홍콩 금융관리국 디지털 자산 보관 활동 가이드라인 개요
번역: 박문
디지털 자산의 보안은 업계에서 가장 오랫동안 논의된 주제 중 하나이다. 점점 더 많은 전통 기관들이 시장에 진입함에 따라, 해커가 난무하는 Web3 세계에서 사용자의 디지털 자산을 어떻게 안전하게 보관할 것인지가 산업 규모 확대를 위해 반드시 해결해야 할 문제로 떠올랐다.
2024년 미국 증권거래위원회(SEC)가 비트코인 스팟 ETF 승인을 발표했고, 코인베이스는 그중 8개 ETF 발행사의 비트코인 커스터디언으로 선정되며 수익 성장을 크게 견인했다. 디지털 자산 커스터디 서비스는 이제 단순한 기술 문제가 아니라 실력 있는 기관들이 필수적으로 확보해야 할 비즈니스 영역이 되었다. 홍콩이 미국의 속도를 따라잡고자 한다면 디지털 자산 커스터디 규제도 빠르게 정비해 나가야 한다.
2024년 2월 20일, 홍콩 금융관리국(HKMA, 금관리국)은 디지털 자산 커스터디 활동에 관한 지침을 발표하며, 이와 관련된 기준을 명시했다. 여기에는 거버넌스 및 리스크 관리, 고객 디지털 자산의 분리, 고객 디지털 자산 보호, 위탁 및 아웃소싱 등이 포함되어 홍콩 내에서 디지털 자산 커스터디 활동을 수행하는 기관 및 그 자회사에게 지침을 제공한다.
아래는 해당 지침 원문의 번역 내용이다.
디지털 자산 커스터디 서비스 제공 인가기관 대상 예상 기준 지침
본 지침은 고객을 대신해 디지털 자산(암호학과 분산원장 또는 유사 기술에 주로 의존하는 자산)을 보유하는 인가기관(AIs)과 홍콩 내에 등록된 AIs 자회사에 적용된다. 다만 특정 목적의 디지털 토큰은 제외된다. 예시로 포함되는 자산에는 가상자산(VA), 토큰화 증권 및 기타 토큰화 자산이 있다. 본 지침은 고객을 대신해 보유하지 않는 AIs 또는 그 그룹사 소유 자산의 커스터디에는 적용되지 않는다.
(A) 거버넌스 및 리스크 관리
1. 디지털 자산 커스터디 서비스를 출시하기 전, 인가기관은 관련 리스크를 식별하고 이해하기 위한 포괄적인 리스크 평가를 수행해야 한다. 인가기관은 식별된 리스크를 관리하고 완화하기 위한 적절한 정책, 절차 및 통제 조치를 마련해야 하며, 관련 법령 및 규제 요건을 고려해야 한다. 기관의 이사회 및 고위 경영진은 리스크 관리 프로세스를 효과적으로 감독하여 커스터디 활동 시작 전과 진행 중에도 관련 리스크를 식별, 평가, 관리 및 완화할 수 있도록 해야 한다.
2. 인가기관은 적절한 거버넌스, 운영 및 효율적인 리스크 관리를 보장하기 위해 커스터디 활동에 충분한 자원(필요한 인력 및 전문성 포함)을 배정해야 한다. 기관의 디지털 자산 커스터디 활동 및 관련 통제 기능에 참여하는 고위 경영진과 직원은 직무 수행에 필요한 지식, 기술 및 전문성을 갖추어야 한다.
3. 디지털 자산 분야의 급속한 발전을 고려해, 인가기관은 커스터디 활동에 종사하는 고위 경영진 및 직원에게 지속적인 역량 유지가 가능하도록 충분한 교육을 제공해야 한다.
4. 인가기관은 명확히 서면화된 역할과 책임, 보고 체계를 포함한 적절한 책임 부여 체계를 마련해야 한다. 또한 기관이나 그 계열사 간 다른 활동 사이에서 발생할 수 있는 잠재적·실제적 이해 상충을 식별, 관리 및 완화하기 위한 충분한 정책과 절차를 수립해야 한다.
5. 인가기관은 커스터디 활동의 사업 연속성을 보장하기 위해 효과적인 대체 및 재난 복구 체계를 구축하고 유지해야 한다.
(B) 고객 디지털 자산의 분리
6. 인가기관은 기관 자체 자산과 분리된 전용 고객 계좌에 고객 디지털 자산을 보관하여, 기관이 파산하거나 해산할 경우 고객 자산이 기관의 채권자들로부터 보호받도록 해야 한다.
