왜 전통적인 규제 체계가 블록체인 상에서 웃음거리가 되었는가?
글: 보차이보차이
보차이는 최근 국제결제은행(BIS)이 발표한 최신 보고서 논문인 『암호자산 자금세탁방지(AML) 규제 준수 방안』[1]을 읽었다. 세계 각국 중앙은행의 중앙은행 격인 BIS의 모든 보고서는 각국 금융감독기관의 지침이 되기 때문에, 나는 이 제목을 보는 순간 첫 번째 반응이 이렇게 들었다. "드디어 암호화폐를 효과적으로 다룰 수 있는 묘책이라도 나온 걸까?"
그러나 논문 전문을 읽고 나서야 나는 이것이 실질적인 해결책이 아니라, 내 관점에서 보면 차라리 체면치레나마저 하는 항복문서에 더 가깝다는 것을 깨달았다.
BIS는 학술적인 언어로 완곡하게 혹독한 현실을 시인하고 있다. 즉 기존 금융의 KYC/AML 체계가 탈중앙화된 암호화 세계 앞에서는 이미 완전히 무력해졌다는 사실이다.
그들이 제시한所谓 '혁신적' 대안은 무엇인가?
지갑에 점수를 매기고, 사용자가 스스로 상대방의 규정 준수 여부를 확인하도록 장려하며, 입출금 단계에서 마지막으로 검사를 수행하는 것이다.
이는 무림 고수가 평생 강룡십팔장만 익히다가 갑자기 상대편이 탱크를 몰고 오는 것을 보고는 성문 앞에 '탱크 출입 금지'라는 안내판을 세우자는 제안을 하는 것과 같다.
점수 시스템 구현 및 조정 비용이 얼마나 큰지조차 따지지 않더라도, 누군가 높은 점수를 받은 지갑 계좌에 독소를 주입하면 어떻게 할 것인가?
사용자에게 직접 확인을 요구하는 것은 마치 달러를 받을 때마다 그 지폐가 마약 거래에 쓰였는지를 먼저 확인하라는 것과 같다. 원론적으로는 가능하지만 실무상으로는 터무니없다.
입출금 단계에서 KYC/AML을 시행하는 것이 이런 전통 기관들에게 남겨진 마지막 체면일지도 모른다. 적어도 신분과 자금 출처 정도는 확인할 수 있으니까.
왜 기존 감독 체계가 블록체인 환경에서는 거의 완전히 무력해졌다고 말하는가? 이제 우리가 전 세계 감독당국이 여전히 계속 밀어붙이고 있는 어이없는 규제 조항—트래블 룰(Travel Rule)—을 살펴볼 필요가 있다.
트래블 룰: 전통 금융에서 암호화 세계로 이어진 한 편의 희극
트래블 룰의 어이없음을 이해하기 위해선 우선 그 유래부터 알아야 한다.
1996년 인터넷이 다이얼업 시절이던 당시 미국 금융범죄집행네트워크(FinCEN)는 『은행비밀법』의 일부로서 처음으로 트래블 룰을 도입했다. 당시 요구사항은 간단했다. 은행이 3,000달러 이상의 전신환 거래를 처리할 경우 송금자의 정보를 다음 금융기관에 반드시 전달해야 했다.
이는 전통 은행 체계 내에서는 잘 작동했지만, 그 이유는 무엇인가?
은행은 중앙집중식이며 고객 정보를 모두 보유하고 있고, SWIFT와 같은 표준화된 정보 전송 시스템도 있기 때문이다. 공상은행은 장삼의 모든 정보를 알고 있고, 건설은행은 리사의 모든 정보를 알고 있으며, 송금 시 정보 교환이 자연스럽게 이루어진다.
그러나 2019년 금융행동기구(FATF)가 게임의 판도를 바꾸는 결정을 내린다. 바로 트래블 룰을 암호화폐 영역까지 확대 적용하는 것이었다.
FATF란 어떤 조직인가? 1989년 설립된 정부간 기구로, 초기에는 마약 자금세탁 방지를 목적으로 했다. 이들이 제정한 「40개 권고」는 세계적 자금세탁방지의 골든 스탠다드로 간주된다. FATF가 입을 열면 전 세계 감독당국은 모두 귀를 기울여야 한다.
