DeFi 규제의 고통, 유니스왑은 천국에 있고 토네이도 캐시는 지옥에 있다
글: Will 아망
2023년 8월 29일, 뉴욕 남부지방법원(SDNY)은 유니스왑(Uniswap)을 상대로 제기된 집단소송을 기각했다. 원고는 유니스왑이 사기성 토큰의 발행 및 거래를 허용함으로써 투자자에게 손해를 끼쳤다며 배상을 요구했다. 그러나 법원은 현재의 암호화폐 규제 체계가 원고의 주장을 뒷받침할 근거를 제공하지 못하며, 유니스왑은 타인이 프로토콜을 사용해 발생한 어떠한 피해에 대해서도 책임을 지지 않는다고 판단했다.
유니스왑의 '승리'보다 앞서, 마찬가지로 SDNY에서 미국 사법부(DOJ) 등 규제기관은 트랜드캐시(Tornado Cash) 창립자 로만 스톰(Roman Storm)과 로만 세메노프(Roman Semenov)에 대해 형사 기소를 진행했다. 두 사람은 트랜드캐시 운영 기간 중 돈세탁 공모, 제재 위반, 무면허 송금업 영위 혐의를 받고 있으며, 최소 20년의 징역형에 처해질 수 있다.
동일하게 블록체인 상 스마트 계약 기반 프로토콜임에도 불구하고, 왜 유니스왑과 트랜드캐시는 이렇게 다른 규제 대우를 받는 것일까? 본문은 두 개의 디파이(DeFi) 사건을 심층적으로 분석하고, 이러한 차별적 규제 처우의 근본 논리를 파헤친다.
요약 (TL;DR)
-
기술 자체에는 죄가 없으며, 문제는 기술 도구를 사용하는 사람에게 있다;
-
유니스왑 사건 판결은 디파이에 긍정적인 신호다. 즉 DEX는 제3자가 발행한 토큰으로 인해 사용자가 입은 손실에 대해 책임지지 않는다. 이는 리플(Ripple) 사건보다 더 큰 의미를 가진다;
-
카트리나 폴크 파일라(Katherine Polk Failla) 판사는 SEC 대 코인베이스(Coinbase) 사건도 담당하고 있으며, 그녀가 암호자산의 증권 여부에 대해 "이 문제는 법원이 결정할 것이 아니라 의회가 결정해야 한다"고 밝혔고, "ETH는 암호상품(crypto commodity)"이라고 언급한 점은 SEC 대 코인베이스 사건에서도 동일하게 해석될 수 있는가?
-
트랜드캐시 사건 역시 제3자의 행위로 인해 규제 당국의 개입이 있었지만, 사건이 이처럼 엄중한 이유는 창립자들이 고의로 불법 행위자들에게 편의를 제공했으며, 국가 안보라는 공익을 침해했기 때문이다;
-
미국 내 설립, 규제 당국과의 적극적인 협조, 그리고 단일 거버넌스 기능을 갖춘 토큰 구조는 다른 디파이 프로젝트들에게 규제 대응의 모범 사례를 제시한다.
일, 투자한 사기 토큰으로 인해 유니스왑을 고소한 투자자들
2022년 4월, 한 무리의 투자자들은 유니스왑 개발사 및 투자자인 유니스왑 랩스(Uniswap Labs), 창립자 하이든 애덤스(Hayden Adams), 그리고 투자 기관(패러다임, 앤드리슨 호로비츠, 유니언 스퀘어 벤처스)을 공동 피고로 소송을 제기했다. 이들은 피고들이 미국 연방 증권법에 따라 등록하지 않은 채 '사기 토큰'을 상장함으로써 투자자들에게 손해를 끼쳤다며 손해배상을 요구했다.
주심 판사인 카트리나 폴크 파일라(Katherine Polk Failla) 판사는 이 사건의 진짜 피고는 사기 토큰 발행자여야 하며, 유니스왑 프로토콜의 개발자와 투자자가 아니라고 밝혔다. 프로토콜의 탈중앙화 성격상, 사기 토큰 발행자의 신원은 원고에게 알려지지 않았으며(피고 또한 알 수 없음), 따라서 원고는 피고를 상대로 소송을 제기해 법원을 통해 추궁권을 전가하려는 시도를 한 것이다. 원고의 주장은 피고들이 사기 토큰 발행자에게 발행 및 거래 플랫폼을 제공함으로써 수수료를 취득했다는 것이었다.
