MiCA 해부: MiCA(EU)와 VARA(두바이), MAS(싱가포르) 비교

'MiCA Decoded'는 Bitcoin.com News를 위해 LegalBison의 공동 창립자이자 대표이사인 Aaron Glauberman, Viktor Juskin, Sabir Alijev가 공동 집필하는 12부작 주간 연재물입니다. LegalBison은 유럽 및 그 외 지역에서 암호화폐 및 핀테크 기업들에게 MiCA 라이선싱, CASP 및 VASP 신청, 규제 구조 설계에 대한 자문을 제공합니다.

오해: 모든 주요 암호화폐 규제 체계가 동일한 모델로 수렴하고 있다

창업자들이 관할권을 비교할 때, 논의는 대개 두 가지 방향으로 흘러갑니다. 규제 체계를 비용과 일정만 다를 뿐 대체로 동등한 것으로 간주하거나, 각 체제가 너무 독특하여 비교 자체가 무의미할 정도로 전혀 비교할 수 없는 것으로 간주하는 경우입니다. 두 입장 모두 정확하지 않습니다.

암호자산 시장 규제(MiCA), 두바이의 가상자산 규제청(VARA) 프레임워크, 그리고 싱가포르의 2022년 금융서비스 및 시장법(FSM Act) 및 2019년 결제서비스법(PS Act)에 따른 라이선스 제도는 겉보기에는 유사점을 공유합니다. 세 제도 모두 라이선스를 요구한다. 세 제도 모두 적격성 평가, 자본 요건, 자금 세탁 방지 통제를 부과한다. 세 제도 모두 혁신과 소비자 보호의 균형을 추구한다고 주장한다.

그러나 이러한 유사성을 넘어, 각 제도는 고유한 규제 철학, 암호화폐 위험이 누구에게 귀속되는지 및 그 이유에 대한 구체적인 이론, 그리고 라이선스를 취득한 암호화폐 기업이 실제로 무엇인지에 대한 구체적인 해답을 반영하고 있다. 이러한 차이점은 단순한 절차적 세부 사항이 아니다. 이는 특정 비즈니스 모델이 라이선스 취득이 가능한지 여부, 기업이 갖춰야 할 실질적 요건의 수준, 그리고 창업자가 신청 시 어떤 책임을 지게 되는지를 결정한다.

규정의 실제 내용: 적용 범위 및 서비스

이 세 가지 제도는 규제 대상 활동에 대한 서로 다른 정의에서 출발하며, 이러한 정의상의 선택은 중대한 결과를 초래합니다. MiCA는 암호화폐 자산의 보관 및 거래 플랫폼 운영부터 포트폴리오 관리 및 투자 자문에 이르기까지 10가지 범주의 암호화폐 자산 서비스를 정의합니다. 이 프레임워크는 신청자가 제공하려는 10가지 서비스 중 어느 하위 범주에 해당하든 포괄하는 단일 인가인 '암호화폐 자산 서비스 제공자(CASP)' 라이선스를 마련합니다. 적용 범위는 EU 전역으로, 단일 CASP 라이선스 하나로 EU 27개 회원국과 3개 EEA 국가(노르웨이, 아이슬란드, 리히텐슈타인) 전역에서 별도의 추가 신청 없이 서비스를 제공할 수 있습니다. VARA는 규제 대상 활동을 브로커-딜러 서비스, 보관 서비스, 거래소 서비스, 대출 및 차입 서비스, 자문 서비스 등 별개의 범주로 분류합니다. 각 범주에는 고유한 규정 요건과 납입 자본금 기준이 적용됩니다. 거래소 서비스에 대한 VARA 라이선스를 보유한 기업은 자문 서비스 전용 라이선스를 보유한 기업과는 다른 지속적인 의무를 지게 됩니다. 싱가포르는 활동의 성격에 따라 두 가지 법적 체계 하에서 운영됩니다. 디지털 결제 토큰을 취급하는 암호화폐 거래소 및 보관 서비스 제공업체는 PS법(Payment Services Act)에 따라 주요 결제 기관(MPI)으로 운영됩니다. 싱가포르 외부에서 디지털 토큰 서비스를 제공하는 업체(이는 FSM법에서 정의한 적용 범위임)는 FSM법 제9부에 따라 디지털 토큰 서비스 제공자(DTSP)로 규제됩니다. FSM법은 제1부표 내에서 디지털 토큰 거래, 디지털 토큰 교환 중개, 고객 자산에 대한 통제권을 가진 디지털 토큰 보관 등 10가지의 별도 서비스 유형을 다루고 있습니다.