2019년 6월 21일 FATF는 올랜도 회의에서 제15항 권고에 대한 해석서(INR.15)를 통과시키며, 기존에 전통 금융기관의 전신환에 적용되던 제16항 권고(트래블 룰)를 가상자산 분야에도 확대 적용한다고 발표했다. 이를 통해 가상자산서비스제공자(VASP)는 1,000달러/유로 이상의 거래를 처리할 때 송신자와 수신자의 신원 정보를 수집·전달해야 하며, 포함되는 항목은 다음과 같다:
-
성명
-
계좌번호(지갑 주소)
-
지리적 위치 또는 신분증 번호
-
필요 시 추가 상세 정보
그들의 논리는 이렇다. 트래블 룰이 전통 금융권에서 20여 년간 잘 작동했으니 암호화 세계에서도 문제없이 작동할 것이라는 것이다.
이 논리의 문제점은 블록체인이 어떻게 작동하는지를 전혀 이해하지 못하고 있다는 데 있다.
트래블 룰의 글로벌 혼란
트래블 룰의 시행 현황을 살펴보자. FATF의 2025년 6월 보고서에 따르면, 99개 사법관할지역이 트래블 룰 입법을 완료하거나 추진 중이라고 주장한다. 인상적이지 않은가?
하지만 문제는 디테일에 있다. 75%의 사법관할지역이 여전히 부분적으로만 준수하거나 전혀 준수하지 않고 있으며[2], 이 비율은 2023년 4월과 동일하다—73개국 중 75%, 진전 없음.
왜 이런 상황이 벌어지는가? 각 국이 각자 다른 방식을 고수하고 있기 때문이다.
미국은 1996년 기존 규정을 유지한다. 즉 3,000달러 기준이다. 그러나 FATF는 1,000달러를 권고하므로, 여기서 첫 번째 분열이 발생한다.
싱가포르는 가장 먼저 대응한 국가 중 하나로, 2020년 1월 28일부터 시행을 시작했으며 기준액은 1,500싱가포르달러다. 한국은 2022년 3월 25일 시행, 기준액은 100만 원(약 821달러). 일본은 거래 금액과 관계없이 모든 거래에 대해 적용한다고 한다.
EU는 더 극단적이다. 2024년 12월 30일까지 미루고 『자금이체규정(TFR)』을 시행하면서 "우리는 기준을 두지 않는다. 1유로센트 거래에도 트래블 룰을 적용하겠다"고 선언한다.
결과는 무엇인가? 미국에서 EU로 1,500달러를 송금할 경우 미국은 트래블 룰 불필요라고 하고, EU는 반드시 필요하다고 하니, 양측 모두 '합법'이지만 거래는 막힌다.
이보다 더 혼란스러운 것도 있다. 이스라엘은 2021년 이미 트래블 룰을 시행했으며 기준 없음이지만, 거의 다른 어느 국가도 이를 연결하지 않는다. 캐나다 역시 기준 없음이지만, 그들의 규정은 타국과 호환되지 않는다.
이러한 난립 상태의 결과는 무엇인가?
Notabene의 2024년 산업 조사[3]에 따르면, 전년 대비 개선되었음에도(52%에서 29%로 감소), 여전히 29%의 VASP가 상대방에 대한 실사 평가 없이 무차별적으로 모든 거래 상대에게 트래블 룰 정보를 발송하고 있다.
이런 '광범위한 네트워크' 접근 방식은 사실상 민망한 현실을 드러낸다. 대부분의 VASP는 형식만 갖추고 있을 뿐, 상대방이 실제로 해당 정보를 사용하는지, 규정을 준수하는지 여부를 검증할 방법이 없다.
DeFi: 트래블 룰의 사각지대
감독당국이 중앙화 거래소의 트래블 룰 적용 여부에 매달릴 때, DeFi는 이미 이 문제를 완전히 우회하고 있다.
트래블 룰의 전제는 VASP(중개기관)가 존재하여 이를 집행한다는 것이다.
내가 메타마스크(MetaMask)를 이용해 유니스왑(Uniswap)에서 직접 코인을 스왑한다면 질문하자:
-
메타마스크는 VASP인가? 그것은 단지 브라우저 플러그인일 뿐이다.
-
유니스왑은 VASP인가? 그것은 단지 코드 덩어리일 뿐이다.
-
이더리움 채굴자는 VASP인가? 그들은 단지 거래를 검증할 뿐이다.
거래 당사자 간에 직접 P2P 거래가 이루어질 경우, 트래블 룰을 집행할 중개자가 존재하지 않는다.
이는 공기에게 법을 집행하라고 요구하는 것만큼이나 터무니없다.
트래블 룰은 누구에게 집행을 요구하는가? 코드 자체가 KYC 정보를 제공하라고 요구하는가?
FATF의 답변은 이랬다. DeFi 프로토콜 개발자를 VASP로 간주해야 한다.