또한 원고는 일종의 SEC 위원장 게리 겐슬러(Gary Gensler) 역할을 자처하며, (1) 유니스왑에서 거래되는 토큰은 미등록 증권이며, (2) 유니스왑은 증권 토큰을 거래하는 탈중앙화 거래소로서 관련 규제기관에 증권거래소 또는 증권중개업자로 등록해야 한다고 주장했다. 그러나 법원은 증권법을 원고가 주장하는 행위까지 확대 적용하는 것을 거부했으며, 관련 규제 부재를 이유로 "투자자들의 우려는 본 법원보다는 의회에 제기하는 것이 더 적절하다"고 결론지었다.
종합하면, 법원은 현재의 암호화폐 규제 체계가 원고의 주장을 뒷받침할 수 없다고 판단했으며, 현행 미국 증권법에 따르면 유니스왑 개발자 및 투자자는 제3자가 프로토콜을 사용해 발생한 피해에 대해 책임지지 않는다고 보고, 원고의 소송을 기각했다.
이, 유니스왑 사건의 쟁점
이 사건의 주심 판사이자 SEC 대 코인베이스 사건의 담당 판사인 카트리나 폴크 파일라 판사는 풍부한 암호화 사건 심리 경험을 갖고 있다. 51페이지 분량의 판결문을 살펴보면, 판사가 암호화 산업에 대해 깊이 이해하고 있음을 알 수 있다.
이번 사건의 쟁점은 (1) 유니스왑이 제3자의 프로토콜 이용에 대해 책임을 져야 하는가, (2) 누가 프로토콜 사용으로 인한 책임을 져야 하는가이다.
2.1 유니스왑의 기본 프로토콜과 발행사의 토큰 프로토콜은 구분되어야 하며, 피해를 초래한 발행사가 책임을 져야 한다
유니스왑 랩스는 이전에 "유니스왑 V3의 분산된 유동성 풀 모델은 순수하게 저수준 스마트 계약으로 구성되며 자동 실행된다. 이 모델은 개방성, 무허가성, 포용성 덕분에 기하급수적으로 성장하는 생태계를 만들어낼 수 있다. 이 저수준 프로토콜은所谓 중개자를 제거할 뿐 아니라, 사용자가 다양한 방식으로 프로토콜과 간편하고 효과적으로 상호작용할 수 있도록 무허가로 허용한다(예: 유니스왑 랩스가 개발한 DApp을 통한 접속)"라고 설명했다.
발행사들은 위에서 언급한 유니스왑의 저수준 프로토콜을 기반으로, DEX 고유의 AMM 메커니즘을 활용해 익명으로 토큰을 상장하고, 어떠한 신원 확인이나 배경 조사도 필요 없이 자체적으로 유동성 풀 거래쌍(예: 자체 ERC-20 토큰/ETH)을 생성·설정하여 투자자들이 거래하도록 했다.
유니스왑의 탈중앙화 특성은 프로토콜이 어떤 토큰이 플랫폼에 상장되거나 누구와 상호작용하는지를 통제할 수 없다는 것을 의미한다. 판사는 "저수준 기반 스마트 계약은 각 유동성 풀 고유의, 발행사가 작성한 토큰 계약과 다르다. 원고의 청구와 관련된 프로토콜은 피고가 제공한 저수준 프로토콜이 아니라, 발행인이 스스로 작성한 유동성 풀 거래쌍 계약 또는 토큰 계약(the pair or token contracts drafted by the issuers themselves)이다"라고 명확히 했다.
이를 더 잘 설명하기 위해 판사는 몇 가지 비유를 들었다. "자율주행차 제조사가 제3자가 그 차를 이용해 교통사고를 내거나 은행 강도를 저지르는 것에 책임을 지게 되는가? 제조사에게 과실이 있든 없든 말이다." 또, 지불 앱 벤모(Venmo)와 젤(Zelle)을 예로 들어 "원고의 소송은 마약상이 지불 플랫폼을 이용해 마약 거래 자금을 이체했다는 이유로 플랫폼에 책임을 묻는 것과 같다"고 했다.