이러한 서로 다른 적용 범위 접근 방식의 실질적인 결과는 창업자가 자신의 비즈니스 모델을 규제 체계에 적용하려 할 때 드러납니다. 이는 웹3(Web3)와 투기성 게임의 교차점에 위치한 예측 시장과 같은 경계선상의 플랫폼에 특히 어려운 과제이며, 창업자는 암호화폐 인허가나 별도의 도박 라이선스 중 어느 것이 필요한지 신중하게 평가해야 합니다. 이전 글에서 살펴본 바와 같이, DeFi 프로토콜은 MiCA에 따라 금지될 가능성이 매우 높습니다. VARA 하에서는 동일한 프로토콜이 식별 가능한 어떤 주체가 플랫폼에 대한 통제권을 행사하는지 평가해야 하며, VARA는 이를 '형식보다 실질을 중시하는(substance-over-form)' 접근 방식으로 판단합니다. 싱가포르의 프레임워크 하에서 FSM법은 싱가포르와 연계된 주체로부터 또는 그에 의한 서비스 제공에 초점을 맞추고 있습니다. 즉, 싱가포르 외부에 구조화된 역외 프로토콜 운영자는 규정된 연계 지점을 진정으로 회피하는 경우에만 면허 적용 범위에서 완전히 제외될 수 있습니다.

혼란이 발생하는 이유: 패스포팅, 지리적 범위, 규제 의도

세 가지 프레임워크 간의 가장 중대한 구조적 차이는 패스포팅입니다. MiCA는 이를 도입하지만, VARA와 싱가포르의 경우 그렇지 않습니다. 에스토니아에서 인가를 받은 CASP는 관련 본국 회원국 당국에 통보함으로써 추가 라이선스 없이 EU 및 EEA 전역의 고객에게 서비스를 제공할 수 있습니다. 인가 권한은 해당 법인과 함께 이동합니다. 이러한 유럽 전역에 걸친 패스포팅은 암호화폐 자산을 활용하는 온라인 게임과 같은 복잡한 Web3 모델의 주요 촉진제 역할을 하며, 이러한 모델들은 종종 에스토니아의 온라인 도박 라이선스와 같은 요소를 통해 암호화폐 아키텍처를 보완하려 합니다. 여러 국가의 EU 소매 고객을 대상으로 하는 기업에게 이는 단순한 편의 기능이 아니라, MiCA 인가를 획득해야 하는 핵심적인 상업적 근거입니다. 하나의 컴플라이언스 인프라로 4억 5천만 명의 잠재 고객에게 서비스를 제공할 수 있기 때문입니다.

VARA 라이선스는 두바이 전용입니다. 이는 2022년 두바이 법률 제4호에 따라 제정된 바와 같이, 두바이 에미리트 내에서 수행되거나 두바이를 대상으로 하는 가상자산 활동을 규율합니다. GCC 전역 또는 전 세계 고객에게 서비스를 제공하는 VARA 라이선스 보유 거래소는 다른 관할권의 프레임워크에 의거하거나, 해당 시장에서 현지 라이선스 요건을 충족하지 않는다는 전제 하에 운영됩니다. VARA 라이선스 자체는 국경을 넘는 패스포팅 메커니즘을 제공하지 않습니다.

