등록되지 않은 모든 암호화폐 기업은 싱가포르에서 철수해야 하며, 마감일은 이달 말이며 유예기간은 없다.
글: jk, Odaily 스타 데일리
싱가포르는 아시아의 중심부에 위치하며 개방성과 신중함을 겸비한 금융 정책으로 인해 전 세계 Web3 창업자들이 가장 선호하는 거점이었지만, 지금은 전례 없는 규제 대변혁의 물결을 일으키고 있다.
2025년 5월 30일, 싱가포르 통화청(MAS)은 디지털 토큰 서비스 제공자(DTSP)를 대상으로 한 규제 회신 문서를 공식 발표하며, 이 새로운 규정이 6월 30일부터 전면 시행될 것임을 알렸다. 이번 정책은 어떠한 유예 기간도 두지 않을 뿐 아니라, '극히 제한적인 라이선스 발급 기준'과 '형사 책임'을 최저선으로 삼아, 암호화폐 피난처로 여겨졌던 '싱가포르 모델'을 거의 하루아침에 종식시켰다.
새롭게 시행되는 규정의 주요 내용 8가지를 살펴보자.
1. 핵심 요약: 말단까지 라이선스 취득 또는 서비스 중단
싱가포르 통화청(MAS)은 2025년 5월 30일 발표한 문서를 통해 디지털 토큰 서비스 제공자(DTSP)에 대한 새로운 규제 프레임워크를 공식 확정했다. 그 핵심은 <金融服务与市场法案>(FSM Act) 제137조를 통해 싱가포르 내 사업장 소재 여부와 관계없이 해외에 디지털 토큰 서비스를 제공하는 모든 개인 및 기관에 대해 DTSP 라이선스 의무를 부과하는 것이다.
MAS는 명확히 밝혔다. 서비스 대상이 싱가포르 현지 고객인지 여부와 무관하게, 서비스 행위 자체가 싱가포르 내 '사업장'에서 이루어진다면 반드시 DTSP 라이선스를 취득해야 하며, 그렇지 않을 경우 불법 운영으로 간주된다는 것이다. 과거에는 해외 고객을 대상으로 하는 서비스라면 싱가포르에 등록된 기업이라도 라이선스가 필요하지 않았다.
더욱 엄격한 점은 MAS가 이번 회신문에서 어떠한 유예 기간도 설정하지 않았다는 사실이다. 새로운 규정의 적용 대상이 되는 모든 주체는 2025년 6월 30일 이전에 반드시 DTSP 라이선스를 취득하거나, 모든 디지털 토큰 서비스를 완전히 중단해야 한다. MAS는 라이선스 신청 승인을 오직 "극히 제한적인 상황에서만" 허용할 것이며, 이는 대부분의 서비스 제공자가 더 이상 싱가포르에서 운영할 수 있는 조건을 갖추지 못했음을 의미한다. 해당 라이선스 규정을 위반할 경우 형사 범죄로 간주되며, FSM Act에서 규정한 엄격한 처벌을 받게 된다.
2. 어떤 기업들이 영향을 받는가?
이번 MAS의 새 규정으로 가장 큰 타격을 받는 기업들은 DTSP 라이선스를 보유하지 않았지만, 싱가포르에 실질적 사무소나 핵심 팀원을 두고 있는 Web3 기업들로, 특히 다음 두 가지 유형이 해당된다:
-
싱가포르에 본사 또는 주요 사업장을 두고 있는 국제 암호화폐 기관, 특히 싱가포르를 아시아태평양 거점으로 삼았던 거래소들로서, 일부 서비스 모듈이 DTSP 승인을 받지 못한 경우에도 여전히 규제 위반에 해당할 수 있다.
-
싱가포르에 등록되어 있지만 글로벌 사용자를 대상으로 서비스하는 Web3 기업들, 즉 라이선스가 없는 DEX(탈중앙화거래소), 지갑, 크로스체인 프로토콜 개발팀들로, 싱가포르를 법적 등록지로 삼고 있으면서도 실제 사업은 해외를 대상으로 하는 DeFi 프로토콜, NFT 플랫폼, 체인 게임 개발팀 등이 포함된다.