이 논리의 터무니없는 정도는 TCP/IP 프로토콜의 발명자가 인터넷의 모든 범죄에 책임져야 한다고 주장하는 것과 같다. 비탈릭 부테린이 이더리움을 만들었으니, 이더리움 위에서 발생하는 모든 불법 거래에 책임을 져야 하는가? 중본이 살아 있다면 무기징역을 받아야 하는가?
범죄자들의 대응: 스머핑(Smurfing)의 기술
실제 범죄자들은 트래블 룰을 어떻게 보는가? 아마 웃음거리로 보고 있을 것이다.
범죄자들은 기존의 스머핑(스머피 전략)을 활용해 트래블 룰을 회피한다[4]. 큰 금액을 소액으로 분할하는 방식이다. 18,000달러를 송금하고 싶은가? 900달러씩 20건으로 나누어 서로 다른 지갑에서 서로 다른 시간에 보낸다. 각 거래는 모두 기준 아래이므로 트래블 룰은 적용되지 않는다.
북한 해커들은 올해 바이빗(ByBit) 거래소에서 14.6억 달러를 해킹했다—역대 최대 규모의 암호자산 도난 사건이다. 그들이 트래블 룰을 사용했는가? 물론 아니다.
2024년 암호자산을 불법 활동에 사용한 금액은 백억 달러에 달했다. 이들 범죄자 중 단 한 명도 트래블 룰로 적발된 적이 없다.
트래블 룰의 또 다른 결과는 규제 아울팅(regulatory arbitrage) 심화다. 규제가 강화될 때마다 치약을 짜는 것처럼—여기서 짜면 저기서 새어나간다.
준수 비용: 막대한 비용이 드는 일종의 공연
트래블 룰이 가져온 것은 해결책이 아니라 천문학적인 규제 준수 비용이다.
추산에 따르면 중형 거래소가 트래블 룰을 시행하기 위한 비용은 다음과 같다:
-
기술 솔루션 도입: 연간 10~50만 달러
-
시스템 통합 개조: 일회성 50~200만 달러(전체 거래 시스템 개조 필요)
-
준수팀 확대: 연간 20~100만 달러(전문 트래블 룰 준수 담당자 필요)
-
법률 자문 비용: 연간 10~50만 달러(각국 규칙이 다르므로 지역 법률 지원 필요)
-
감사 및 보고: 연간 5~20만 달러
이것은 눈에 보이는 비용일 뿐, 보이지 않는 것은?
막대한 준수 비용은 시장 집중을 가속화하고 있다. 대기업은 당연히 트래블 룰을 지지한다—그들은 비용을 감당할 수 있지만 경쟁자들은 그렇지 못하기 때문이다. 이것은 규제가 아니라 규제 비용을 통한 시장 정화다.
가장 큰 잠재비용은 무엇인가? 혁신의 죽음이다.
스타트업 팀은 우선 고민하는 것이 기술 혁신이 아니라:
-
이게 트래블 룰을 만족하는가?
-
우리는 준수 비용을 감당할 수 있는가?
-
VASP로 지정되면 어떻게 할 것인가?
결과적으로 혁신은 규제가 느슨한 지역으로 이동하거나 아예 포기하게 된다. 우리는 19세기적 사고방식으로 21세기 혁신을 질식시키고 있는 것이다.
이것이 트래블 룰의 진실이다. 막대한 비용을 들여 쓸모없는 시스템을 구축했지만, 비용 증가, 효율 저하, 혁신 억제 외에는 아무것도 해결하지 못했다. 일반 사용자들은 이러한 규제 희극에 대가를 치르고 있다—끝없는 서류 작성, 끝없는 승인 대기, 끊이지 않는 수수료 지불.
규제 극장의 등장인물들
현재의 암호화 규제는 정교하게 연출된 한 편의 드라마이며, 등장인물마다 자신만의 대본이 있다:
감독기관: "봐라, 우리가 트래블 룰을 시행하고 있어! 투자자를 보호하고 있어!" (사실은 쓸모없음을 알지만 실적 필요)
대형 기관: "우리는 완벽히 준수하고 있다!" (사실은 형식만 취하고 있으며, "이 지갑 당신 거 맞아?"라고 한마디 묻는 수준)
소규모 기관: "우리는 준수를 위해 노력 중입니다!" (사실은 규제가 느슨한 지역으로 이전할 방법을 고민 중)
사용자: "나는 트래블 룰에 협조하고 있어!" (사실은 이미 우회 방법을 익혔음)
범죄자: "트래블 뭐 룰?" (계속 자기 할 일 함)
현실 인식, 그러나 사고 포기 아님
여기까지 쓰고 나면 물을 수 있다. "그럼 우리는 어떻게 해야 하나?"