싱가포르의 FSM법상 DTSP 라이선스는 싱가포르에서 운영되거나 싱가포르에 설립되었으나 싱가포르 외부에서 디지털 토큰 서비스를 수행하는 업체에 적용됩니다. 이것이 의도된 적용 범위입니다. 싱가포르는 FSM법을 통해 소매 소비자 수준에서 외국 기업의 역외 활동을 규제한다고 주장하지는 않지만, MAS는 라이선스를 보유한 DTSP와 미보유 DTSP가 싱가포르 거주자와 관련하여 수행할 수 있는 활동에 대해 제한을 부과하고 있습니다.

이러한 차이점은 근본적으로 상이한 규제 이론을 반영합니다. MiCA의 패스포팅 설계는 금융 서비스 접근의 분절화를 규제 실패로 간주하는 EU 단일 시장 논리를 반영합니다. VARA의 두바이 특화 적용 범위는 관할권 구축 전략을 반영하며, 그 목표는 글로벌 암호화폐 활동을 규제하는 것이 아니라 두바이를 허브로 만드는 데 있다. 싱가포르의 FSM법 체계는 평판 리스크 관리 접근 방식을 반영하는데, MAS는 면허가 극히 제한된 상황에서만 부여되며, 이 제도는 광범위한 시장 진입을 수용하기보다는 고품질 사업자를 확보하기 위해 설계되었다고 명시해 왔다.

자본 요건: 동일한 질문에 대한 세 가지 다른 해답

세 가지 제도 모두 자본 요건을 부과합니다. 그 수치와 그 이면의 논리는 서로 다릅니다. MiCA에 따르면, CASP의 최소 자본금은 50,000유로(클래스 1)에서 125,000유로(클래스 2), 150,000유로(클래스 3)까지 다양합니다. MiCA 체제는 또한 지속적인 고정 경비 요건을 적용하는데, 이는 기업이 고정 최소 금액과 전년도 고정 경비의 4분의 1 중 더 높은 금액을 보유해야 함을 의미합니다. 연간 운영 비용이 1,000만 유로인 CASP의 경우, 어떤 서비스 등급이 적용되든 관계없이 250만 유로의 실질적 자본 하한선에 직면하게 됩니다.

VARA는 활동별 유상 자본 모델을 적용하며, 절대적 최소 기준이 더 높습니다. 자문 서비스의 경우 10만 디르함(AED)이 필요합니다. 수탁 서비스 제공업체는 60만 디르함(AED) 또는 연간 고정 간접비의 25% 중 더 높은 금액에 해당하는 기본 자본을 보유해야 합니다. 브로커-딜러 서비스의 경우, 자본 요건은 수탁 계약 방식에 따라 달라집니다. VARA 라이선스를 보유한 수탁사를 이용하는 업체는 40만 디르함 또는 연간 고정 간접비의 15% 중 더 높은 금액을 충족해야 하는 반면, VARA 라이선스 수탁사를 이용하지 않는 업체는 60만 디르함 또는 연간 고정 간접비의 25% 중 더 높은 금액을 충족해야 합니다.

마찬가지로, 자본 집약도가 가장 높은 범주인 거래소 서비스의 자본 요건은 VASP가 VARA 인가 수탁 기관을 이용하는 경우 800,000 디르함 또는 연간 고정 간접비의 15% 중 더 높은 금액이며, 그 외 모든 경우에는 1,500,000 디르함 또는 연간 고정 간접비의 25% 중 더 높은 금액입니다.또한 VARA는 별도의 순유동자산 요건을 부과하여, VASP가 유동자산을 보유할 때 유동부채를 초과하는 잉여액이 월간 운영비의 최소 1.2배에 달하도록 요구하며, 이는 매일 정산되고 매월 VARA에 보고되며 분기별로 집계됩니다. 또한 VARA는 핫 월렛에 보관된 자산에 대해 전문 배상 책임 보험, 임원 배상 책임 보험 및 상업 범죄 보험 가입을 의무화합니다.

