법인도 있고, 주소도 있으며, 자본금까지 갖추고 있습니다. 그런데도 규제 당국은 왜 여전히 만족하지 않는 걸까요? MiCA에 따르면 ‘실질성’은 해당 사업이 진정으로 EU 내에서 운영되는지 여부를 검증하는 실증적 기준이며, 대부분의 신청자들은 이에 실제로 요구되는 사항을 과소평가하고 있기 때문입니다.
MiCA 해설: “EU 사무소가 있다”는 것만으로는 부족하다: 규제 당국이 실제로 원하는 것은 바로 이것이다
작성자
공유
'MiCA Decoded'는 Bitcoin.com News를 위해 LegalBison의 공동 설립자이자 대표이사인 Aaron Glauberman, Viktor Juskin, Sabir Alijev가 공동 집필한 12부작 주간 연재물입니다. LegalBison은 유럽 및 그 외 지역의 암호화폐 및 핀테크 기업들에게 MiCA 라이선싱, CASP 및 VASP 신청, 규제 구조 설계에 대한 자문을 제공합니다.
이번 주 기사는 LegalBison의 변호사인 크리스트얀 라프카(Krystian Lapka)가 집필했습니다. 크리스트얀은 민법과 영미법의 접점에서 전략적 리스크 관리를 비롯해 국경을 넘는 기업 및 상업 거래를 전문으로 합니다.
첫 CASP 신청을 앞둔 대부분의 창업자들은 MiCA가 실질적인 EU 내 거점을 요구한다는 점을 적어도 추상적으로는 이해하고 있습니다. 그러나 그들이 과소평가하는 것은 규제 당국이 '실질적'을 어떻게 정의하느냐는 점입니다.
전형적인 초기 단계의 사업 구조는 서류상으로는 일관성이 있어 보입니다. 유리한 EU 관할권에 등록된 사무소, 지배 구조 문서에 명시된 이사, 클라우드 호스팅 또는 그룹의 글로벌 인프라에서 관리되는 ICT 시스템, 그리고 새로 개설된 은행 계좌에 예치된 납입 자본 등이 그것입니다. 내부에서는 이것이 EU 기업처럼 느껴집니다. 그러나 국가 관할 당국의 관점에서 보면, 이는 단순히 이사가 붙어 있는 우편함처럼 보일 수 있습니다.
이 글은 MiCA의 실체 요건이 인력, 기술, 재무적 회복력 측면에서 실제로 무엇을 요구하는지 정리하고, 규제 당국이 각 범주를 단순한 서류 작업이 아닌 기능적 테스트로 취급하는 이유를 설명한다. 이 모든 것을 이끄는 우려는 동일하다. 즉, 유리한 관할 구역에 서류상으로는 존재하지만 그 안에서 의미 있는 경제 활동, 인적 자본, 운영 역량을 전혀 갖추지 못한 우편함 기업을 방지하는 것이다.
오해: 존재가 실체를 의미한다
이 규제 논리는 MiCA보다 더 오래되었습니다. 획기적인 캐드버리 슈웨프스(Cadbury Schweppes) 판결(사건 번호 C-196/04)에서 유럽연합 사법재판소는 설립의 자유가 진정한 경제 활동이 결여된 "전적으로 인위적인 구조"를 만드는 데 이용될 수 없다고 판시했습니다. MiCA는 이 원칙을 암호화폐 자산 규제에 직접 법제화했습니다.
MiCA 제59조 제2항은 인가받은 CASP가 암호화폐 자산 서비스의 적어도 일부를 수행하는 회원국에 등록 사무소를 두고, 유럽연합 내에 실질적 경영 거점을 유지하며, 유럽연합 내에 거주하는 이사를 최소 한 명 이상 두어야 한다고 명시하고 있다. 이 조항은 간결하지만, 그 이면에는 훨씬 더 까다로운 요건들이 숨어 있다.
ESMA의 ‘CASPs 인가에 관한 감독 브리핑’은 구속력은 없지만, 각국 감독 당국(NCAs)이 실무에서 이러한 요건을 어떻게 해석해야 하는지를 명확히 시사하고 있습니다. 법령 문구와 감독 당국의 기대치 사이의 괴리는 많은 신청 건에서 마찰을 일으키는 지점입니다.