예를 들어, 특정 Uniswap 포크 프로젝트나 크로스체인 브릿지 팀의 핵심 기술 팀이 싱가포르에서 근무한다면, 전 세계 사용자를 대상으로 한다 하더라도 허가를 받지 않은 이상 규제 리스크에 노출된다.
3. DTSP 라이선스 취득 방법: 어렵지 않은가?
DTSP(디지털 토큰 서비스 제공자) 라이선스의 신청 요건은 극도로 높다. MAS는 최신 회신문에서 "DTSP 라이선스는 극히 제한적인 상황에서만 부여될 것(‘A DTSP licence will only be granted under extremely limited circumstances.’)"이라고 명시했다. 즉, 라이선스 취득은 개방적이거나 일반적인 행정 절차가 아니라, 신중한 규제 논리 아래 특수한 예외로서만 승인되는 것이다.
우선 신청자는 완벽한 자금세탁방지 및 테러자금조달방지(AML/CFT) 통제 시스템을 구축하고 있음을 입증해야 한다. 여기에는 고객확인절차(CDD), 의심스러운 거래 보고 메커니즘, 기술 및 사이버 보안 방어, 제3자와의 협력 시 실사 절차, IT 시스템 리스크 관리 및 사이버 보안 조치(FSM-N3 1 공지에서 규정한 최소 사이버 보안 요구사항 충족 필요), 내부 준법 조직 구조(준법 담당자 및 리스크 관리 책임자 등 핵심 인력 배치 포함) 등의 요건이 포함된다.
MAS는 신청자의 준법 역량, 사업 투명성, 리스크 관리 메커니즘, 인력 자격 등에 대해 체계적인 평가를 실시한다. 특히 고객 신원 확인, 거래 추적 및 데이터 보존 측면에서는 DTSP 라이선스 보유자가 전통 금융기관에 버금가거나 오히려 더 높은 수준의 감독 강도를 받게 될 것이다.
따라서 DTSP 라이선스는 단순히 '취득하기 어렵다'는 것을 넘어서, 정책적 논리 차원에서 '광범위한 발급을 장려하지 않는' 허가 제도라고 할 수 있다. MAS의 규제 목표는 더 많은 암호화폐 서비스 제공자들이 규제에 적합하도록 돕는 것이 아니라, 고위험 주체들을 능동적으로 걸러내어 싱가포르가 Web3 활동으로 인해 입을 수 있는 평판 리스크와 금융 시스템적 리스크를 최소화하는 데 있다.
4. 원격 근무자: 해외 기업을 위해 원격 근무 가능하나, 여전히 리스크 존재
MAS는 이번 DTSP 신규 규정에서 원격 근무자에 대한 입장을 특히 엄격하고 구체적으로 밝혔으며, 그 핵심 논리는 다음과 같이 요약할 수 있다. "당신이 ‘싱가포르에 있고, 업무는 해외’라면, 집에서 근무하더라도 라이선스 의무가 발생할 수 있다."
MAS는 명확히 지적했다. 싱가포르 내 '사업장'에서 디지털 토큰 서비스(DT 서비스)를 수행하여 해외 고객에게 제공하는 개인 모두가 <金融服务与市场法案> 제137조에 따라 DTSP 라이선스를 신청해야 한다고. 여기서 말하는 '사업장'의 정의는 매우 광범위하며, 정식 사무실뿐 아니라 공유 오피스 공간, 나아가 가정 내 원격 근무 장소까지 포함될 수 있다. 이는 원격 근무자라도 당연히 규제 의무로부터 면제되지 않음을 의미한다.
다만 MAS는 한 가지 예외를 인정한다. 외국에 등록되었으며 오직 외국 사용자만을 대상으로 하는 기업에 고용된 개인으로서, 그들의 업무가 고용 관계의 일부분에 해당한다면(예: 원격으로 코드 작성을 하거나 운영 지원 업무를 처리하는 경우), 해당 직원의 업무 자체는 불법이 아니며 라이선스 의무도 발생하지 않는다. 다만 이 예외는 정식 '직원' 신분에만 적용되며, 독립 컨설턴트, 계약자 또는 고용 계약이 없는 창업자 등에는 해당하지 않는다.
