
24년 홍콩 가상자산 보관 서비스 제공자(TCSP) 최신 신청 정책 한눈에 보기
글: Aiying
홍콩에서는 가상자산 서비스 제공자(VASP) 라이선스 제도가 도입되면서 거래소 서비스가 소매 투자자에게 처음으로 개방되었으며, 이는 홍콩이 가상자산 분야에서 크게 진전을 이루었다는 것을 의미한다. 이 새로운 제도는 다수의 플랫폼과 기관들이 라이선스 신청에 나서게 유도할 뿐 아니라, 투자자의 자산 보호를 확보하기 위한 더욱 엄격한 준법 요구사항을 도입하고 있다. 특히 홍콩 증권선물위원회(SFC)는 거래소가 전액 출자된 자회사를 통해 고객의 자금 및 가상자산을 신탁 방식으로 보유할 것을 요구하고 있으며, 이는 곧 거래소가 VASP 라이선스와 더불어 TCSP(Trust or Company Service Providers, 신탁 또는 법인 서비스 제공자) 라이선스도 동시에 취득해야 함을 의미한다. TCSP 라이선스는 이러한 체계 내에서 핵심적인 역할을 수행하며, 가상자산의 독립적 보관을 위한 새로운 비즈니스 시나리오를 제공함으로써 자산의 안전성과 독립성을 보장한다.
최근 미국 증권거래위원회(SEC)는 비트코인 스팟 ETF의 승인을 결정하였으며, 코인베이스(Coinbase)는 8개의 수탁기관 중 하나로 선정되었다. 이는 코인베이스의 수익 성장을 견인하는 동시에 디지털 자산 수탁 서비스가 실력 있는 기관들 사이에서 경쟁의 핵심 영역으로 부상했음을 시사한다. 2024년 2월 20일, 홍콩 금융관리국(HKMA)은 디지털 자산 수탁 활동 관련 지침을 발표하여, 기관이 가상자산 수탁 서비스 제공자(TCSP) 라이선스를 신청할 때 따르야 할 거버넌스 및 리스크 관리, 고객 자산의 격리 및 보호, 위탁 및 아웃소싱 등에 대한 명확한 기준을 제시하였다.
또한 단독 가상자산 수탁 서비스의 경우, 홍콩 고등법원 원고법원은 Re Gatecoin Ltd [2023] HKCFI 914 판결을 통해 가상자산이 「재산(property)」에 해당하며, 이를 대상으로 한 신탁(trust) 설정이 가능하다는 점을 확인하였다. 따라서 관련 가상자산 수탁 업무가 가상자산에 대한 「명시적 신탁 또는 유사한 법적 안배」를 포함하는 경우, 수탁자는 홍콩 회사등기소로부터 TCSP 라이선스를 취득해야 한다. 예를 들어 지갑 서비스 사업자나 수탁기관(custodian)이 여기에 해당된다.
1. 홍콩 가상자산 수탁 서비스 제공자(TCSP) 최신 신청 정책
(A) 홍콩 TCSP 라이선스 신청 요건
-
「가상자산 서비스 제공자 라이선스 제도」에 따라 홍콩 TCSP 라이선스를 신청하려면 다음 조건을 충족해야 한다:
-
홍콩에서 설립된 법인이어야 한다
-
좋은 재무 상태와 신용도를 갖추고 있어야 한다
-
가상자산 업무를 관리할 수 있는 적절한 인력과 시스템을 보유하고 있어야 한다(최신 HKMA의 디지털 자산 수탁 활동 지침 참조)
-
자금세탁방지(AML) 및 테러자금조달방지(CFT)를 위한 효과적인 정책 및 절차를 수립하고 시행해야 한다
(B) 홍콩 TCSP 라이선스 신청 절차:
-
신청 서류 준비
-
SFC에 신청 제출
-
SFC가 신청 내용 검토
-
SFC가 라이선스 발급 여부 결정
-
홍콩 TCSP 라이선스 신청에 필요한 서류
(C) 홍콩 TCSP 라이선스 신청에 필요한 서류에는 다음이 포함된다:
-
신청서
-
법인 등록 서류
-
재무 상태 입증 서류
-
임직원 명단 및 이력서
-
자금세탁방지 및 테러자금조달방지 정책 및 절차
-
사업 계획서
-
기술 구조
-
리스크 관리 조치(최신 HKMA 디지털 자산 수탁 활동 지침 참조)
-
SFC가 추가로 요구하는 기타 서류
-
SFC의 신청 검토 절차
(D) SFC는 신청 내용을 다음과 같이 검토한다:
-
신청 서류의 완전성 여부 확인(최신 HKMA 디지털 자산 수탁 활동 지침 참조)
-
신청자가 요건을 충족하는지 여부 검토
-
신청자에 대한 현장 실사 수행
(E) 심사 기간
-
SFC는 신청 접수 후 6개월 이내에 심사 결과를 결정한다. SFC가 라이선스 발급을 결정할 경우, 신청자에게 라이선스를 발급한다.