싱가포르의 FSM법 DTSP 프레임워크는 법인, 합자회사 및 개인 사업자에게 일률적으로 적용되는 25만 싱가포르 달러의 최소 자본 요건을 설정하고 있으며, MAS 지침에는 자본 완충금이 현실적으로 6개월에서 12개월치의 운영 비용을 충당할 수 있어야 한다는 기대치가 명시되어 있습니다. MAS는 DTSP가 예금 수취 기관과 동일한 건전성 규제의 적용을 받지 않으며 예금 보험과 같은 안전망도 갖추지 않았음을 분명히 해왔습니다. 25만 싱가포르 달러의 하한선은 시장 진입 기준일 뿐, MiCA나 VARA에서 정의하는 위험에 기반한 건전성 완충 자본은 아닙니다. 실질적인 차이는 단순히 숫자만의 문제가 아닙니다. VARA의 순유동자산 및 보험 요건은 다층적인 재무 건전성 의무를 부과하는 반면, MiCA와 FSM법은 이를 다르게 다루거나 덜 규범적으로 규정하고 있습니다. VARA 준수 위험을 산정하는 기업은 납입 자본금, 순유동자산, 보험 적정성을 동시에 검토해야 하며, VARA가 자본 신탁 계좌 또는 보증 채권의 명시된 수혜자로 지정된 상태에서 이 세 가지를 특정 주기에 맞춰 조정해야 합니다.

소비자 보호 철학: 위험 공개, 적합성 및 접근 제한

소비자 보호와 관련하여, MiCA, VARA 및 싱가포르는 규제 당국이 실제로 무엇을 방지해야 하는지에 대해 서로 다른 관점을 가지고 있습니다. MiCA는 암호화폐 서비스 제공자를 금융 서비스 사업자로 간주하여, 행위 의무, 포트폴리오 관리 및 자문에 대한 적합성 평가, 최선집행 요건, 그리고 지속적인 공시 의무를 부과합니다. 소매 보유자의 경우, 이 규정은 백서 및 마케팅 커뮤니케이션에 실질적인 위험 공시를 요구하지만, 보유자 보호를 위한 구체적인 메커니즘은 토큰의 유형에 따라 다릅니다. 자산연계 토큰(ART) 및 전자화폐 토큰(EMT) 이외의 암호화폐를 발행자로부터 직접 구매하는 소매 보유자에 대해 MiCA는 14일간의 철회권을 부여합니다. 그러나 이 철회권은 ART 및 EMT에는 적용되지 않으며, 대신 해당 토큰 보유자는 발행자에 대해 언제든지 행사할 수 있는 영구적인 상환권으로 보호받습니다.

하지만 MiCA는 소매 참여자의 암호화폐 거래 접근을 제한하지 않습니다. MiCA는 정보에 입각한 소매 참여가 합법적이라고 간주하며, 이에 따라 행위 규칙을 구성합니다. VARA의 시장 행위 규칙집은 고객 계약, 불만 처리 및 투자자 분류를 요구합니다. VARA는 투자자를 소매 투자자, 적격 투자자, 기관 투자자 등 세 가지 범주로 분류하며, 분류에 따라 서비스 기준이 조정됩니다. VARA가 2024년에 발표한 마케팅 규정은 전 세계 암호화폐 관할권 중 가장 상세한 수준에 속하며, 소셜 미디어 게시물, 인플루언서 계약, 홍보로 오해될 수 있는 교육 콘텐츠에 대한 광범위한 내용을 포함하여 금지된 마케팅 행위의 구성 요소에 대한 구체적인 지침과 사례 연구를 제공합니다.

