a16z: 암호화 자산 보관의 5가지 원칙
글: Scott Walker, Kate Dellolio, David Sverdlov
번역: Luffy, Foresight News
암호화 자산에 투자하는 등록된 투자자문사(RIAs)는 규제의 불확실성과 제한된 자산 수탁 옵션에 직면해 있다. 더욱 복잡한 점은 암호화 자산이 RIAs가 이전까지 관리했던 자산들과는 다른 소유권 및 양도 위험을 수반한다는 것이다. RIAs 내부팀(운영, 준법, 법무 등 부서)은 적격하고 기대에 부응하는 제3자 수탁사를 찾기 위해 최선을 다하고 있지만, 많은 노력을 기울임에도 불구하고 적합한 수탁자를 확보하기 어려워 결국 RIAs가 직접 자산을 보유할 수밖에 없는 실정이다. 따라서 현재 암호화 자산 수탁은 고유한 법적·운영적 리스크를 안고 있다.
업계에는 고객의 암호화 자산을 보호하려는 전문 투자자들에게 이러한 핵심 문제를 해결할 수 있는 원칙 기반 접근 방식이 필요하다. 최근 미국 증권거래위원회(SEC)가 요청한 정보 공모에 응답하면서 우리는 원칙들을 마련하였으며, 이 원칙들이 시행될 경우 기존 『투자자문법』 수탁 규정의 목표를 새로운 암호화 자산 범주로 확장할 수 있을 것이다.
암호화 자산 수탁의 차별성
전통 자산의 소유자는 자산에 대한 통제권을 가지며, 이는 타인이 그 통제권을 행사할 수 없다는 의미다. 그러나 암호화 자산의 경우, 한 그룹의 암호화 자산과 관련된 개인키에 접근할 수 있는 주체가 여러 개일 수 있다.
암호화 자산은 일반적으로 자산 자체에 중요한 경제적 권리와 거버넌스 권리를 내재하고 있다. 전통적인 채무 또는 증권은 배당금이나 이자처럼 「수동적」으로 수익을 창출하며, 자산 취득 후 추가적인 이전이나 조치 없이도 수익을 누릴 수 있다. 반면, 암호화 자산 소유자는 특정 수익 또는 거버넌스 권리를 활용하기 위해 적극적인 행동을 취해야 할 수 있다. 제3자 수탁사의 역량에 따라 RIAs는 이러한 권리를 활성화하기 위해 일시적으로 자산을 수탁 계약 밖으로 이전해야 할 수도 있다. 예를 들어 일부 암호화 자산은 스테이킹(staking)이나 수익 농사(yield farming)를 통해 수익을 창출하거나, 프로토콜 또는 네트워크 업그레이드에 관한 거버넌스 제안에 투표할 권리가 있다. 이러한 전통 자산과의 차이는 암호화 자산 수탁에 새로운 도전 과제를 야기한다.
자기 수탁(self-custody)이 적절한 시기를 추적하기 위해 아래 플로우차트를 개발하였다.
원칙
여기서 제시하는 원칙들은 RIAs가 수탁의 미묘한 문제들을 이해하고 고객 자산 보호라는 책임을 유지하도록 돕기 위한 것이다. 현재 암호화 자산에 특화된 적격 수탁자(은행 또는 브로커 딜러) 시장은 극히 좁다. 따라서 우리의 초점은 해당 기관이 『투자자문법』상의 법적 지위를 갖추었는지 여부보다, 암호화 자산 수탁에 필수적인 실질적 보호 조치를 제공할 수 있는 능력에 두고 있다.
우리는 실질적 보호 조치를 충족하는 제3자 수탁 솔루션이 이용 불가능하거나 경제적·거버넌스 권리를 지원하지 않을 경우, 실질적 보호 요건을 충족할 역량을 갖춘 RIAs가 자기 수탁을 선택할 수 있도록 해야 한다고 제안한다.