이러한 사건들에서는 피해를 초래한 개인의 책임을 물어야지, 소프트웨어 개발사의 책임을 묻지 않아야 한다.
2.2 탈중앙화 스마트 계약 환경에서의 첫 번째 판례
판사는 현재 디파이 프로토콜과 관련된 사법 판례가 부족하며, 탈중앙화 프로토콜의 스마트 계약 맥락에서 이전 법원이 판결을 내린 사례가 없고, 증권법에 근거해 피고에게 법적 책임을 묻는 경로도 찾지 못했다고 인정했다.
판사는 이번 사건에서 유니스왑 프로토콜의 스마트 계약이 실제로 합법적으로 운영될 수 있다고 판단했다. ETH와 BTC 같은 암호상품(crypto commodities)의 거래와 마찬가지로 말이다(Court finds that the smart contracts here were themselves able to be carried out lawfully, as with the exchange of crypto commodities ETH and Bitcoin).
이 발언에서 판사는 특히 ETH의 상품적 속성을 언급했는데, 비록 한 문장뿐이었지만 중요한 의미를 갖는다.
2.3 증권법 하에서의 투자자 보호
증권법 제12조(a)(1)항은 판매자가 증권법 제5조(증권의 등록 및 면제)를 위반할 경우 투자자가 손해배상 청구를 할 수 있는 권리를 부여한다. 그러나 이 청구는 암호자산이 증권인지 여부라는 규제 난제에 기반하고 있기 때문에, 판사는 "이런 문제는 법원이 결정할 것이 아니라 의회가 결정해야 한다"고 밝혔다. 법원은 증권법을 원고가 주장하는 행위까지 확대 적용하는 것을 거부했으며, 관련 규제 부재를 이유로 "투자자들의 우려는 본 법원보다는 의회에 제기하는 것이 더 적절하다"고 결론지었다.
2.4 요약
SEC 위원장 게리 겐슬러가 지금까지 ETH를 증권으로 명명하는 것을 회피해 왔지만, 카트리나 폴크 파일라 판사는 이번 사건에서 직접적으로 이를 '상품(crypto commodities)'이라고 명명하며, 유니스왑 사건에서 증권법의 적용 범위를 원고가 주장하는 행위까지 확대하는 것을 거부했다.
카트리나 폴크 파일라 판사가 SEC 대 코인베이스 사건도 담당하고 있다는 점을 고려할 때, 그녀가 암호자산의 증권 여부에 대해 "이 문제는 법원이 결정할 것이 아니라 의회가 결정해야 한다", "ETH는 암호상품"이라고 한 입장이 SEC 대 코인베이스 사건에도 동일하게 적용될 수 있을까?
어쨌든, 현재 디파이 분야에 대한 법률 제정이 진행되고 있으며, 언젠가는 규제 기관이 이 회색 지대를 해결할 수 있을 것이다. 하지만 유니스왑 사건은 분명 암호 디파이 세계에 규제 대응의 모범 사례를 제공했다. 즉 탈중앙화 거래소(DEX)는 제3자가 발행한 토큰으로 인해 사용자가 입은 손실에 대해 책임지지 않는다는 점이다. 이는 리플 사건보다 훨씬 더 큰 영향을 미치며, 디파이에 매우 긍정적인 신호다.
삼, 지옥에 빠진 트랜드캐시와 그 창립자들
블록체인에 배포된 디파이 프로토콜이라는 점에서 유니스왑과 동일한 위치에 있지만, 믹싱 서비스를 제공하는 트랜드캐시의 처지는 그리 낙관적이지 않다. 2023년 8월 23일, 미국 사법부(DOJ)는 트랜드캐시 창립자 로만 스톰과 로만 세메노프를 형사 기소하며, 운영 기간 중 돈세탁 공모, 제재 위반, 무면허 송금업 영위 혐의를 제기했다.
