
홍콩 규제 하에서의 가상자산 거래 준수 과제와 대응 전략
제작|OKLink 연구소
저자|Matthew Lee
홍콩이 가상자산 거래소 관련 법규를 발표한 이후 200개 이상의 거래소가 앞다퉈 홍콩에서 라이선스를 신청하며 결과를 기대하고 있다. 아직 공식 발표까지는 시간이 남아 있는 상황에서 우리는 싱가포르와 일본의 사례를 참고해 향후 홍콩의 라이선스 발급 가능성을 가늠해볼 수 있다.
일본은 아시아 국가 중 가장 먼저 가상자산에 우호적인 태도를 보인 나라로, 2017년부터 가상자산을 규제 체계 안으로 편입했다. 그러나 대규모 거래소 파산 사태를 겪은 후 보다 엄격한 접근을 하게 되었다. 당시 100여 개 이상의 거래소가 라이선스를 신청했고, 20곳이 승인을 받았지만 실제로 운영을 지속하는 곳은 약 5곳 정도에 불과하다.
싱가포르 역시 블록체인 기술 및 기타 금융 신기술을 적극적으로 추진해왔으나, 가상자산에는 보수적인 자세를 유지해왔다. 2023년 6월 기준 싱가포르통화청(MAS)은 총 461건의 라이선스 신청을 접수했으며, 이 중 오직 19개 회사만이 가상자산 서비스 제공 허가 또는 원칙적 승인을 받았다. 플랫폼 거래 서비스 라이선스는 소수에 불과했고, 나머지 라이선스는 FOMO Pay, DBS Vickers Securities, Revolut 등 전통 금융 배경을 가진 기관들이 대부분 차지했다. 또한 FTX 붕괴 사건으로 인해 싱가포르 주권펀드인 템새크(Temasek)도 경제적·명예적 손실을 입었으며, '안전한 피난처'로 여겨지던 싱가포르도 이로 인해 논란의 중심에 섰다.
싱가포르와 일본의 라이선스 발급 현황을 보면, 비록 '가상자산 친화국'이라 할지라도 당국이 매우 신중한 태도를 취하고 있음을 알 수 있다. 홍콩 SFC 공식 자료에 따르면, 이미 1번 및 7번 라이선스를 보유한 OSL과 Hashkey Pro는 간소화된 절차로 재신청만 하면 되지만, 현재까지도 공식적으로 가상자산 영업 라이선스(VASP)를 획득한 것은 아니다.

자료 출처: SFC 공식 웹사이트
일부 전문가들은 홍콩 증권선물위원회(SFC)로부터 Deemed Licence(간주 면허)를 부여받을 수 있는 거래소가 10곳을 넘지 않을 것으로 예측한다. 거래소가 Deemed Licence를 획득하더라도, SFC는 일정한 평가 기간을 두고 해당 거래소의 실제 운영 상황과 리스크를 면밀히 검토한 후 최종 Final Licence를 결정할 것이다. 따라서 평가 기간 동안의 거래소 운영 실적이 공식 승인 여부를 좌우하는 핵심 요소가 될 것.
그렇다면, 어떻게 거래소를 운영해야 SFC의 신뢰를 얻을 수 있을까?
이 질문에 답하기 위해선 먼저 규제의 본질과 그 초점을 이해해야 한다.
홍콩 증권선물위원회(SFC)가 공개한 컨설테이션 파일 및 자금세탁방지 규정을 살펴보면, SFC의 가상자산 감독 초점은 명확히 두 가지로 나뉜다: 1. 투자자 보호; 2. 자금세탁방지. 아래 분석도 이 두 관점에 기반하여 이루어지며, 향후 거래소 운영 시 주목해야 할 핵심 요소들을 제시하고, 더 많은 거래소들이 규제 틀 내에서 올바르게 운영되기를 장려하고자 한다.
투자자 안전을 위한 방패 구축
재무부가 발표한 입법회 브리핑 자료에 따르면, VASP 라이선스 신청자는 증권선물위원회(SFC)가 제시하는 강력한 규제 요구사항을 준수해야 한다. 투자자 보호 영역에는 자산의 안전한 보관, 이해상충 방지, 사이버 보안, 감사 및 리스크 관리 등이 포함된다. 이러한 키워드를 바탕으로 본 장에서는 다음과 같은 두 가지 측면에서 논의를 진행한다: 1. 정보 공개; 2. 기술적 안전성.
1. 정보 공개를 통한 투자자 보호
SFC는 특히 강조한다: 가상자산은 SFC의 직접적인 감독 대상이 아니며, 즉 SFC는 가상자산의 제안서나 홍보 자료를 검토하거나 승인한 바 없으며, 이는 전통 금융 상품과 근본적인 차이가 있다. 고객 자산 보호 책임은 전적으로 거래소에 있다.
1) 가상자산 상장 및 거래 정보 공개
전통적인 주식 거래는 위탁은행과 증권예탁결제원(CSD)을 통해 이루어지며, 주식 계좌의 증감은 CSD에서 통합 정산된다. 중앙화된 시장에서 거래는 운영 효율이 낮고, 인건비가 높으며, 법적 관계가 복잡하다는 단점이 있지만, 정부는 CSD 등의 기관을 통해 기업 임원들의 거래 동향을 모니터링할 수 있다. 전통적인 증권 거래 절차는 아래 그림과 같다:

주식 거래 프로세스; 자료 출처: World Economic Forum
증권 거래와 달리, 가상자산은 대규모 거래가 체인 상에서 발생하는 빈도가 중앙화 거래소보다 훨씬 높다(아래 그림 참조). 블록체인의 탈중앙화 및 검열 저항 특성으로 인해 프로젝트팀 및 관련자들의 체인 상 거래를 추적하는 것이 더욱 중요하다.

체인 상 대규모 데이터 거래 빈도; 자료 출처: OKLink
SFC 컨설테이션 문서에 따르면:

거래소는 상장 프로젝트에 대해 직접적인 책임을 지며, 포괄적인 디데이 듀 diligence를 수행하기 위해 모든 합리적인 조치를 취해야 한다. 특히 프로젝트 팀 및 관련자의 거래 활동이 플랫폼의 핵심 관심사가 되어야 한다. 블록체인의 특성을 고려하면, 체인 상 데이터 분석을 통해 CSD의 거래 기록 기능을 체인 상 기록으로 대체해야 한다.
거래 플랫폼은 자체적으로 또는 제3자 체인 상 데이터 서비스를 활용해 프로젝트의 체인 상 데이터를 분석하고, 투명하게 정보를 공개함으로써 창립자 및 주요 주주의 체인 상 연관 거래를 실시간으로 모니터링함으로써 SFC의 정보 공개 요건을 충족시킬 수 있다.
2) 재무 정보 공개
전통적인 상장 기업 감사와 달리, 가상자산 감사는 난이도가 훨씬 높다. 기존 감사에는 자산 감가상각, 손상차손, 평가, 부채 및 자산 보관 등에 대한 명확한 절차가 마련되어 있으나, 블록체인 사업의 경우 감사인(공인회계사)의 경험 부족으로 인해 거래소의 자산 평가 및 부채 산정이 어렵고, 보고서의 신뢰성도 떨어질 수밖에 없다.
예를 들어, FTX 붕괴 이후 Mazars가 발행한 여러 거래소의 "자산 준비 증명(PoR)"은 공개적으로 의문을 제기당했다. 왜냐하면 해당 감사 보고서는 내부 재무보고 통제의 유효성에 대해서는 다루지 않았기 때문이다. SFC의 컨설테이션 문서에서도 “가상자산 거래소의 부채 공개”가 어렵다고 명시하고 있다.