우리의 목적은 수탁 규정의 적용 범위를 증권 외부로 확장하는 것이 아니다. 본 원칙들은 증권에 해당하는 암호화 자산에 적용되며, 다른 자산 유형에 대해서는 RIAs의 수탁 의무를 이행할 수 있는 기준을 설정한다. RIAs는 증권이 아닌 암호화 자산도 유사한 조건 하에서 보유하려는 노력을 기울여야 하며, 모든 자산의 수탁 방식을 문서화하고, 자산 유형별로 수탁 방식이 상이한 이유를 명확히 기록해야 한다.
원칙 1: 법적 지위가 암호화 자산 수탁자의 자격을 결정해서는 안 된다
법적 지위와 그 지위에 따른 보호 장치는 수탁자의 고객에게 중요하지만, 암호화 자산 수탁에서는 전부가 아니다. 예를 들어 연방특허 은행과 브로커 딜러는 수탁 규정의 적용을 받으며 고객에게 엄격한 보호를 제공하지만, 주(state) 특허 트러스트 회사나 기타 제3자 수탁사도 동등한 수준의 보호를 제공할 수 있다.
수탁자의 등록 여부는 암호화 자산 증권을 수탁할 수 있는 유일한 결정 요소가 되어서는 안 된다. 암호화 분야에서 「적격 수탁자」의 범위는 아래 항목들을 포함하도록 확대되어야 한다:
-
주 특허 트러스트 회사(즉, 연방 또는 주 은행 감독기관의 감독과 검사를 받지만, 『투자자문법』상 「은행」 정의 요건을 충족할 필요는 없는 기관);
-
(제안된) 연방 암호화 시장 구조 입법에 따라 등록된 모든 기관;
-
등록 상태와 관계없이 엄격한 고객 보호 기준을 충족함을 입증할 수 있는 기타 모든 기관.
원칙 2: 암호화 자산 수탁자는 적절한 보호 조치를 마련해야 한다
어떤 기술 도구를 사용하든, 수탁자는 암호화 자산 수탁을 위해 일정한 보호 조치를 마련해야 한다. 이러한 조치는 다음을 포함한다:
1. 권한 분리(separation of powers): RIAs의 협조 없이 암호화 자산 수탁자가 자산을 인출할 수 없어야 한다.
2. 자산 격리(asset segregation): 암호화 자산 수탁자는 RIAs를 위해 보유한 자산을 다른 기관을 위해 보유한 자산과 섞어서는 안 된다. 다만 등록된 브로커 딜러는 단일 통합 지갑(single integrated wallet)을 사용할 수 있으나, 이 경우 해당 자산의 소유권 기록을 항상 최신 상태로 유지하고 관련 RIAs에 정기적으로 공개해야 한다.
3. 수탁 하드웨어(custodial hardware): 암호화 자산 수탁자는 보안 리스크를 유발하거나 손상 위험이 있는 수탁 하드웨어 또는 기타 도구를 사용해서는 안 된다.
4. 감사(audit): 암호화 자산 수탁자는 매년 최소한 한 번의 재무 및 기술 감사를 받아야 한다. 이러한 감사는 다음을 포함해야 한다:
PCAOB 등록 감사기관이 수행하는 재무 감사:
-
SOC(Service Organization Control) 1 감사;
-
SOC 2 감사; 그리고
-
소유자 관점에서의 암호화 자산 확인, 측정 및 공시.
기술 감사:
-
ISO 27001 인증;
-
침투 테스트(penetration testing); 그리고
-
재해 복구 절차 및 사업 연속성 계획(business continuity planning) 테스트.
5. 보험(insurance): 암호화 자산 수탁자는 충분한 보험 커버리지를 가져야 하며, 보험이 불가능할 경우 충분한 준비금을 마련해야 한다.
6. 공시(disclosure): 암호화 자산 수탁자는 매년 RIAs에게 암호화 자산 수탁과 관련된 주요 리스크 목록과 이를 완화하기 위한 서면 감독 절차 및 내부 통제 조치를 제공해야 한다. 수탁자는 분기별로 이를 평가하여 공시 내용의 업데이트 필요성을 판단해야 한다.