인력: 실제로 이 법인을 운영하는 주체는 누구인가
MiCA에 따른 최소 요건은 EU 거주 이사 1명입니다. 그러나 감독 당국의 지침은 이 기준을 더 높입니다. ESMA의 브리핑은 최소 두 명의 고위 경영진이 공동으로 일상 업무를 감독할 것을 전제로 합니다. 그 근거는 명백합니다. 경영진이 한 명일 경우 집중 위험이 발생하고, 제대로 기능하는 지배 구조에 필요한 내부 통제 장치가 사라지기 때문입니다. 명확히 정의된 중복된 책임을 가진 두 명의 경영진이 기대되는 기본 기준입니다.
거주지 요건만으로는 충분하지 않습니다. 지침에 따르면, 경영진 구성원이 NCA(국가 감독 기관) 관할 구역에 거주하지 않는 경우, 해당 인물은 당국의 요청 시 영업일 기준 2일 이내에 대면 회의에 참석할 수 있어야 합니다. 감독 기관과의 물리적 근접성이 운영상 중요한 관할 구역의 경우, 이는 이사가 본국 관할 구역에서 얼마나 멀리 떨어져 있어도 효과적으로 업무를 수행할 수 있는지에 대한 실질적인 제약이 됩니다. 시간적 헌신에 대해서도 마찬가지로 엄격하게 다루어집니다. ESMA는 ‘CASP 인가에 관한 감독 브리핑’에서 밝힌 바와 같이, 경영진 이사회 구성원은 일반적으로 전문 업무 시간의 100%를 CASP 역할에 전념해야 한다는 입장을 취하고 있습니다. 동일한 개인이 여러 법인에서 경영직을 겸직하는 ‘이중직’은 제한된 상황에서만 허용됩니다. CASP와 다른 그룹 계열사 사이에서 주의를 분산하는 경영진은 적격성 평가 과정에서 심사를 받게 될 가능성이 높습니다.
보고 체계는 개인의 프로필만큼이나 중요합니다. 경영진은 전략적 및 운영적 통제권이 실제 의사결정을 내리고 하향 지시를 내리는 제3국의 모회사가 아닌, EU 내 법인 내에 있음을 입증해야 합니다. 경영진이 실질적으로 비EU 본사의 실행 대리인 역할을 수행하는 EU 자회사는, 감독적 관점에서 볼 때 진정한 EU 경영 체계를 갖춘 법인으로 간주되지 않습니다.
자금세탁방지(AML) 측면에서도 이는 더욱 분명해집니다. 의심스러운 거래 보고(SAR)를 제출할 책임이 있는 담당자(MLRO)는 현지에 상주해야 하며, 해당 법인 내에서 실질적인 권한을 보유하고, 현지 금융정보분석원(FIU)과 직접 소통할 수 있어야 합니다. 이러한 요건은 더 광범위한 글로벌 추세를 반영합니다. FATF와 OECD의 암호화폐 보고 프레임워크(CARF) 역시 동일한 논리에 따라 운영되며, 실체성과 투명성 요건을 EU를 넘어 확장하고 있습니다.
MiCA의 인력 요건과 CARF는 서로 무관한 발전이 아닙니다. 이는 규제 대상 암호화폐 기관의 내부 구조가 어떠해야 하는지에 대한 국제 표준이 수렴되고 있음을 반영합니다. 제68조(1)항의 집단적 적격성 기준은 경영진이 개별적으로나 집단적으로나 적절한 지식, 기술 및 경험을 갖추도록 요구합니다. 이 시리즈의 지난 편에서 다룬 바와 같이, 해당 기준은 전통적인 금융 시장 규제, 분산 원장 기술(DLT) 인프라 및 사이버 보안, 그리고 조직 거버넌스에 걸쳐 있습니다. 이러한 각 영역이 의사 결정 과정에 반영되어야 합니다. 규제 대상 금융 서비스 경험이 전혀 없는 순수 암호화폐 출신으로만 구성된 팀이나, 전통적인 금융(TradFi) 경험은 풍부하지만 온체인 위험을 평가할 역량이 없는 팀은 구조적인 결함을 안고 있으며, 이는 평가 과정에서 드러나게 될 것입니다.
기술: 단순한 호스팅이 아닌 통제
DORA(규정 (EU) 2022/2554)는 CASP(암호화폐 자산 서비스 제공자)에 직접 적용되며 ICT 복원력 요건에 대한 프레임워크를 설정합니다. 규제 당국이 기술과 관련하여 묻는 질문은 기업이 어떤 인프라를 사용하는지가 아닙니다. 핵심은 누가 이를 통제하느냐는 것입니다.
