중요한 요소가 될 것입니다.

그렇다면, 거래소는 어떻게 운영해야 SFC의 호의를 얻을 수 있을까요?

이 질문에 답하기 위해서는 규제의 본질과 규제의 초점을 이해해야 합니다.

홍콩 증권 위원회(SFC)가 발표한 상담 문서와 반자금세탁 규정을 보면, SFC가 가상 자산 규제를 두 가지 측면에서 보고 있다는 것을 쉽게 알 수 있습니다: 1. 투자자 보호; 2. 반자금세탁. 우리의 다음 분석도 주로 이 두 가지 관점에 기반하여 거래소의 미래 운영에 "중점을 두는" 것을 목표로 하여, 더 많은 거래소가 규제의 틀 안에서 운영하도록 장려합니다.

1. 투자자 안전을 위한 방패 구축

재무부가 발표한 입법회 브리핑에 따르면, VASP 라이센스 신청자는 증권 위원회가 부과한 강력한 규제 요구 사항을 준수해야 합니다. 투자자 보호의 영역은 자산 안전 보관, 이해 상충, 사이버 보안, 감사 및 위험 관리 등 주요 분야를 포함하되 이에 국한되지 않습니다. 위의 키워드를 바탕으로 이 장을 두 가지 각도로 나누어 논의할 수 있습니다: 1. 정보 공개; 2. 기술 안전.

1. 정보 공개 하의 투자자 보호

증권 위원회는 가상 자산이 증권 위원회의 직접적인 규제를 받지 않는다고 특별히 강조하고 있습니다. 즉, 증권 위원회는 가상 자산의 제안 및 홍보 문서를 검토하거나 심사한 적이 없으며, 이는 전통 금융 상품과 크게 다릅니다. 고객 자산을 보호하는 책임은 거래소에 있습니다.

1) 가상 자산 포함 및 거래 공개

전통적인 주식 거래는 수탁은행과 증권 보관 기관(CSD)에서 이루어지며, 주식 계좌의 증가는 CSD에서 통합 결산됩니다. 중앙화된 시장 거래에서는 비효율적인 운영, 높은 인건비, 복잡한 법적 관계 등의 단점이 있지만, 공식 기관은 CSD와 같은 기관을 통해 회사 고위 경영진의 거래 동향을 모니터링할 수 있습니다. 구체적인 증권 거래 프로세스는 아래 그림과 같습니다:

주식 거래 프로세스 도표; 데이터 출처：World Economic Forum

증권 거래 프로세스와 달리, 가상 자산의 대규모 거래는 중앙화 거래소보다 체인 상에서의 상호작용 빈도가 훨씬 높습니다(아래 그림 참조). 블록체인의 탈중앙화 및 반검열 특성으로 인해, 거래소는 프로젝트 측 내부 및 관련자의 체인 상 거래 추적이 더욱 중요합니다.

체인 상 대규모 데이터 상호작용 빈도; 데이터 출처：OKLink

SFC 상담 문서의 주석에 따르면:

거래소는 상장된 프로젝트 측에 대해 직접적인 책임이 있으며, 모든 합리적인 조치를 취해 전방위적인 실사 조사를 수행해야 합니다. 프로젝트 팀 및 관련자의 거래는 플랫폼이 주목해야 할 핵심 사항입니다. 블록체인의 특성으로 인해, 우리는 체인 상 데이터 분석을 수행해야 하며, 체인 상 기록의 특성을 CSD 거래 기록의 기능으로 대체해야 합니다.

거래 플랫폼은 자발적으로 개발하거나 제3자 체인 상 데이터 서비스 제공업체를 사용하여 프로젝트 측의 체인 상 데이터를 분석하고, 프로젝트 측 거래 정보를 투명하게 하며, 프로젝트 측 창립자 및 주요 주주의 체인 상 관련 거래를 실시간으로 모니터링하여 SFC의 정보 공개 요구를 충족해야 합니다.