싱가포르의 접근 방식은 소매 투자자 참여에 대해 세 국가 중 가장 제한적입니다. MAS는 2017년부터 지속적으로 대중에게 암호화폐 투기를 경고해 왔으며, 공공장소에서의 DPT 서비스 광고를 제한해 왔습니다. 2022년 디지털 결제 토큰 서비스(DPT)에 대한 제안된 조치에 관한 협의 문서는 DPTSP가 DPT 서비스를 제공하기 전에 소매 고객의 이해도를 평가하고, 소비자 접근 제한을 적용하며, 소매 거래에 대한 인센티브 제공을 피하도록 요구하는 초기 제안을 도입했습니다.

MAS의 공식 입장은 규제가 소매 고객에게 인가된 플랫폼이 안전한 투자처라는 인상을 주어서는 안 되며, 또한 그렇게 해서는 안 된다는 것이다. DPTSP 인가 지침은 인가가 극히 제한된 상황에서만 이루어진다고 명시함으로써, 싱가포르의 규제 체계가 인가된 제공업체의 광범위한 소매 시장 진입을 목적으로 설계되지 않았음을 재차 강조하고 있다.

운영적 실질: 규제 체제 내에서의 실제 운영 모습

세 가지 규제 체제 전반에 걸친 지속적인 준법 부담은 상당합니다. 그러나 그 부담의 성격은 서로 다릅니다. MiCA는 거버넌스 요건, 디지털 운영 복원력법(DORA)에 부합하는 사업 연속성 의무, EU 지침에 부합하는 자금세탁방지(AML)/테러자금조달방지(CTF) 프레임워크, 지속적인 보고, 그리고 경영진 및 주요 주주에 대한 의무적인 적격성 평가를 부과합니다. 이 제도는 EU 내 실효적 경영 거점과 최소 한 명의 EU 거주 이사를 요구합니다. 인가는 서비스별로 부여되므로, 각 CASP 라이선스는 소지자가 제공할 수 있는 10개 서비스 범주 중 어느 것을 명시합니다.

VARA는 여러 규칙서가 모든 VASP에 동시에 적용되는 규칙서 시스템을 통해 운영됩니다. 여기에는 회사 규칙서, 준법 및 리스크 관리 규칙서, 기술 및 정보 규칙서, 시장 행위 규칙서, 그리고 각 허가된 VA 활동에 대한 특정 활동 규칙서가 포함됩니다. 기술 및 정보 규칙서는 최고 정보 보안 책임자(CISO)의 지정, VARA에 제출된 사이버 보안 정책, 그리고 정의된 5가지 위험 범주를 포괄하는 기술 거버넌스 및 리스크 평가 프레임워크를 요구합니다. VARA는 두바이 내 법인을 요구하며, 최종 실소유주가 식별 가능한 명확한 소유권 체계를 갖추어야 하고, 회사 구조에 대한 중대한 변경 시 서면 승인을 받아야 합니다. 싱가포르의 FSM법 체계는 싱가포르 내 영구적인 사업장 또는 등록 사무소를 요구하며, 대표자가 매월 최소 10일 동안 매일 최소 8시간 이상 상주해야 합니다. DTSP 라이선스 지침은 라이선스 발급 전 제안된 서비스에 대한 침투 테스트, 원칙적 승인 조건으로서 기술 및 사이버 보안에 대한 독립적인 외부 감사인의 평가, 그리고 사업의 규모와 성격에 상응하는 준법 조치들을 요구합니다. MAS는 심사의 표준 절차로 주요 경영진과의 면담을 진행하며, 컨설턴트 및 외부 법률 고문의 면담 참석은 명시적으로 허용되지 않습니다.