(F) 최신 정책이 홍콩 TCSP 라이선스 신청에 대해 제시한 새로운 요구사항:
-
신청자는 최소 500만 홍콩달러의 자본금을 보유해야 한다
-
신청자는 가상자산 업무의 규제 준수를 감독할 책임 있는 임원(Responsible Officer, RO)을 최소 2명 이상 고용해야 한다
-
KYC/AML 정책, 거래 모니터링, 정보 보안 등을 포함한 효과적인 리스크 관리 조치를 수립하고 시행해야 한다
2. 2024년 2월 20일 홍콩 금융관리국(HKMA)이 발표한 디지털 자산 수탁 활동 지침 요약(자세한 내용은 지침 링크 참조)
(A) 거버넌스 및 리스크 관리
-
디지털 자산 수탁 서비스를 제공하기 전, 승인 기관은 철저한 리스크 평가를 수행하고, 이에 따른 적절한 거버넌스 전략, 절차 및 통제 조치를 수립·실행하여 리스크를 완화해야 하며, 관련 법률 및 규제 프레임워크를 준수해야 한다. 기관의 경영진은 서비스 출시 전 및 운영 기간 동안 지속적으로 수탁 활동과 관련된 리스크를 효과적으로 모니터링하고 완화할 책임이 있다.
-
기관은 효과적인 거버넌스 및 리스크 관리를 지원하기 위해 전문 지식과 인력을 포함한 충분한 자원을 확보해야 한다. 또한 디지털 자산 산업의 급속한 변화를 고려하여, 수탁 서비스 관련 직원들에게 지속적인 교육을 제공해 필요한 지식과 기술을 유지하도록 해야 한다.
-
기관은 명확한 책임 소재 체계를 마련해야 하며, 이에는 역할 정의, 책임 분담, 보고 체계뿐 아니라 잠재적 또는 실제적인 이해 상충 상황을 식별하고 처리하기 위한 전략 및 절차가 포함되어야 한다. 마지막으로, 업무 연속성을 보장하기 위해 포괄적인 백업 및 재해 복구 계획을 수립하고 유지해야 한다.
(B) 고객 디지털 자산의 격리
-
고객 디지털 자산의 안전성과 독립성을 보장하기 위해 승인 기관은 고객 자산을 자체 자산과 엄격히 분리하여 지정된 고객 계좌에 보관해야 한다. 이 조치는 기관이 파산하거나 해산될 경우 고객 자산이 기관의 채무 변제에 사용되는 것을 방지하기 위한 것이다.
-
승인 기관은 고객 디지털 자산에 대한 어떠한 양도, 대출, 담보 설정 또는 기타 형태의 권리 설정을 무단으로 수행해서는 안 된다. 이러한 조치는 오직 다음 조건 중 하나에 해당할 경우에만 허용된다: 거래 결제 또는 고객의 미납료 지불 목적, 고객이 사전에 명시적으로 동의한 경우, 또는 법률에 의해 요구되는 경우. 기관은 고객 자산이 약정된 목적 외에는 사용되지 않도록 효과적인 조치를 취하고, 무단 사용을 방지해야 한다.
(C) 고객 디지털 자산의 보호
승인 기관은 고객의 디지털 자산이 충분히 보호되고 적절히 관리되도록 보장해야 하며, 자산의 유실, 도난, 사기 또는 무단 접근 등의 위험을 방지하기 위한 강력한 시스템과 통제 조치를 구축해야 한다. 이에는 다양한 보안 위협에 대응하기 위한 리스크 기반 접근법이 포함되며, 특히 공개 무허가 분산원장(DLT) 네트워크 사용 시 더 높은 보안 리스크가 발생할 수 있음을 고려해야 한다.