2) 재무 공개

전통적인 상장 감사와 달리, 가상 자산 감사는 더 큰 어려움이 있습니다. 전통 감사는 자산의 감가상각, 감액(값), 평가, 부채 및 자산 저장에 대한 완벽한 프로세스를 가지고 있지만, 블록체인 사업에 대해서는 감사인(즉, 회계사)이 경험이 부족하여, 거래소의 자산 평가 및 부채를 측정하기가 어렵습니다. 따라서 보고서의 신뢰성도 떨어질 수 있습니다.

예를 들어, FTX 폭락 이후 많은 거래소가 발행한 Mazars의 "준비 증명"은 대중의 의혹을 받았으며, 그 감사 보고서는 내부 재무 보고서 통제의 유효성을 포함하지 않았습니다. SFC의 상담 문서에서도 "가상 자산 거래 플랫폼의 부채 공개"가 어렵다고 명시하고 있습니다.

현재 주요 거래 플랫폼인 OKX, 바이낸스, Bybit는 모두 머클 트리 방식을 사용하여 부채를 검증하고 있으며, 대략적으로 데이터 처리 프로세스를 계층화하여, 각 층에서 결과를 전송하는 과정에서 앞뒤 노드를 검증합니다. 실패할 경우 다음 단계로 진행할 수 없으며, 이는 데이터 조작을 증명합니다.

자산 검증 프로세스 도표; 데이터 출처：OKX

*구체적인 원리는++ 이 글 ++에서 확인할 수 있으며, OKX가 자세히 설명했습니다.

머클 트리는 현재 가상 자산 감사의 "최적 해법"으로 여겨지지만, 여전히 중앙 데이터에 대한 신뢰 부족, 개인 키가 자사 소유임을 증명할 수 없음, 감사 자산이 임시로 빌린 것일 수 있는 문제가 존재합니다. 거래소는 머클 트리 기술을 채택하는 동시에, a. 사기 처벌 추가; b. 머클 트리 데이터 업데이트 빈도 증가; c. 제3자 감사 또는 기술 회사와 협력하여 플랫폼의 자산 상태를 더 잘 공개하는 등의 조치를 취해야 합니다.

2. 기술 안전 하의 투자자 보호

홍콩 재무부 장관인 찬 마우보는 "Web3.0의 발전은 기술에 적절한 보호 장치를 마련하여 기술과 응용이 책임감 있고 지속 가능한 방식으로 발전하도록 해야 한다"고 말했습니다.

현재 거래소는 기술 서비스 제공업체에 의존하는 경향이 있으며, 이들 서비스 제공업체는 SFC가 기대하는 서비스 수준에 미치지 못합니다. SFC의 상담 문서와 반자금세탁 규정에서도 거래소의 기술 안전에 대한 우려를 반복적으로 언급하고 있습니다.

각 대기업은 기술 개발에 많은 비용을 지출하고 있습니다. 올해 4월, Cobo는 기존 규제 프레임워크에 따라 홍콩 팀을 확장하고 더 많은 전문 기술 인력을 축적할 것이라고 발표했습니다. Amber Group은 올해 기술 컨설팅 회사인 Thoughtworks와 협력하여 기술 도구 및 솔루션을 공동 개발할 것입니다. OKX는 언론 인터뷰에서 홍콩 팀이 제품 및 기술 개발 인원만으로도 500명이 넘는다고 밝혔습니다.

기술 안전 측면에서 우리는 두 가지 측면에 주목해야 합니다: 1. 자금 관리 안전; 2. 네트워크 안전.

1.

#### 자금 관리 안전

최근 몇 년 동안 가상 화폐 폭락 및 플랫폼 파산 청산 뉴스가 끊임없이 발생하고 있으며, 이는 자본 부족, 고객 자산 유용 등 전통 금융의 오래된 문제를 포함합니다. 부적절한 자금 관리가 이러한 사건의 주요 원인입니다. 중앙화된 암호 자산 거래 플랫폼인 BitMart는 Ethereum과 BSC의 핫 월렛에 보안 취약점이 있어 약 1.5억 달러의 자산이 도난당했습니다.

오커 클라우드 체인의 체인 상 수호자 운영 프로세스 도표에 따르면, 해커는 1inch, Tornado.Cash 등의 도구를 사용하여 거래소 지갑의 도난 자금을 전송합니다.