우선 분명히 해야 할 점은, 이 글이 규제 자체를 비판하는 것이 아니라 현재 상황을 지적한다는 점이다. 규제의 본래 목적은 정당하다—자금세탁 방지, 투자자 보호, 금융 안정 유지. 이러한 목표는 결코 비난받을 수 없으며 실제로도 필요하다.
우리가 비판하는 것은 올바른 목표를 달성하기 위해 잘못된 도구를 사용하는 것이다. 마치 나사를 조이기 위해 망치를 사용하는 것과 같다—도구가 잘못되면 아무리 열심히 해도 소용없다.
우리는 한 가지 사실을 인정해야 한다. 탈중앙화된 세상에서는 전통적 규제 도구가 이미 무력해졌다는 것을. 이것은 기술적 문제가 아니라 패러다임의 문제다. 마차를 관리하는 방식으로 자동차를 관리할 수 없듯이, 은행을 관리하는 방식으로 DeFi를 관리할 수 없다.
그러나 모든 규제 노력을 포기하라는 의미는 아니다. 오히려 우리는 새로운 사고방식이 필요하다. 좋은 규제란 교통법규와 같아야 한다—운전을 막는 것이 아니라 도로를 더 안전하게 만드는 것이다.
우리가 필요한 것이 전 세계 통일 기준이 아닐 수도 있다. 오히려 다양한 사법관할지역 간의 건전한 경쟁이 필요하다. 규제 혁신과 기술 혁신은 대립하는 것이 아니라 함께 나아가야 한다.
이는 강력한 체인 상(On-chain) 데이터 분석 능력을 필요로 한다. Chainalysis 같은 기업은 행동 분석을 통해 개인의 신분증 번호를 알지 못해도 의심스러운 거래를 효과적으로 식별할 수 있음을 이미 증명했다. 규제 프레임워크가 점차 명확해지는 미래에, 규제 준수 인프라는 암호화 산업의 핵심 인프라가 될 것이다.
우리가 외쳐야 할 것은 무정부주의가 아니라 더욱 지혜로운 거버넌스다. 규제자와 업계 종사자들이 마주 앉아 성실히 대화하며 서로의 우려를 이해하고, 새로운 기술 특성에 맞는 규제 경로를 공동으로 탐색해야 한다.
궁극적으로 진짜 적은 규제도 아니고 암호화폐도 아닌, 기술적 허점을 악용해 범죄를 저지르는 자들이다. 이 점에서 규제자와 업계 종사자의 목표는 일치한다.
마지막으로
다시 처음의 BIS 보고서로 돌아가자.
겉보기엔 해결책을 제시하는 것 같지만, 사실은 한 시대의 종말을 기록하고 있다—전통 금융 질서가 암호자산에 대한 관할권을 돌이킬 수 없이 상실하고 있다는 것이다.
이것이 2025년 암호화 규제의 현실이다. 모든 참여자가 웃기다는 것을 알지만 계속해서 연기해야 하는 비싼 게임.
트래블 룰은 1996년 은행 전신환 규칙에서 시작되어 2019년 암호화 세계에 강제로 이식된 과정 자체가 감독의 게으름을 보여준다—낡은 병에 새 술을 담고, 마차 시대의 교통법규로 고속도로를 관리하는 꼴이다.
하이에크가 말했다. "지옥으로 향하는 길은 모두 선의로 포장되어 있다." 오늘날의 암호화 규제는 바로 그런 길일지도 모른다. 목적은 좋았다—자금세탁 방지, 투자자 보호, 금융 안정 유지. 하지만 실행 결과는 마찰 증가, 혁신 저해, 활동을 지하로 몰아넣는 결과를 낳았다.
판도라의 상자는 이미 열렸으며, 탈중앙화의 정령은 다시 병 속으로 돌아가지 않을 것이다.
결국 패배가 예정된 전쟁을 계속하기보다는, 새로운 세상에서 균형을 찾는 방법을 고민해야 한다. 필요한 것은 더 엄격한 규칙이 아니라 완전히 새로운 지혜다.
그러나 그러한 지혜는 20세기적 사고방식으로 21세기 기술을 관리하려는 감독기관들로부터 나오기는 어려울 것이다.
미래란 우리가 가는 곳이 아니라 우리가 만들어가는 곳이다.
단지 바랄 것은 역사가 이 시대를 돌아볼 때, 인간이 한때 더욱 개방적이고 투명하며 효율적인 금융 체계를 구축할 기회가 있었지만, 결국 기술을 모르는 관료들에 의해 망쳐졌다고 기록하지 않기를 바랄 뿐이다.
그것은 어떤 규제 실패보다 더 큰 웃음거리가 될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@wzxznl