이를 위해 기관은 다음과 같은 일련의 보안 전략 및 절차를 시행해야 한다:
-
고객 디지털 자산의 접근, 이체 및 관리 과정에서 적절한 권한 부여 및 검증 절차를 확보하며, 시드(seed) 및 개인키(private key)의 안전한 관리를 포함하여 생성, 배포, 저장, 사용 및 폐기 전 과정을 관리해야 한다.
-
개인키 및 시드는 안전한 환경에서 생성 및 저장되어야 하며, 온라인 공격 리스크를 줄이기 위해 오프라인 생성 및 저장을 우선시하고, 단일 장애점(single point of failure)을 방지하기 위해 키 분할(sharding) 기술을 적용해야 한다.
-
적절한 심사 및 교육을 받은 승인된 인원만 접근 권한을 부여하고, 다중요소 인증(MFA)과 같은 강력한 인증 방법을 사용해야 한다.
-
저장 장치 및 애플리케이션 접근에 대한 철저한 감사 추적(audit trail)을 유지하고, 암기 문구(복구 구문) 및 개인키에 대해 원격지 백업 및 비상 대응 계획을 수립하여 중요한 정보의 안전성과 복구 가능성을 보장해야 한다.
-
고객 자산 보호를 위한 추가 조치로서 대부분의 자산을 콜드 스토리지(cold storage)에 보관하고, 고객이 사전 등록한 화이트리스트 주소를 통해서만 자산의 입출금이 이루어지도록 해야 하며, 스마트 계약의 보안성도 확보해야 한다.
-
고객에게 안전한 사용자 인터페이스 또는 포털을 제공하고, 효과적인 고객 인증 및 알림 제어 조치를 시행하며, 최신 보안 가이드라인을 준수해야 한다.
또한 승인 기관은 보안 분야의 최신 동향을 지속적으로 모니터링하고, 기존 보안 통제 조치의 유효성을 정기적으로 평가하며, 산업의 모범 사례 및 국제 표준에 따라 보호 조치를 업데이트하여 고객 디지털 자산의 안전성과 신뢰성을 유지해야 한다.
(D) 위탁 및 아웃소싱
-
가상자산 수탁 분야에서 승인 기관은 수탁 업무를 위탁하거나 아웃소싱할 적합한 파트너를 선택하는 중요한 결정을 해야 한다. 기본 원칙에 따라, 이러한 업무는 반드시 적절하게 승인받은 기관 또는 해당 라이선스를 보유한 가상자산 거래소에만 위탁할 수 있다. 특히 공개 무허가 DLT 네트워크 상에서 운영되는 무허가 토큰의 경우, 위탁 또는 아웃소싱 결정을 신중하게 평가해야 한다.
-
위탁 또는 아웃소싱 파트너를 선정할 때 승인 기관은 잠재적 파트너의 재무 상태, 평판, 경영 능력, 기술 역량, 그리고 관련 법률 및 규제 준수 능력을 철저히 실사(due diligence)해야 한다. 또한 위탁자 또는 서비스 제공자가 안전하고 신뢰할 수 있는 솔루션을 제공하며, 단일 장애점을 유발하지 않고 고객 자산의 법적 권리를 어느 상황에서도 침해하지 않도록 해야 한다.
-
승인 기관은 위탁자 또는 서비스 제공자의 성과를 지속적으로 평가할 수 있는 효과적인 모니터링 및 통제 메커니즘을 구축해야 한다. 또한 비상 사태 및 재해 복구 계획은 수탁 서비스 중단을 초래할 수 있는 다양한 상황을 포괄하여 서비스의 지속적인 가용성을 보장해야 한다.
-
궁극적으로 위탁 또는 아웃소싱은 효율성과 전문성을 높일 수 있지만, 승인 기관은 여전히 최종 책임과 책임 소재를 지며, 고객 자산의 안전성과 규정 준수를 보장하고, 전통 금융 활동과 동일한 수준의 시스템 및 통제 기준을 유지해야 한다.