7. 수탁 지역(jurisdiction): 암호화 자산 수탁자는 해당 지역 법률상 파산 시 수탁 자산이 파산재단의 일부가 되는 관할 지역에서는 암호화 자산을 수탁해서는 안 된다.
또한, 우리는 암호화 자산 수탁자가 다음 각 단계에서 관련된 프로세스에 대해 아래 보호 조치를 시행할 것을 권장한다:
-
준비 단계: 수탁할 암호화 자산을 검토하고 평가해야 하며, 여기에는 키 생성 과정과 거래 서명 절차, 오픈소스 지갑 또는 소프트웨어 지원 여부, 키 관리 과정에서 사용되는 모든 하드웨어 및 소프트웨어의 출처를 포함한다.
-
키 생성: 이 과정의 모든 단계에서 암호화 기술을 사용해야 하며, 개인키 생성에는 여러 암호화 키가 필요하다. 키 생성 과정은 「수평적」(즉, 동일한 레벨에 여러 키 보유자)이면서 동시에 「수직적」(다양한 레벨의 암호화)이어야 한다. 또한, 법정 인원(quorum) 요건은 인증 담당자의 실제 현장 참여를 보장해야 한다.
-
키 저장: 키는 절대로 평문 형태로 저장되어서는 안 되며, 반드시 암호화된 형태로만 저장되어야 한다. 키는 지리적 위치 또는 접근 권한을 가진 인원을 통해 물리적으로 분리되어야 한다. 키 사본 보관을 위해 하드웨어 보안 모듈(HSM)을 사용할 경우, 반드시 미국 연방정보처리표준(FIPS)의 보안 등급을 충족해야 한다. 엄격한 물리적 격리 및 승인 절차를 시행해야 하며, 자연재해, 정전 또는 재산 훼손 발생 시 운영을 유지할 수 있도록 최소 두 단계 이상의 암호화 중복(redundancy)을 유지해야 한다.
-
키 사용: 지갑은 신원 인증을 요구해야 한다. 즉, 사용자의 신원을 확인하고 승인된 당사자만 지갑에 접근할 수 있어야 한다. 지갑은 검증된 오픈소스 암호화 라이브러리를 사용해야 한다. 또 하나의 모범 사례는 하나의 키를 다양한 용도로 사용하지 않는 것이다. 예를 들어, 암호화와 서명용 키는 별도로 보관해야 한다. 「최소 권한 원칙(minimum privilege principle)」을 따르며, 보안 침해 발생 시 자산, 정보, 또는 작업에 대한 접근은 시스템 운영에 절대적으로 필요한 당사자에게만 제한되어야 한다.
원칙 3: 암호화 자산 수탁 규정은 등록 투자자문사가 수탁된 자산의 경제적 또는 거버넌스 권리 행사를 허용해야 한다
고객이 별도로 지시하지 않는 한, RIAs는 수탁된 암호화 자산과 관련된 경제적 또는 거버넌스 권리를 행사할 수 있어야 한다. 이전 SEC 집행부 시절, 토큰 분류의 불확실성으로 인해 많은 RIAs가 보수적인 접근을 취하며 모든 암호화 자산을 적격 수탁자에게 수탁했다. 앞서 언급했듯이, 선택 가능한 수탁자 시장은 제한적이며, 특정 자산을 지원하려는 적격 수탁자는 종종 단 한 곳뿐이다.
이러한 상황에서 RIAs는 경제적 또는 거버넌스 권리 행사를 요청할 수 있지만, 수탁자가 여러 이유로 그러한 권리를 제공하지 않기로 선택할 수 있다. 결과적으로 RIAs는 다른 제3자 수탁자를 선택하거나 자기 수탁을 통해 이러한 권리를 행사할 권한이 없다고 느끼게 된다. 이러한 경제적 및 거버넌스 권리에는 스테이킹, 수익 농사, 투표 등이 포함된다.