트랜드캐시는 과거 이더리움 상에서 가장 유명한 믹싱 애플리케이션으로, 사용자 거래의 프라이버시 보호를 목표로 했다. 암호화폐 거래의 출처, 목적지, 거래 상대방을 복잡하게 섞어 프라이버시 보존 거래를 실현한다. 2022년 8월 8일, 미국 해외자산통제국(OFAC)은 트랜드캐시를 제재 대상으로 지정했으며, 일부 관련 체인상 주소를 SDN 리스트에 올렸다. 즉, SDN 리스트에 오른 주소와 상호작용하는 것은 불법이 된다.
OFAC는 보도자료를 통해 2019년 이후 트랜드캐시를 통한 돈세탁 범죄 금액이 70억 달러를 넘었으며, 트랜드캐시가 미국 내외의 불법 네트워크 활동에 실질적인 지원, 후원, 금융 및 기술적 지원을 제공해 미국의 국가안보, 외교정책, 경제 건강, 금융 안정에 중대한 위협을 초래했다고 밝혔다.
3.1 트랜드캐시와 두 창립자에 대한 형사 기소
DOJ는 8월 23일 보도자료에서 피고와 공모자들이 트랜드캐시 서비스의 핵심 기능을 만들고, 서비스 홍보를 위한 주요 인프라 운영 비용을 지불하며 수백만 달러의 수익을 얻었다고 밝혔다. 피고들은 거래의 불법성을 알고 있음에도 불구하고 KYC(고객신원확인) 및 AML(자금세탁방지) 규정 준수 조치를 이행하지 않았다.
2022년 4~5월, 트랜드캐시는 제재 대상인 북한 사이버범죄 조직 라자루스 그룹(Lazarus Group)이 수억 달러의 해킹 수익을 정리하는 데 사용되었다. 피고들은 이것이 돈세탁 거래임을 알고 있으면서도 서비스를 변경해 ' внешне' 규정 준수를 이행한 것으로 보이도록 했으나, 내부 채팅에서는 그러한 변경이 무효라고 일치해서 인정했다. 이후 피고들은 계속해서 서비스를 운영하며 수억 달러의 불법 거래를 용이하게 하고, OFAC가 동결 자산으로 지정한 암호지갑에서 범죄 수익을 이전하는 것을 도왔다.
피고는 각각 돈세탁 공모죄와 국제경제비상권력법(ISSA) 위반 공모죄로 기소되었으며, 각각 최대 20년의 징역형을 받을 수 있다. 또한 무면허 송금업 영위 공모죄로도 기소되어 최대 5년의 징역형을 받을 수 있다. 연방 지역법원 판사는 미국 형량지침과 기타 법적 요소를 고려해 판결을 결정할 것이다.
3.2 송금업(Money Transmitting Business)의 정의
주의할 점은, 미국 재무부 산하 금융범죄집행네트워크(FinCEN)가 트랜드캐시 및 창립자들을 상대로 무면허 송금업 영위에 대해 민사소송을 제기하지 않았다는 점이다. 트랜드캐시가 '송금업자(Money Transmitter)'의 정의에 포함된다면, 이는 다른 유사한 디파이 프로젝트에도 동일하게 적용될 수 있다는 의미다. 만약 실제로 그렇게 된다면, 해당 프로젝트들은 모두 FinCEN에 등록하고 KYC/AML/CFT 절차를 밟아야 하며, 이는 디파이 세계에 막대한 영향을 미칠 것이다.
FinCEN은 2019년 가이던스(2019 FinCEN Virtual Currency Guidance)를 발표해 암호화폐 활동의 사업 모델을 분류하고, 사업 유형에 따라 송금업자 정의에 포함되는지를 판단했다.
3.2.1 익명화 소프트웨어 제공자(An Anonymizing Software Provider)
코인센터(Coin Center)의 피터 반 발켄버그(Peter Van Valkenburgh)는 기소장에 나오는 피고의 무면허 송금업 혐의는 단지 일반 대중을 대신해 자금 이체 서비스를 운영하면서 FinCEN에 등록하지 않았다는 것뿐이라고 지적했다. 그러나 트랜드캐시는 실질적으로 익명화 소프트웨어 제공자(Anonymizing Software Provider)일 뿐이며, 단지 '송금자가 송금 서비스의 전달, 통신 또는 네트워크 접근을 지원하기 위해 사용하는 소프트웨어'를 제공할 뿐이라는 것이다.