해커 체인 상 자산 전송 프로세스 도표; 데이터 출처：오커 클라우드 체인

따라서 SFC는 거래소가 98%의 가상 자산을 오프라인 콜드 월렛에 저장해야 하며, 자산은 제3자 회사에 두지 않고, 자사의 자회사에 두어 규제를 용이하게 해야 한다고 요구합니다.

이 요구를 충족하기 위해, 주요 암호 거래소는 일련의 조치를 취하고 있습니다. 예를 들어, OSL 플랫폼은 소매 거래를 운영할 수 있는 라이센스를 신청하기 위해 콜드 및 핫 월렛 인프라를 확장했습니다. OKX 플랫폼은 내부적으로 핫 월렛과 콜드 월렛을 분리하여 온라인/오프라인 저장 시스템, 다중 서명 및 다중 백업 등의 메커니즘을 통해 사용자 자산의 안전을 보장합니다.

오커 클라우드 체인도 SFC에 거래소가 자금 관리를 시행할 때, 콜드 월렛의 주요 세부 사항 처리에 주의해야 한다고 제안했습니다. 예를 들어:

a. 콜드 월렛의 경우, 하드웨어는 홍콩의 여러 은행에 분산 보관되어야 하며, 개인 키는 한 번만 사용해야 하며, 사용 후에는 폐기해야 합니다.

b. 핫 월렛의 경우, 개인 키는 하드웨어 보안 모듈에 저장되어야 하며, MPC 또는 키 분할 등의 암호학적 기술을 사용하여 개인 키를 저장해야 합니다.

2.

#### 네트워크 안전

가상 자산 거래소의 네트워크 위협은 일반적으로 외부 정보 시스템 침입, 제3자 데이터 저장소의 다운으로 인한 거래 매칭 실패, 서버 과부하 등에서 발생합니다. 가상 자산 거래소가 직면하는 위협은 전통 기관과 크게 다르지 않지만, 전통 기관은 정부의 규제를 오랫동안 받아왔고, 기술적 축적이 오랜 반면, 새로운 가상 자산 거래소는 팀의 개발 능력이 제한적이며, 기술 사고가 더 빈번하게 발생합니다. 대부분의 거래소는 여전히 데이터베이스 기반의 매칭 거래를 사용하고 있습니다.

SFC가 최근 공개한 문서는 거래 플랫폼에 대해 더 높은 요구 사항을 제시하고 있으며, 여기에는 거래 시스템과 인프라에서 도난, 사기, 오류 및 누락 거래, 서버 중단 등의 위험을 피하거나 줄이는 것이 포함됩니다. 자동화 도구의 개발 및 적용을 강조하여 잠재적인 시스템 공격에 대응해야 합니다.

이미지 출처：SFC가 최근 발표한 "가상 자산 거래 플랫폼 운영자를 위한 지침"

우리 팀의 관점에서, 거래소는 자동화 도구를 개발하거나 구매하여 정기적으로 취약점 스캔을 수행하는 것 외에도, 여러 외부 보안 회사를 **고용하여 침투 테스트 및 보안 테스트를 수행해야 하며; 자금 흐름이 풍부하다면冗余 설계를 진행하고, 메모리 상태 기계 복제 기술(비용이 높음) 또는 다중 기계 핫 백업 기술(고장 확률이 큼)을 도입할 수 있습니다; 미래에는 거래소가 공동으로 시장 조성자와 함께 *표준 데이터 인터페이스를 설계하여 기술 및 데이터 고장을 줄이기를 기대합니다.*

3. 자금 세탁 위험 방지

유엔 통계에 따르면, 전 세계에서 매년 자금 세탁 금액이 8천억에서 2조 달러에 달하며, 이는 GDP의 2%에서 5%를 차지합니다. 2022년 한 해 동안, 전 세계 금융 기관은 반자금세탁 관련 위반으로 80억 달러 이상의 벌금을 부과받았습니다. 새로운 사업 및 거래 방식이 발전함에 따라, 기관은 새로운 기술과 비즈니스가 가져오는 규제 문제에 대응해야 합니다.

1.