AWS, Azure 또는 유사 제공업체가 호스팅하는 클라우드 인프라는 현행 감독 관행상 허용됩니다. 문제는 EU 내 인가된 법인이 의존하는 시스템에 대해 실질적인 관리 통제권을 행사하지 못할 때 발생합니다. 암호화 키 관리가 모회사의 글로벌 IT 팀에 있거나, 고객 데이터에 대한 접근 권한이 EU 외부에서 관리되거나, 재해 복구 계획이 제3국 본사의 승인을 필요로 하는 경우, 해당 EU 법인은 진정한 운영상의 독립성을 입증할 수 없습니다.
ESMA의 자문 자료에 반영된 입장에 따르면, EU 경영진은 CASP의 운영과 관련된 ICT 인프라에 대해 실질적인 통제권을 가져야 합니다. 제68조(7)항에 따라 요구되는 사업 연속성 정책 및 재해 복구 계획은 EU 법인이 소유하고 실행할 수 있어야 하며, 위기 상황에서 대응할 수도 있고 그렇지 않을 수도 있는 글로벌 부서에 의존해서는 안 됩니다.
실질적인 검증 기준은 명확합니다. 모회사의 글로벌 IT 팀이 하룻밤 사이에 업무를 수행할 수 없게 된다면, EU 법인은 계속 운영할 수 있고, 고객 자금에 접근하며, 자산을 고객에게 반환할 수 있을까요? 만약 그 대답이 '아니오'이거나, 비EU 인력으로의 상당한 업무 이관 없이는 불가능하다면, 실질적 요건에 대한 문제는 해결되지 않은 것입니다.
GDPR 준수 및 데이터 거버넌스 요건은 DORA 프레임워크 위에 추가로 적용됩니다. 데이터 처리 계약, 관리자-처리자 관계, 데이터 거주지 고려 사항 등은 모두 규제 당국이 검토할 기술적 아키텍처의 일부를 구성합니다.
금융: 실질적으로 기능하는 자본
제67조는 최소한의 건전성 보호 조치를 규정합니다. 자본 등급은 서비스 종류에 따라 정의됩니다:
| CASP 분류 | 허용된 암호화폐 자산 서비스 | 최소 초기 자본금 |
| 1등급 | 주문 접수 및 전달; 투자 자문; 포트폴리오 관리. | 50,000 유로 |
| 2등급 | 1등급 서비스 및 다음 서비스: 암호화폐를 법정화폐 또는 다른 암호화폐로 교환; 주문 실행; 암호화폐 배정. | 125,000 유로 |
| 3등급 | 1급 및 2급 서비스에 다음이 추가됨: 거래 플랫폼 운영; 고객을 대신한 암호화폐의 보관 및 관리. | 150,000 유로 |
최소 자본금은 상한선이 아닌 출발점입니다. 건전성 확보를 위한 안전장치는 영구적 최소 자본금 또는 전년도 고정 경비의 4분의 1 중 더 높은 금액과 동일해야 합니다. CASP가 성장하고 고정 경비가 증가함에 따라, 이 두 번째 요건이 구속력 있는 제약 조건이 됩니다. 고정 경비가 초기 납입 자본금의 4배를 초과할 경우, 해당 기업은 고정 경비 기반 체계로 전환해야 합니다. 이러한 전환점은 많은 사업자가 예상하는 것보다 빨리 도래하며, 규제 당국은 사후 대응적 조정보다는 선제적인 모니터링을 기대합니다. 주목할 만한 구조적 사항: 자본금은 정식 신용 기관에 개설된 계좌로 납입되어야 합니다. 전자화폐기관(EMI)이나 결제 서비스 제공업체의 계좌는 이 요건을 충족하지 못합니다. 암호화폐 사업자로서 은행 거래 관계를 구축하는 데는 시간이 소요되며, 반드시 성사된다는 보장도 없습니다. 신청서를 공식적으로 제출하기 전에 이 절차를 조기에 시작하는 것은 선택 사항이 아닙니다. 이는 전체 인가 일정에 영향을 미치는 순차적 제약 조건입니다. 고정 간접비 계산에 사용되는 재무제표가 국가 규제 당국의 적법한 감사 또는 검증을 받아야 한다는 요건은 행정적 부담을 더욱 가중시킵니다. 설립 초기 12개월간의 간접비를 예측하는 신규 법인은 해당 예측치를 인가 신청서에 포함해야 하며, 그 산정 방법을 명확히 문서화해야 합니다.