2019년 가이던스는 명확히 익명화 소프트웨어 제공자는 송금업자 정의에 포함되지 않는다고 했으며(An Anonymizing Software Provider is Not a Money Transmitter), 익명화 서비스 제공자(Service Provider)만이 해당한다고 했다.
3.2.2 암호지갑 서비스 제공자(CVC Wallet)
톱 로펌 크래브랫 스웨인 앤 무어(Cravath, Swaine & Moore LLP)도 보고서를 발표하며, 2019년 가이던스에서 유일하게 송금업자로 명확히 정의된 사업 모델인 암호지갑 서비스 제공자(CVC Wallet)를 비교해, 송금업자의 필수 요건—즉 전송되는 가치에 대해 완전히 독립적인 통제(Total Independent Control Over the Value being Transmitted)—를 제시했다. 그리고 이러한 통제가 필요충분조건(Necessary and Sufficient Control)이라고 강조했다.
이 사건에서 기소장은 피고가 어떻게 트랜드캐시 소프트웨어/프로토콜을 통제했는지 서술하지만, 자금 전송을 어떻게 통제했는지는 명시하지 않는다. 보고서는 트랜드캐시 내 자금 전송 과정을 분석한 결과, 암호지갑 서비스 제공자처럼 자금 전송을 완전히 통제할 수 없다는 것을 보여주며, 사용자가 키를 통해 상호작용해야 하므로 '송금업자 정의'에 포함되지 않는다고 결론지었다.
3.2.3 DApps
델파이 랩스(Delphi Labs)의 법무총괄 @_gabrielShapir0는 크래브랫의 견해에 동의하지 않았다. 그는 크래브랫이 2019년 가이던스에 나온 또 다른 암호활동 사업 모델인 탈중앙화 애플리케이션(DApps)을 간과했다고 주장했다.
FinCEN이 DApps에 대해 밝힌 입장은 다음과 같다. "DApp의 소유자/운영자는 다양한 기능을 수행하기 위해 DApp을 배포할 수 있으나, DApp이 송금업을 수행할 경우, 송금업자 정의는 DApp 자체, 또는 DApp의 소유자/운영자, 혹은 둘 다에 적용된다."
기소장은 바로 2019년 가이던스의 DApps에 대한 이해를 바탕으로 무면허 송금업을 정의하고 있다. 즉, 개인, 법인, 비법인 조직이 스마트 계약/DApp을 통해 송금업을 운영할 경우 FinCEN의 규칙이 적용된다는 것이다.
만약 FinCEN의 2019년 가이던스가 정말 위와 같이 명시되어 있다면, 왜 그 이후 DeFi를 대상으로 한 집행 조치를 하나도 취하지 않고 이 해석을 설명하지 않았는지 궁금해질 수밖에 없다. 디파이 애플리케이션은 모두 어딘가에서 자금을 이체하므로, 이론상 모든 디파이 앱에 적용될 수 있기 때문이다.
3.3 요약
FinCEN의 2019년 가이던스는 결국 가이던스일 뿐이다. 이는 DOJ에 구속력이 없으며 법적 효력도 없다. 그러나 현재 미국의 암호화 규제 체계가 불명확한 상황에서, 이 가이던스는 여전히 규제 당국의 태도를 반영하는 가장 좋은 문서다.
그럼에도 불구하고 DOJ의 행동은 탈중앙화 프로토콜의 미래에 해결되지 않은 중요한 질문들을 남겼다. 즉, 개인 행위자들이 제3자의 행동이나 느슨한 커뮤니티 투표로 결정된 사안에 대해 책임을 져야 하는가 하는 문제다. 미국 국적의 피고인 로만 스톰은 며칠 내로 처음으로 법정에 출두하고 심문을 받을 예정이다. 이후 법원이 이러한 미해결 문제들을 다룰 기회를 가질 수 있을 것이다.