현재 OKX, 바이낸스, Bybit 등 주요 거래소들은 모두 머클 트리(Merkle Tree) 방식을 사용해 부채를 검증한다. 이 방식은 데이터 처리 과정을 계층화하여 각 단계별로 노드를 검증하며, 검증 실패 시 다음 단계로 진행되지 않도록 해 데이터 조작을 방지한다.

자산 검증 프로세스; 자료 출처: OKX
* 구체적인 원리는 이 글을 참고하시기 바랍니다. OKX에서 상세히 설명하고 있습니다.
머클 트리는 현재 가상자산 감사의 '최적 해법'으로 여겨지고 있으나, 여전히 중앙 집중형 데이터의 신뢰성 문제, 개인키 소유 여부 확인 불가, 일시적으로 자산을 빌려 감사에 응할 가능성 등 문제가 존재. 따라서 거래소는 머클 트리 기술을 적용하면서 동시에 a. 사기 처벌 메커니즘 도입; b. 머클 트리 데이터 업데이트 주기 단축; c. 제3자 감사기관 또는 기술 기업과 협력 등을 통해 플랫폼 자산 상태를 더욱 투명하게 공개해야 한다.
2. 기술적 안전성을 통한 투자자 보호
홍콩 재정국장 천마우파이(Chen Maobo)는 다음과 같이 언급한 바 있다: “Web3.0의 발전을 위해서는 기술에 적절한 안전장치를 마련해, 책임감 있고 지속 가능한 방식으로 기술과 응용이 진전될 수 있도록 해야 한다.”
하지만 현재 많은 거래소는 기술 서비스 업체에 의존하는 경향이 있으며, 이러한 업체들은 SFC가 기대하는 수준의 서비스 품질을 제공하지 못하고 있다. SFC의 컨설테이션 문서 및 자금세탁방지 규정에서도 거래소의 기술적 안전성에 대한 우려가 반복적으로 언급되고 있다.
주요 기업들도 기술 개발에 막대한 비용을 투자하고 있다. 올해 4월 Cobo는 기존 규제 틀에 맞춰 홍콩 팀을 확장하며 전문 기술 인력을 늘린다고 밝혔다. Amber Group은 올해 테크놀로지 컨설팅 회사 Thoughtworks와 협력해 기술 도구 및 솔루션을 공동 개발하겠다고 발표했다. OKX도 언론 인터뷰에서 홍콩 팀 중 제품 및 기술 개발 인력만 500명 이상이라고 밝힌 바 있다.
기술적 안전성 측면에서는 특히 다음 두 가지를 중점적으로 살펴봐야 한다: 1. 자산 보관 안전성; 2. 네트워크 보안.
-
자산 보관 안전성
최근 가상화폐 시장 붕괴 및 거래소 파산 청산 소식이 끊이지 않고 있으며, 자본금 부족, 고객 자산 유용 등 전통 금융에서 나타났던 문제들이 반복되고 있다. 자산 보관 부실이 이러한 사건들의 주요 원인이다. 중앙화 암호화자산 거래소 BitMart는 이더리움 및 BSC의 핫월렛에 보안 취약점이 있었던 탓에 약 1억 5천만 달러 상당의 자산이 도난당한 바 있다.
OKLink의 체인 상 보안 시스템 운영 프로세스에 따르면, 해커는 1inch, Tornado.Cash 등의 도구를 이용해 거래소 월렛의 도난 자산을 이동시켰다.