그러나 실제로는 여전히 많은 재량 판단의 여지가 있다. 예를 들어 MAS는 '직원'이 프로젝트 창업자, 지분 보유자 또는 공동 창업자를 포함하는지 여부를 명확히 정의하지 않았으며, 일부 업무를 외주하는 것이 준법 지위에 영향을 미치는지도 명시하지 않았다. 또한 싱가포르 내 원격 근무자가 비즈니스 협상을 위해 고객을 방문하거나 공유 오피스를 이용하는 등의 행동이 싱가포르에서 DT 서비스를 제공하는 것으로 간주되어 규제 대상이 될 수 있는지도 불분명하다.
따라서 싱가포르에 있는 원격 근무자들에게 있어 '업무가 국내 시장과 관련되지 않음'이라는 이유만으로는 더 이상 충분한 준법 보장을 받을 수 없다. MAS의 입장은 분명하다. 개인이 싱가포르에 위치해 있고, 그 업무 내용이 해외를 향한 디지털 토큰 서비스에 해당한다면, 극도로 엄격한 예외 요건을 충족하지 않는 한 불법 운영으로 간주될 수 있다.
5. 고객 실사(KYC) 규정 더욱 엄격
MAS가 이번에 발표한 규제 프레임워크에서 고객 실사(Customer Due Diligence, CDD) 관련 규정은 매우 엄격하다. MAS는 모든 DTSP 라이선스를 신청하거나 보유한 개인 및 기관이 디지털 토큰 서비스에서 흔히 발생하는 자금세탁 및 테러자금조달(ML/TF) 리스크에 대응하기 위해 완전한 CDD 제도를 구축할 것을 요구한다.
MAS는 FSM-N 27 공지에서 CDD 완료 기한을 일률적으로 정하지 않고, 각 신청자의 구체적인 상황에 따라 '맞춤형'으로 기한을 결정하겠다고 밝혔다. 평가 요소에는 고객의 리스크 프로필, 비즈니스 모델의 복잡성, 기관 자체의 준법 역량 등이 포함된다.
앞으로 CDD 관련 수정 요구가 나올 경우에도 MAS는 모든 라이선스 보유자가 언제 기존 고객 정보를 갱신해야 하는지를 통일해서 규정하지 않는다. 대신 DTSP가 자체 내부 평가 메커니즘을 마련하여 실제 업무와 수정 내용에 따라 재실사를 실시할 필요가 있는지를 스스로 판단할 것을 요구한다.
또한 MAS는 CDD 업무를 제3자에게 위탁할 때 해당 제3자에 대한 충분한 실사를 반드시 수행해야 한다고 특별히 강조한다. 구체적으로 기관은 내부 검토 절차를 수립하여, 해당 제3자가 AML/CFT 의무를 이행할 능력을 갖추고 있는지 평가해야 한다. 참고로 MAS는 다른 국가의 라이선스를 보유한 결제 서비스 제공자나 외국 감독 당국의 감독을 받는 금융기관이라도 자동으로 '신뢰 가능한 제3자'로 인정하지 않는다.
6. 삼화자본 사건 유형은 5일 이내 보고, 해킹 사건은 1시간 이내 보고
MAS가 발표한 관련 공지에 따르면, DTSP 라이선스 보유자는 다음 두 가지 핵심적인 보고 의무를 준수해야 한다. 즉, 의심 활동/사기 사건 보고(FSM-N 28) 및 중대 사고의 긴급 통보(FSM-N3 0)이다.
첫째, FSM-N 28 공지는 사기 또는 의심 활동이 발생했으며, 해당 사건이 라이선스 보유자의 안전성, 안정성 또는 평판에 중대한 영향을 미칠 경우, 다섯 영업일 이내에 MAS에 보고해야 한다고 요구한다. MAS는 '의심 활동' 또는 '사기 사건'의 '중대성'을 통일해서 정의하지 않으며, 기업 자체가 판단해야 한다. 만약 사건이 아직 조사 중이라면 보고서에 현재 조사 상태를 명시해야 하며, MAS는 추가 정보 제출을 요구할 수 있다.