(E) 리스크 공개
승인 기관은 다음 항목을 포함하여 고객에게 명확하고 이해하기 쉬운 방식으로 수탁 안배를 충분하고 공정하게 공개해야 한다:
-
승인 기관과 고객 각각의 권리와 의무, 특히 승인 기관이 파산 또는 청산 절차에 들어갈 경우 고객이 자신의 자산에 대해 가지는 소유권 권리;
-
수탁 안배, 즉 고객 디지털 자산의 저장 및 격리 방식, 자산 접근 절차 및 시간, 적용 가능한 수수료 및 비용;
-
보안 사고 또는 자산 유용 등으로 인한 고객 디지털 자산 손실에 대한 보상 안배;
-
고객 디지털 자산이 다른 고객의 자산과 혼합 보관되는 경우 및 관련 리스크;
-
승인 기관이 고객 디지털 자산의 법적 소유권 및/또는 실질적 소유권을 취득하거나, 이를 양도, 대출, 담보 설정, 재담보 설정 또는 기타 담보를 설정하는 경우와 그에 수반되는 리스크;
-
투표, 하드포크, 에어드랍 등의 사건 발생 시 고객 디지털 자산의 처리 방식 및 고객이 가지는 권리와 이익;
-
승인 기관은 수탁 활동과 관련된 잠재적 및/또는 실제적인 이해 상충의 존재 여부와 그 성격을 고객에게 포괄적이고 공정하게 공개해야 한다.
(F) 고객 디지털 자산의 기록 보관 및 대조
-
승인 기관은 고객마다 적절한 장부 및 기록을 유지하여 고객 디지털 자산의 소유권을 추적하고 기록해야 하며, 고객에게 미치는 자산의 종류 및 금액, 고객 계좌 간 자산 이동 내역을 포함해야 한다. 고객 기준으로 정기적이고 빈번하게 고객 디지털 자산에 대한 대조 작업을 수행해야 하며, 관련 체인 외(off-chain) 및 체인 내(on-chain) 기록을 고려해야 한다. 불일치 사항이 발견될 경우 즉시 해결하고 필요 시 고위 경영진에게 보고해야 한다.
-
승인 기관은 수탁 활동과 관련된 모든 기록을 보관하고 보호할 수 있는 시스템과 통제 조치를 마련해야 하며, 홍콩 금융관리국(HKMA)이 요청할 경우 즉시 기록을 제공할 수 있어야 한다.
(G) 자금세탁방지 및 테러자금조달방지(AML/CFT)
승인 기관은 자금세탁 및 테러자금조달 리스크를 효과적으로 관리하고 완화할 수 있도록 AML/CFT 정책, 절차 및 통제 조치를 마련해야 하며, 「자금세탁방지 및 테러자금조달방지 지침(승인 기관용)」 및 HKMA의 디지털 자산 수탁 활동 관련 AML/CFT 지침 문서를 준수해야 한다.
(H) 지속적 모니터링 요구사항
승인 기관은 정기적으로 자체 정책 및 절차를 검토하고, 시스템 및 통제 조치, 그리고 고객 디지털 자산 보관 관련 규제 준수 여부에 대해 독립적인 감사를 실시해야 한다.
3. 어려움과 도전 과제
HKMA가 가상자산 수탁 활동에 대한 지침을 발표하면서 기준이 이전보다 훨씬 명확해졌고, 더 이상 SFC의 의도를 추측할 필요가 없어졌지만, 홍콩에서 TCSP 라이선스 요건을 충족하는 가상자산 수탁 서비스 회사를 설립하는 것은 여전히 큰 도전이다. 이미 운영 중인 거래소 및 지갑 기관의 경우, 이 과정은 IT 인프라의 완전한 구축뿐만 아니라, 규제 정책에 대한 깊은 이해, 규정 준수 보장, 자금세탁방지 조치 통합, 보안 통제 시스템 구축, 블록체인 지갑 기술 개발 등이 요구된다. 이러한 작업들은 광범위한 법률 자문, 산업 모범 사례 비교, 운영 가능성 검증이 필요하다.
또한 홍콩의 새로운 정책은 가상자산의 보안성에 대해 더 높은 수준을 요구하고 있는데, 전체 자산에 대한 완전한 보험 가입의 어려움(비용이 매우 높아 많은 기관들이 주저하게 만든다), 기업 수준의 수탁 기술 신뢰 및 제3자 수탁 신용을 구축하는 데 드는 시간, 독립 계좌 수탁이라는 규제 요구사항의 복잡성 등이 문제로 대두된다. 이러한 도전 과제들은 홍콩에서 TCSP 수탁 서비스 제공자를 설립하는 것이 얼마나 복잡한지를 보여주지만, 철저한 계획과 기술 혁신을 통해 극복할 수 있다. 핵심은 사업에 대한 깊은 이해를 바탕으로 인력 분담, 운영 규칙, 리스크 통제 조치를 포함한 포괄적인 거버넌스 전략을 수립하여 규제 요건을 원활히 충족하고 프로젝트를 성공적으로 실행하는 데 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