해커의 체인 상 자산 이동 프로세스; 자료 출처: OKLink
이에 따라 SFC는 거래소가 98% 이상의 가상자산을 오프라인 콜드월렛에 보관할 것을 요구하며, 자산을 제3사에 맡기지 말고 자회사를 통해 보관해 감독이 용이하도록 해야 한다고 명시.
이러한 요구사항을 충족하기 위해 주요 암호화폐 거래소들은 다양한 조치를 시행하고 있다. 예를 들어, OSL은 소매 거래 허가를 신청하기 위해 콜드/핫월렛 인프라를 확장했다. OKX는 자체적으로 콜드/핫월렛 분리 전략을 채택하고, 온라인/오프라인 저장 시스템, 다중 서명, 다중 백업 등 다양한 메커니즘을 통해 사용자 자산의 안전성을 확보하고 있다.
OKLink는 SFC에 제안하기도 했다: 거래소가 자산 보관을 시행할 때 콜드/핫월렛의 세부사항에 유의해야 한다고 강조하며, 예를 들어:
a. 콜드월렛의 하드웨어는 홍콩 내 여러 은행에 분산 보관되어야 하며, 개인키는 한 번 사용 후 폐기되어야 한다;
b. 핫월렛의 경우, 개인키는 하드웨어 보안 모듈(HSM)에 저장되어야 하며, MPC 또는 키 샤딩(Key Sharding) 등 암호학 기술을 활용해 키를 분할 저장해야 한다;
-
네트워크 보안
가상자산 거래소의 네트워크 위협은 일반적으로 외부 정보시스템 침입, 제3자 데이터 저장 서버 다운으로 인한 거래 체결 실패, 서버 부하 초과 등에서 발생한다. 가상자산 거래소가 직면하는 위협은 전통 기관과 크게 다르지 않지만, 전통 기관은 장기간 정부의 감독을 받아 기술적 축적이 많고, 새로운 가상자산 거래소는 개발 역량이 제한적이며 기술적 사고가 더 빈번하다. 대부분의 거래소는 여전히 데이터베이스 기반의 매칭 거래 시스템을 사용하고 있다.
SFC가 최근 공개한 문서는 거래 플랫폼에 대해 보다 엄격한 요구를 제시하고 있으며, 거래 시스템 및 인프라에서 도난, 사기, 오류 및 누락된 거래, 서버 중단 등의 리스크를 방지하거나 최소화할 것을 요구한다. 특히 자동화 도구 개발 및 활용을 강조하며 잠재적 시스템 공격에 대응할 것을 권고한다.

출처: SFC가 최근 공개한 "가상자산 거래소 운영자 지침"
우리 팀은 거래소가 자동화 도구를 개발하거나 구매해 정기적으로 취약점 스캔을 수행할 것뿐 아니라, 여러 외부 보안 회사를 고용해 침투 테스트 및 보안성 검사를 실시해야 한다고 본다. 여유 자금이 있다면 중복 설계를 고려해 메모리 상태 기계 복제 기술(비용 높음)이나 다중 서버 핫백업 기술(고장 가능성 큼)을 도입할 수 있다. 앞으로는 각 거래소가 마켓메이커들과 협력해 표준 데이터 인터페이스를 설계함으로써 기술적·데이터적 오류를 줄이는 것도 기대된다.
자금세탁 리스크 방지
UN 통계에 따르면, 전 세계 연간 자금세탁 금액은 8천억~2조 달러에 달하며, 이는 세계 GDP의 2~5%에 해당한다. 2022년 한 해 동안 전 세계 금융기관은 자금세탁방지 관련 위반으로 80억 달러 이상의 벌금을 부과받았다. 새로운 비즈니스 모델과 거래 방식의 등장으로 기관들은 신기술과 신사업에서 비롯되는 규제 난제에 대응해야 하는 상황이다.
-
결제 채널 자금세탁방지
Hashkey Pro의 최고운영책임자(COO)는 “입금 채널은 거래소 간의 필수 경쟁 영역이며, 법정화폐에서 가상자산으로의 유일한 연결 고리이기 때문”이라고 말했다. SFC 문서에 따르면,

싱가포르 역시 가상자산 감독의 초점을 디지털 결제 비즈니스에 두고 있으며, 향후 홍콩 정부도 《지불시스템 및 선불지불수단 조례》를 활용해 결제 채널을 별도로 규제할 가능성이 있다. 자금세탁방지 및 테러자금조달방지 규제 하에서 거래소는 입출금 채널에 있어 SFC 요건을 충족하기 위해 더욱 엄격한 검사 체계를 마련해야 한다.
하지만 체인 상 활동과 입출금의 복잡성 때문에 거래소는 더욱 다양하고 광범위한 방법을 채택해야 한다. HKMA와 드웰(Deloitte)이 공동 발표한 보고서(AML Regtech: Network Analysis)에서는 기관이 전통적 방법과 신형 빅데이터 분석(네트워크 분석)을 결합해 의심 자금 및 입출금 채널을 종합적이고 체계적으로 감시해야 한다고 강조하고 있다.