7. 인가기관은 다음 사항 중 어느 하나에 해당하지 않는 한, 고객 디지털 자산의 권리, 이익, 소유권, 법적 및/또는 실질적 소유권을 양도하거나, 이를 대여, 담보 제공, 재담보 제공하거나 기타 부담을 설정해서는 안 된다. (i) 거래 결제 및/또는 고객이 기관에 미납한 수수료 및 비용 청구 목적; (ii) 고객의 사전 명시적 서면 동의 획득; 또는 (iii) 법률에서 요구하는 경우. 기관은 고객 디지털 자산이 자사 계좌나 고객과 약정한 목적 외 용도로 사용되지 않도록 충분하고 효과적인 조치를 취해야 한다.
(C) 고객 디지털 자산의 보호
8. 인가기관은 고객 디지털 자산이 신속하고 적절하게 회계 처리되고 충분히 보호될 수 있도록 충분한 시스템과 통제 장치를 마련해야 한다. 특히 도난, 사기, 과실 또는 기타 침해 행위로 인한 고객 자산 손실 위험과 고객 자산에 대한 지연 접근 또는 접근 불가 위험을 최소화하기 위한 효과적인 통제 조치를 마련해야 한다.
9. 고객 디지털 자산 보호를 위한 시스템 및 통제 장치를 개발할 때, 인가기관은 보유하는 디지털 자산의 성격, 특징 및 리스크를 고려한 리스크 기반 접근법을 채택할 수 있다. 리스크는 사용하는 분산원장기술(DLT) 네트워크의 유형(예: 사설 허가형, 공개 허가형, 공개 무허가형) 및 완화 조치의 시행 여부에 따라 달라질 수 있다. 예를 들어, 공개 무허가 DLT 네트워크에 보유된 고객 디지털 자산은 더 높은 사이버 보안 리스크에 노출될 수 있으며, 도난, 해킹 또는 기타 사이버 공격 발생 시 자산 회복이 어려울 수 있다. 반면 공개 허가형 및 사설 허가형 DLT 네트워크에서는 네트워크 접근을 제어할 수 있는 조치가 존재할 수 있다.
10. 고객 디지털 자산 보호를 위한 시스템 및 통제 장치에는 다음을 포함한 서면 정책 및 절차가 포함된다:
-
고객 디지털 자산의 입금, 출금, 이체를 위한 접근 권한 및 검증 절차. 이에는 시드(seed) 및 개인키(private key)를 저장하는 장치 접근 포함;
-
고객 디지털 자산의 시드 및 개인키 관리 및 보호. 키 생성, 배포, 저장, 사용, 폐기 및 백업 포함.
11. 특히 인가기관은 보유 자산의 성격, 특징 및 리스크에 맞춰 관련 업계 최고의 모범 사례를 채택하고 적용 가능한 국제 보안 표준을 준수해야 한다. 아래에 열거된 절차 및 통제 장치들은 규범적이거나 일률적인 규정을 의미하지 않지만, 고객 VA 보유 인가기관에는 일반적으로 요구되는 내용이다. 기타 디지털 자산의 경우, 인가기관은 위험에 상응하는 리스크 기반 접근법을 통해 다음 절차 및 통제 장치를 시행할 수 있으나, 해당 자산이 공개 무허가 DLT 네트워크 상의 무허가 토큰 형태라면 더욱 신중하게 접근하고 실행 여부를 면밀히 평가해야 한다:
-
하드웨어 보안 모듈(HSM) 등 보안되고 조작 방지 가능한 환경 및 장치 내에서 시드 및 개인키를 생성하고 저장하며, 백업도 포함. 가능하다면 오프라인에서 시드 및 개인키를 생성하고, 적절한 수명 주기 제한을 설정해야 한다;
-
시드 및 개인키를 홍콩 현지에서 안전하게 생성, 저장 및 백업해야 한다;
-
암호화 장치 또는 애플리케이션 접근 권한은 필요 시에만 승인된 인원에게 제한하며, 이들은 적절한 선별 및 교육을 받아야 한다. 접근 방식 및 권한 배정에 대한 최신 문서를 유지하고, 다중 인증(MFA) 등의 강력한 인증 방법을 사용해 시드 및 개인키 접근을 인증하며, 암호화 장치 또는 애플리케이션 접근에 대한 감사 추적(audit trail)을 유지해야 한다;
-