둘째, FSM-N3 0 공지는 기술 시스템, 사이버 보안, 데이터 유출 등에서 발생한 중대 사고, 특히 업계 연쇄 반응이나 대중의 신뢰 위기를 초래할 수 있는 상황에 대해 라이선스 보유자가 1시간 이내에 초기 통지를 제출해야 한다고 규정한다. MAS는 이 조치의 목적은 감독 기관이 사고의 전체 시장에 대한 잠재적 영향을 판단할 수 있도록 반응 시간을 확보하는 데 있다고 설명했다.
요약하면: 사기 및 의심 행위에 대한 보고 기한은 5영업일이며, 중대한 사이버 보안 사고는 1시간 이내에 통보해야 한다.
7. 이미 라이선스를 보유하고 있으며 완전히 안심할 수 있는 기업은?
싱가포르 통화청(MAS)이 2025년 6월 5일까지 공개한 정보에 따르면, 디지털 토큰 서비스 제공자(DTSP) 라이선스를 취득한 기업의 수는 극히 제한적이며, 대부분 잘 알려진 대기업들이다.
현재 알려진 라이선스 보유 기업들(디지털 화폐 결제 라이선스 포함)로는 Anchorage Digital Singapore, BitGo Singapore, Blockchain.com (Singapore), Bsquared Technology, Circle Internet Singapore, Coinbase Singapore, DBS Vickers Securities (Singapore), OKX, Paxos, Ripple, HashKey 및 GSR 등의 유명 기관이 있다.
또한 일부 기업은 <지불서비스법>(PS Act), <증권선물법>(SFA) 또는 <금융자문법>(FAA) 하에서 면제를 받아 DTSP 라이선스를 별도로 신청하지 않아도 관련 서비스를 제공할 수 있다. 이러한 면제는 일반적으로 다른 금융 서비스 분야에서 이미 라이선스를 취득하고 감독을 받는 기관에 적용된다.
8. 이 조치의 목적은 싱가포르의 '금융 평판' 보호
이번 새 규정의 핵심 동기 중 하나는 싱가포르 통화청(MAS)이 국가 '금융 평판'에 매우 높은 중요성을 두고 있다는 점이다. MAS는 회신문에서 반복적으로 강조했다. 디지털 토큰 서비스(DT 서비스)는 강한 국경 초월성과 인터넷 특성을 지니고 있으며, 익명성과 무국경성 때문에 자금세탁, 테러자금조달, 사기 등의 불법 활동에 더 쉽게 악용될 수 있다고. 많은 DTSP의 서비스 대상이 싱가포르 내에 있지 않더라도, 이러한 기업들이 싱가포르를 등록지 또는 운영 거점으로 삼고 있을 경우 문제가 발생하면 싱가포르는 전 세계적으로 언론과 감독 당국의 연쇄 영향을 피할 수 없게 된다.
따라서 MAS는 자신의 규제 목표가 개별 불법행위 억제에 그치는 것이 아니라, 잠재적 리스크가 싱가포르 금융 체계의 평판에 시스템적 충격을 주는 것을 방지하는 데 있음을 강조한다. MAS의 시각에서 DTSP가 싱가포르에 가져오는 최대 리스크는 직접적인 금융 시스템 침투보다는, 이러한 기관들이 악용될 경우 싱가포르가 관용 또는 규제 소홀의 '점프존'(허브 지역)으로 간주될 수 있다는 점이며, 이는 글로벌 금융 중심지로서의 신뢰성과 규제 신뢰도를 심각하게 저하시킬 것이다.
즉, 이는 '제로 톨러런스'의 예방적 규제 사고 방식이다. 고위험 혁신에 대한 포용을 포기하더라도 국가 평판을 대가로 삼지는 않겠다는 것이다. 이런 관점에서 볼 때, MAS의 이번 조치는 단순한 기술적 준법을 넘어 '규제 평판의 레드라인'에 대한 전략적 방어라고 할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Odaily