전통 및 신기술 분석 통합; 출처: AML Regtech: Network Analytics
거래소는 은행 및 체인 상 데이터 서비스 업체와 협력하여 '네트워크 분석(network analysis)' 등의 방법을 활용해 AML/CFT 등 특정 분야에서 자금세탁 방지를 위한 공동 대응이 필요하다.
-
자금 흐름 감시
디지털 화폐의 익명성 특성으로 인해 자산은 빠르게 이동할 수 있으며, 추적이 어렵다. SFC 컨설테이션 문서(아래 그림)는 비관리형 지갑(non-custodial wallet) 간의 자금 이동이 자금세탁 및 테러자금 조달에 미칠 수 있는 위험을 상세히 설명하고 있다.

웹3 영역의 자금 이동은 더 이상 은행 계좌를 통하지 않고 체인 상 주소 간에 이루어지며, 믹서(mixer), 익명 지갑 등의 도구는 거래의 은폐성을 더욱 강화한다. 아래 그림처럼 사용자 A는 자금을 숨기는 디지털 서명의 '블랙박스'(즉, 믹서)로 송금한 후, 이를 섞어 사용자 B에게 전달하면, 누구도 B의 자금 출처를 알 수 없게 된다.

체인 상 태그 기반 자금세탁방지; 출처: OKG Research
이러한 상황에서 현재 가장 효과적인 대응 방안은 거대한 데이터 시스템을 통해 체인 상 모든 “믹서 계약 주소”에 태그를 부여(위 그림 참조)하고, 믹서와 상호작용하는 주소를 모니터링함으로써 사용자의 자금세탁 의심 여부를 판단하는 것이다.
따라서 체인 상 주소에 대한 체계적 검사 능력이 매우 중요하다. 최근 홍콩 면허를 보유한 자산관리 서비스 제공사 Future Wing Financial은 OKLink와 협력해 OKLink의 방대한 데이터베이스를 활용, 사용자 주소를 리스크 행동 및 사건과 연결해 자금세탁 리스크를 모니터링함으로써 가상자산 규제 요건을 충족하고 있다.
결론
홍콩의 이러한 태도 변화는 가상자산 발전에 있어 더욱 안정적인 기회를 제공하고 있으며, 일본과 싱가포르의 사례는 규제 당국이 '최악의 상황'을 예방하고 통제하기 위해 엄격한 조치를 취해야 함을 입증하고 있다.
최근 공개된 공식 문서들은 거래소에 대해 더욱 세밀하고 엄격한 요구를 하고 있으며, 위에서 언급한 내용 외에도 SFC는 “이해상충 회피”, “업무 제한”, “투자 유도 금지” 등의 요구사항을 추가로 제시하고 있다. 이러한 높은 기준은 궁극적으로 홍콩의 가상자산 시장을 더욱 질서 있게 발전시키며, 투자자와 거래소 모두에게 이익이 될 것이다.
연구소 소개
OKLink 연구소는 OKLink 그룹 산하의 전략 연구 기관으로, 글로벌 기업, 공공기관 및 사회 조직이 핀테크 및 블록체인 경제의 진화를 깊이 이해할 수 있도록 돕는 것을 사명으로 한다. 기술 응용 및 혁신, 기술과 사회 변화 등을 중심으로 심층 분석과 전문 콘텐츠를 제공하며, 블록체인 기술 등 첨단 기술의 응용과 지속 가능한 발전을 촉진하는 데 기여하고자 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News