키 분할(key sharding) 또는 유사 기술을 활용해 '단일 실패 지점(single point of failure)'을 방지해야 한다. 예를 들어 개인키를 분할해 인가기관의 여러 승인된 인원에게 분산 저장함으로써 어떤 한 당사자도 전체 키를 소유하지 못하도록 해야 한다. 일반적으로 거래 서명을 위해 일정 수 이상의 키 조각 보유자가 공동으로 서명해야 하므로, 개인이 완전한 접근 권한을 가지지 못하도록 하고, 단일 조각의 유실, 사용 불가 또는 도난 시에도 운영 중단을 방지할 수 있다. '단일 실패 지점' 방지를 위해 하나의 지갑 대신 여러 지갑을 사용해 고객 디지털 자산을 보유하는 것도 고려할 수 있다;
-
시드 문구 및 개인키 접근 권한을 가진 인가된 인원 간 공모(co-conspiracy) 리스크를 방지하고 완화하기 위한 조치를 마련해야 한다;
-
시드 문구 및 개인키의 경우, 원본과 동일한 보안 통제를 적용받는 충분한 원격지 백업 및 비상 대책을 마련해야 한다. 백업된 시드 문구 및 개인키는 원본 저장 위치와 독립적이며, 어떠한 사건에도 영향을 받지 않는 안전한 물리적 장소에 오프라인으로 보관되어야 한다;
-
별도의 입증이 없는 한, 대부분의 고객 디지털 자산은 인터넷에 연결되지 않은 콜드 스토리지(cold storage)에 보관해야 한다;
-
소유권 검증(메시지 서명 또는 마이크로 페이먼트 테스트 등)을 통해 확인된 고객 지갑 주소이며, 화이트리스트에 등재된 경우에만 고객 디지털 자산의 입금 및 출금을 허용해야 한다;
-
커스터디 과정에서 사용되는 스마트 계약이 계약상 취약점 또는 보안 결함의 영향을 최소한으로 받도록 조치를 취해야 한다;
-
해킹 사건, 도난 또는 사기로 인한 고객 디지털 자산 손실(기관의 행동, 오류, 과실 또는 중대한 과실 여부에 관계없이)을 충분히 보장하는 적절한 보험 또는 보상 체계를 마련해야 한다.
12. 인가기관이 고객이 보유한 디지털 자산을 관리할 수 있도록 사용자 인터페이스 또는 포털을 제공하는 경우, 홍콩 금융관리국(HKMA)이 수시로 제정하는 관련 지침을 따르는 효과적인 고객 신원 확인 및 알림 통제 조치를 마련해야 한다.
13. 인가기관은 새로운 보안 위협, 취약점, 공격 및 사기 리스크, 기술 솔루션의 동향 및 발전을 지속적으로 주시해야 한다. 새로운 위협 및 기술 발전을 고려해 보안 리스크 통제의 충분성과 탄력성을 정기적으로 평가하고, 관련 업계 최고 모범 사례 및 적용 가능한 국제 표준에 따라 고객 디지털 자산 커스터디 기술을 채택해야 한다. 고객 디지털 자산 보관을 위한 월렛 스토리지 기술은 배치 전에 신뢰성을 보장하기 위해 테스트되어야 한다.
(D) 위탁 및 아웃소싱
14. 일반 원칙으로서, 가상자산(VA)의 경우 인가기관은 커스터디 기능을 (i) 다른 인가기관(또는 홍콩 내 등록된 인가기관 자회사); 또는 (ii) 증권선물위원회(SFC) 라이선스를 보유한 가상자산 거래 플랫폼에만 위탁할 수 있다. 무허가 토큰 형태의 기타 디지털 자산의 경우, 공개-무허가 DLT 네트워크에 위치한다면 인가기관은 커스터디 기능을 위탁하거나 아웃소싱하는 것이 적절한지 면밀히 평가해야 한다.
15. 인가기관이 디지털 자산 커스터디 서비스 제공을 위해 수탁기관 또는 서비스 제공업체와 위탁 또는 아웃소싱 계약을 체결할 경우, 계약 체결 전에 적절한 디ュー 딜리전스(due diligence)를 수행해야 한다. 인가기관은 수탁기관 또는 서비스 제공업체의 재무 건전성, 평판, 경영 능력, 기술 및 운영 역량, 본 지침서 및 기타 관련 법령 및 규제 요건 준수 능력, 그리고 디지털 자산 분야의 기술 발전에 부합하는 능력을 평가하고 만족해야 한다. 디ュー 딜리전스 평가 및 결과는 적절히 기록 보관되어야 한다. 인가기관은 수탁기관 또는 서비스 제공업체의 실적을 지속적으로 모니터링하기 위한 효과적인 통제 조치를 마련해야 한다.