본 원칙에 따라, RIAs는 관련 보호 조치를 충족하는 제3자 암호화 자산 수탁자를 선택하여 수탁된 자산의 경제적 또는 거버넌스 권리를 행사할 수 있어야 한다. 제3자 수탁자가 이 두 조건을 동시에 만족하지 못할 경우, RIAs가 그러한 권리를 행사하기 위해 자산을 일시적으로 자기 수탁으로 이전하는 것은 수탁에서 벗어난 것으로 간주되어서는 안 된다.
모든 제3자 수탁자는 자산이 여전히 수탁 상태일 때 RIAs가 이러한 권리를 행사할 수 있도록 최선을 다해야 하며, RIAs의 승인을 받은 경우 체인 상 자산과 관련된 권리 행사를 위해 상업적으로 합리적인 조치를 취해야 한다.
암호화 자산의 특정 권리 행사를 위해 자산을 수탁 계약 밖으로 이전하기 전에, RIAs 또는 수탁자는 먼저 서면으로 해당 권리가 수탁 밖 이전 없이도 행사 가능한지 여부를 판단해야 한다.
원칙 4: 암호화 자산 수탁 규정은 최적 실행(best execution)을 실현할 수 있도록 유연성을 가져야 한다
RIAs는 자산 거래에 있어 최적 실행 의무를 진다. 이를 위해 RIAs는 자산을 암호화 거래소로 이전하여 최적의 실행을 보장할 수 있으며, 자산 또는 수탁자의 상태와 관계없이, 해당 거래소의 보안을 확보하기 위한 필수 조치를 이미 취했거나, 암호화 시장 구조 입법이 확정된 후 해당 입법에 의해 규제되는 기관으로 암호화 자산을 이전한 경우에 가능하다.
RIAs가 최적 실행을 위해 암호화 자산을 거래소로 이전하는 것이 타당하다고 판단하면, 이러한 이전은 수탁에서 벗어난 것으로 간주되어서는 안 된다. 이는 RIAs가 해당 거래소가 최적 실행에 적합하다고 합리적으로 판단해야 함을 요구한다. 만약 해당 거래소에서 거래가 제대로 이루어지지 못할 경우, 자산은 즉시 암호화 자산 수탁자에게 반환되어야 한다.
원칙 5: 특정 상황에서는 RIAs의 자기 수탁을 허용해야 한다
제3자 수탁을 사용하는 것이 여전히 암호화 자산 수탁의 기본 선택이어야 하지만, 다음과 같은 경우에는 RIAs가 암호화 자산을 자기 수탁할 수 있도록 허용해야 한다:
-
RIAs가 요구하는 보호 조치를 충족할 수 있는 제3자 수탁자를 찾을 수 없다고 판단한 경우;
-
RIAs 자체의 수탁 체계가 이용 가능한 제3자 수탁자 수준의 보호 조치 이상을 제공하는 경우;
-
암호화 자산과 관련된 경제적 또는 거버넌스 권리를 행사하기 위해 자기 수탁이 필요한 경우.
RIAs가 이러한 이유로 암호화 자산의 자기 수탁을 결정할 경우, 매년 자기 수탁의 정당성이 지속되고 있음을 확인하고, 고객에게 자기 수탁 사실을 공개하며, 해당 암호화 자산은 『수탁 규정』의 감사 요건을 충족해야 한다.
이러한 원칙에 기반한 암호화 자산 수탁 접근 방식은 RIAs가 수탁 의무를 다하면서도 암호화 자산의 고유한 특성에 적응할 수 있도록 보장한다. 경직된 분류보다 실질적 보호에 초점을 맞춤으로써, 본 원칙들은 고객 자산 보호와 자산 기능 활용을 위한 현실적인 발전 경로를 제시한다. 규제 환경이 변화함에 따라 이러한 보호 조치에 기반한 명확한 기준은 RIAs가 암호화 자산을 책임감 있게 관리할 수 있도록 할 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
a16z