이러한 실질적 요건들은 해당 규제 환경 내에서 사업을 구축해 본 적이 없는 기업에게 각기 다른 의미를 지닙니다. VARA가 요구하는 납입 자본금 확보 요건(VARA를 수혜자로 명시한 UAE 은행의 신탁 계좌에 예치하거나, 승인된 UAE 보증 회사의 보증 채권을 통해 보장하는 방식)은 인가 전에 반드시 확립해야 하는 구조적 전제 조건입니다. 싱가포르의 면접 요건은 CEO와 준법감시인이 자문위원의 참고 자료 없이도 비즈니스 모델, 위험 통제 방안 및 준법 접근 방식을 설명할 수 있어야 함을 의미합니다. 이는 추상적인 장애물이 아니라 실질적인 운영 조건입니다.

해석: 관할권 전략적 시사점

이 세 가지 프레임워크는 단순한 의미에서 서로 경쟁 관계에 있지 않습니다. 이들 중 하나를 선택하는 기업은 대개 실제로 어떤 시장을 대상으로 할지, 그리고 어떤 종류의 규제 관계를 유지할 준비가 되어 있는지에 대한 결정을 내리는 것입니다.

• MiCA는 세 가지 중 유일하게 단일 인가를 통해 유럽 대륙 규모의 통합 소매 시장에 직접 접근할 수 있게 해줍니다. 주된 사업이 EU 소매 고객을 대상으로 하는 암호화폐 서비스 제공업체에게 MiCA는 선택 사항이 아닙니다. 이는 해당 사업이 EU 내에서 합법적으로 운영될 수 있는지 여부를 결정하는 프레임워크입니다. 이행 기간은 2026년 7월 1일에 종료됩니다.
• VARA는 상업 전략의 기반이 UAE 및 MENA 시장에 있거나, 두바이 소재 라이선스 보유가 브랜드 가치 제고에 도움이 되는 기업을 위한 두바이 전용 라이선스입니다. 자본 요건은 절대적 기준에서 MiCA보다 높으며, 마케팅 규제는 전 세계적으로 가장 상세한 편에 속하고, 다중 장부(multi-book) 컴플라이언스 구조는 실질적입니다. VARA 라이선스는 다른 관할권으로 이관되지 않지만, 걸프 지역을 타겟으로 하거나 특히 두바이에서 규정 준수 거래소를 운영하고자 하는 기업에게는 이에 상응하는 대안이 없습니다.
• 싱가포르의 DTSP 라이선스는 세 가지 중 취득 조건이 가장 까다로우며, 특정 범주의 신청자를 위해 명시적으로 설계되었습니다. 즉, 싱가포르와 연관되어 있으면서도 싱가포르 외부에서 디지털 토큰 서비스를 수행하고, 타 지역에서 이미 국제 기준에 따라 규제를 받고 있음을 입증할 수 있으며, 비즈니스 모델이 경제적 타당성을 갖추고 있고, MAS가 해당 기업의 구조에 대해 우려 사항이 없는 기업을 대상으로 합니다. 이 라이선스를 취득하는 것은 단순한 시장 진입 경로가 아닙니다. 이는 높은 기준을 충족하는 소수의 사업자에게만 주어지는 규제 당국의 인가에 가깝습니다.

이 제도들은 기능적으로 상호 대체 가능하지 않으며, 애초에 그렇게 설계되지도 않았습니다. 글로벌 시장 진출을 원한다는 이유로 세 가지 라이선스를 동시에 신청하는 기업은, 라이선스를 취득한 암호화폐 기업이 어떤 모습이어야 하는지에 대한 서로 다른 세 가지 이론을 가진 세 개의 서로 다른 규제 당국에 대해 세 가지 다른 약속을 하는 셈입니다. 이러한 조율을 제대로 하려면 단순히 병행 신청 절차를 밟는 것 이상의 노력이 필요합니다. 각 규제 당국이 실제로 달성하고자 하는 바가 무엇인지, 그리고 해당 기업이 이를 신뢰성 있게 이행할 수 있는지 여부를 이해해야 합니다.

본 기사는 2026년 5월 LegalBison이 수행한 연구를 바탕으로 작성되었습니다. 본 내용은 정보 제공을 목적으로 하며, 법률 자문을 구성하지 않습니다.