16. 수탁기관 또는 서비스 제공업체와 협력해 디지털 자산 커스터디 서비스를 제공할 경우, 인가기관은 고객 디지털 자산 보호를 위한 솔루션의 효과성을 평가할 수 있는 기술 전문성을 보유해야 하며, 이 솔루션이 '단일 실패 지점'을 유발하는지 여부도 판단해야 한다. 또한 인가기관은 수탁기관 또는 서비스 제공업체가 고객 디지털 자산을 보유하는 조건 및 약관을 충분히 이해하고, 수탁기관 또는 서비스 제공업체가 파산할 경우 고객의 법적 권리에 중대한 영향을 줄 수 있는지 평가해야 한다. 인가기관은 수탁기관 또는 서비스 제공업체가 본 지침서 제6조 및 제7조에 따라 고객 디지털 자산을 적절히 분리할 책임이 있다.
17. 인가기관의 비상 및 재난 복구 체계는 디지털 자산 커스터디 서비스 위탁 또는 아웃소싱으로 인한 중단 상황도 포함해야 한다. 또한 인가기관은 수탁기관 또는 서비스 제공업체의 회복탄력성(resilience)을 평가하고, 비상 계획 및 절차를 검토해 커스터디 서비스의 가용성을 보장해야 한다.
18. 인가기관은 디지털 자산 커스터디 서비스의 위탁 또는 아웃소싱 계약 체결 시, 전통 금융 활동의 위탁 또는 아웃소싱 계약과 동일한 관련 시스템 및 통제 장치를 유지해야 한다.
19. 위탁 또는 아웃소싱된 업무에 대한 최종 책임 및 책임 소재는 인가기관이 부담한다.
(E) 리스크 공개
20.인가기관은 다음 항목을 포함해 커스터디 체계를 고객에게 명확하고 이해하기 쉬운 방식으로 충분하고 공정하게 공개해야 한다:
-
인가기관과 고객 각자의 권리 및 의무. 인가기관이 파산 또는 청산 절차에 들어갔을 때 고객이 자신의 자산에 대해 가지는 소유권 권리 포함;
-
커스터디 체계. 고객 디지털 자산의 저장 및 분리 방식, 접근 절차 및 시간, 적용 가능한 수수료 및 비용 포함;
-
보안 사고 또는 유용 등으로 인한 고객 디지털 자산 손실을 보상하기 위한 체계;
-
고객 디지털 자산이 다른 고객 자산과 혼합되는 경우 및 관련 리스크;
-
인가기관이 고객 디지털 자산의 법적 및/또는 실질적 소유권을 취득하거나, 이를 양도, 대여, 담보 제공, 재담보 제공 또는 기타 부담을 설정하는 경우 및 관련 리스크;
-
투표, 하드포크, 에어드랍 등 이벤트 발생 시 고객 디지털 자산 처리 방식 및 고객의 해당 권리 및 이익;
-
인가기관은 커스터디 활동과 관련된 잠재적 및/또는 실제 이해 상충의 존재 여부와 성격을 고객에게 포괄적이고 공정하게 공개해야 한다.
(F) 고객 디지털 자산의 기록 보관 및 대조
21. 인가기관은 고객별로 적절한 장부 및 기록을 유지해 고객 디지털 자산의 소유권을 추적하고 기록해야 한다. 여기에는 고객에게 귀속되는 자산의 종류 및 금액, 고객 계좌 간 자산 이동 내역이 포함된다. 고객별 기준으로 정기적이고 빈번하게 고객 디지털 자산의 대조를 수행해야 하며, 관련 오프체인 및 온체인 기록을 고려해야 한다. 불일치 사항이 발견되면 즉시 해결하고 필요 시 고위 경영진에게 보고해야 한다.
22. 인가기관은 커스터디 활동과 관련된 모든 기록을 보관하고 보호하기 위한 시스템 및 통제 조치를 마련해야 하며, 홍콩 금융관리국(HKMA)이 요청할 경우 시기적절하게 해당 기록을 제공해야 한다.
(G) 자금세탁방지 및 테러자금조달방지(AML/CFT)
23. 인가기관은 자금세탁 및 테러자금조달 리스크를 효과적으로 관리하고 완화할 수 있도록 자금세탁방지 및 테러자금조달방지(AML/CFT) 정책, 절차 및 통제 장치를 보유해야 한다. 인가기관은 『자금세탁방지 및 테러자금조달방지 지침(인가기관용)』 및 HKMA의 디지털 자산 커스터디 활동 관련 AML/CFT 지침 문서를 준수해야 한다.
(H) 지속적 모니터링 요구사항
24. 인가기관은 정책 및 절차를 정기적으로 검토하고, 시스템 및 통제 장치, 고객 디지털 자산 커스터디 관련 요건 준수 여부에 대해 독립적인 감사를 수행해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