#### 결제 채널 반자금세탁

Hashkey Pro의 최고 운영 책임자에 따르면, "입금 채널은 거래소 간의 '필사적인 전쟁터'이며, '입출금 채널은 (사용자가) 법정 화폐에서 가상 자산으로 가는 유일한 다리'입니다." SFC 문서에 따르면,

싱가포르는 가상 자산에 대한 규제의 초점을 디지털 결제 사업에 두고 있으며, 향후 홍콩 정부도 《지급 시스템 및 저장 가치 지급 도구 조례》를 결합하여 결제 채널을 별도로 규제할 가능성이 있습니다. 반자금세탁 및 반테러 자금 조달 규제 하에서, 거래소는 "입출금" 측면에서 SFC의 요구를 충족하기 위해 더 엄격한 선별 방식을 설정할 필요가 있습니다.

그러나 체인 상 활동과 입출금의 복잡성으로 인해, 거래소는 더 다양하고 광범위한 방법을 채택해야 합니다. HKMA와 딜로이트가 공동 발표한 보고서(AML Regtech: Network Analysis)에서는 기관이 전통적인 방법과 새로운 대규모 데이터 분석을 결합하여 의심스러운 자금 및 입출금 채널을 포괄적이고 체계적으로 감시해야 한다고 강조합니다.

전통 및 신흥 정보 기술 선별 결합; 이미지 출처：AML Regtech: Network Analytics

거래소는 은행 및 체인 상 데이터 서비스 제공업체와의 협력을 강화하고, AML/CFT 등 특정 분야에서 "네트워크 분석"과 같은 방법을 사용하여 자금 세탁을 공동으로 단속해야 합니다.

2.

#### 자금 흐름 감시

디지털 화폐의 익명성으로 인해 자산이 빠르게 이동할 수 있으며, 추적하기가 매우 어렵습니다. SFC는 상담 문서에서 (아래 그림 참조) 비관리 지갑 간의 송금이 자금 세탁/테러 자금 조달 위험을 초래할 수 있다고 자세히 지적했습니다.

Web3 분야의 자금은 더 이상 은행 계좌를 통해 송금되지 않고, 체인 상 주소 간에 이루어지며, 믹서, 익명 지갑과 같은 응용 프로그램은 거래의 은폐성을 더욱 증가시킵니다. 아래 그림과 같이, 사용자 A는 자금을 숨겨진 디지털 서명이 있는 블랙 박스(소위 믹서)에 전송한 후, 자금을 섞어 블랙 박스를 통해 B에게 전달하면, 아무도 B의 자금 출처를 알 수 없습니다.

체인 상 태그 식별 반자금세탁; 이미지 출처：OKG Research

이러한 상황에서 현재 적절한 처리 방법은 방대한 데이터 시스템을 통해 체인 상의 모든 "믹싱 계약 주소"에 태그를 부여하고(위 그림 참조), 믹서와 상호작용하는 주소를 모니터링하여 사용자의 자금 세탁 의혹을 판단하는 것입니다.

따라서 체인 상 주소의 시스템 선별 능력이 매우 중요합니다. 최근 고객에게 자산 관리 서비스를 제공하는 홍콩의 면허 신탁 회사인 Future Wing Financial은 오커 클라우드 체인과 협력하여, OKLink의 방대한 데이터베이스를 활용하여 사용자 주소와 위험 행동 및 사건을 연관시켜 자금 세탁 위험을 모니터링하고, 가상 자산의 규제 요구를 충족하고 있습니다.

결론

홍콩의 태도 변화는 분명히 가상 자산 발전에 더 견고한 창을 열어주었으며, 일본과 싱가포르의 경험은 규제가 "최악의 상황"을 예방하고 관리하기 위해 엄격한 조치를 취해야 함을 입증합니다.

최근 공식 문서들은 거래소에 대해 더 세밀하고 더 엄격한 요구 사항을 제시하고 있으며, 위에서 언급한 사항 외에도 SFC는 "이해 상충 방지", "업무 제한", "투자 유도 금지" 등의 요구를 제시했습니다. 이러한 높은 기준은 궁극적으로 홍콩의 가상 자산 시장을 보다 질서 있는 방향으로 발전시키고, 최종적으로 투자자와 거래 플랫폼 모두에게 혜택을 줄 것입니다.