검찰총장 머릭 가럴드(Merrick Garland)는 "이 기소장은 암호화폐를 이용해 범죄를 은폐하려는 사람들에게 다시 한번 경고를 보내는 것"이라고 말했다. FBI 국장 크리스토퍼 레이(Christopher Wray)는 "FBI는 사이버범죄자들이 범죄를 저지르고 이익을 얻는 데 사용하는 인프라를 계속해서 제거하고, 이러한 범죄자들을 도운 모든 사람에게 책임을 물을 것"이라고 덧붙였다. 이는 규제 당국이 AML/CTF에 대해 단단한 입장을 견지하고 있음을 보여준다.
사, 동일한 디파이 프로토콜인데도 천국과 지옥의 차이
유니스왑과 트랜드캐시 두 사건의 공통점은 다음과 같다:
(1) 모두 블록체인 상 스마트 계약으로 배포되어 자율적으로 운영 가능하다;
(2) 모두 제3자의 스마트 계약 불법/부적절한 사용으로 인해 규제 당국의 개입을 받았다;
(3) 이후 누구에게 불법/부적절한 행위로 인한 피해에 대한 책임이 있는가가 쟁점이 되었다.
차이점은 다음과 같다:
유니스왑 사건에서 법원은 다음과 같이 판단했다:
(1) 블록체인 상 저수준 스마트 계약은 발행인이 자체적으로 배포한 토큰 계약과 구분되며, 저수준 스마트 계약의 합법적 운영에는 문제가 없다;
(2) 투자자에게 손해를 끼친 것은 발행인이 자체적으로 배포한 토큰 계약이다;
(3) 따라서 발행인의 책임을 물어야 한다.
반면 트랜드캐시 사건에서 기소장은 제3자의 불법 사용으로 인해 규제 당국의 개입이 있었지만, 차이점은 트랜드캐시 창립자들이 고의로 프로토콜을 통제하며 사이버범죄자들에게 편의를 제공했고, 국가안보라는 공익을 침해했다는 점이다. 누구에게 책임이 있는지는 더 이상 말할 필요가 없다.
오, 맺으며
2023년 4월 6일, 미국 재무부는 세계 최초의 디파이 기반 불법 금융 활동 평가 보고서인 '2023 DeFi 불법 금융 활동 평가'를 발표했다. 이 보고서는 미국의 AML/CFT 규제를 강화하고, 가능한 경우 암호자산 활동의 사업 단계(디파이 서비스 포함)에 대한 집행을 강화해, 암호자산 서비스 제공자가 미국 은행비밀법(BSA) 하의 의무를 준수하도록 하는 것을 권고한다.
미국 규제 당국의 접근법은 이와 같은 맥락을 따른다. 즉 KYC/AML/CTF 관점에서 암호자산의 입출금 활동을 감독해 원천적으로 통제하는 방식이다. 예를 들어 트랜드캐시가 사이버범죄자들에게 돈세탁 편의를 제공한 경우처럼 말이다. 또 투자자 보호 관점에서 특정 프로젝트의 사업 준수 여부를 감독하는데, CFTC 대 우키 DAO(Ooki DAO) 사건에서 CFTC는 우키 DAO의 사업이 규정을 위반했다는 이유로 개입했으며, 트랜드캐시 사건에서도 FinCEN의 송금 규정 위반을 이유로 개입했다.
미국의 암호화 규제 체계가 아직 불확실하지만, 현재로서는 유니스왑이 미국 내에 운영 법인 및 재단을 설립하고, 규제 기관과 적극적으로 협력하며 리스크 관리 조치(특정 토큰 차단)를 시행하고, UNI 토큰이 항상 거버넌스 기능만 유지(증권형 토큰 논란에 휘말리지 않음)하는 등의 움직임이 다른 디파이 프로젝트들에게 규제 대응의 모범 사례를 제공하고 있다.
기술 자체에는 죄가 없으며, 문제는 기술 도구를 사용하는 사람에게 있다. 유니스왑과 트랜드캐시 사건 모두 동일한 답을 제시하고 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
0xWillmfer