아웃소싱 및 실체 기준
제73조는 CASP가 운영 기능을 제3자에게 아웃소싱할 수 있도록 허용합니다. 단, 아웃소싱으로 인해 인가받은 법인의 실체가 훼손되어서는 안 된다는 제약이 있습니다. 책임은 여전히 CASP에 있으며, 업무 위임이 책임 소재를 이전하는 것은 아닙니다.
ESMA의 CASP 인가에 관한 감독 브리핑은 EU 외부에 위치한 기능에 기인하는 총 비용의 비율을 아웃소싱이 지나치게 진행되었는지 여부를 판단하는 실질적인 지표로 제시합니다. 운영 지출의 대부분이 비EU 서비스 제공업체로 유출되는 CASP는, 비록 해당 업체가 잘 운영되고 평판이 좋더라도, EU 내 법인이 단순한 중개자가 아닌 진정한 서비스 제공자로 인정받을 만한 충분한 내부 역량을 갖추고 있는지에 대한 의문을 제기받을 수 있습니다.
규제 당국이 구분하는 기준은 통제권을 유지하면서 특정 기능을 아웃소싱하는 CASP와, 법적 형태만 남기고 실질적인 모든 업무를 아웃소싱하는 CASP 간의 차이입니다. 후자는 신청서상 계약 내용이 어떻게 기술되든 간에 껍데기에 불과합니다.
관할권별 차이: 동일한 법률, 상이한 관행
MiCA는 모든 EU 회원국에 직접 적용됩니다. 실질적 요건은 통일되어 있습니다. 그러나 감독 관행은 그렇지 않습니다. 키프로스는 CySEC를 통해 CASP 이사회 구성원의 과반수가 키프로스 실제 거주자여야 한다고 명시적으로 요구하고 있습니다. 집행 이사 2명과 비상임 이사 2명으로 구성된 이사회라면, 최소 3명의 키프로스 거주 이사가 있어야 함을 의미합니다. 이는 MiCA 조문의 요구 사항을 넘어서는 것으로, 조화된 EU 프레임워크 위에 중첩된 국가별 자금세탁방지(AML) 지침을 반영한 것입니다. 에스토니아는 다른 양상을 보입니다. 금융정보분석원(FIU)이 관리하던 이전 VASP 등록 제도 하에서, 에스토니아는 유럽에서 가장 접근하기 쉬운 라이선스 관할권 중 하나가 되었습니다. MiCA로의 전환으로 감독 책임이 에스토니아 금융감독 및 해산 당국(EFSA)으로 이관되었으며, 이는 심사 및 지속적인 감독에 있어 다른 제도적 접근 방식을 가져왔습니다.
본 시리즈의 이전 기사에서 다룬 바와 같이, 폴란드의 입법 상황은 국내 MiCA 이행법이 아직 제정되지 않아 KNF(금융감독원)가 공식적인 관할 당국으로 지정되지 못했고, VASP 보유자들은 실행 가능한 국내 CASP 신청 경로를 확보하지 못한 구조적 공백을 초래했습니다.
이러한 차이는 법적 허점이나 행정적 특이점이 아닙니다. 이는 조화된 법적 체계가 여전히 각국의 감독 문화, 인력 제약, 제도적 역사를 통해 운영되고 있다는 현실을 반영합니다. CASP 인가를 위한 관할권을 선택한다는 것은 규제 당국을 선택하는 것을 의미하며, 이는 그에 수반되는 모든 실질적인 함의를 내포합니다.
'실질적 사업장'이 실제로 요구하는 것
종합해 볼 때, MiCA의 실질 요건은 단순한 체크리스트라기보다는 감독 철학을 반영합니다. 규제 당국은 문제가 발생할 경우 실질적인 구제 수단을 확보할 수 있다는 점을 확신하고자 합니다. 이는 경영진이 물리적으로 연락이 가능하고 EU 법에 따라 법적 책임을 질 수 있어야 함을 의미합니다. 또한 비EU 승인 체인에 의존하지 않고 EU 법인이 직접 통제할 수 있는 ICT 시스템을 갖추어야 함을 의미합니다. 아울러 실제 운영 위험에 상응하는 규모로 실질적으로 활용 가능한 자본을 보유해야 함을 의미합니다.
또한 EU 법인이 외부에서 내려진 지시를 단순히 이행하는 것이 아니라 실질적인 의사결정을 내리는 거버넌스를 의미합니다. 이를 단순한 서류 작업으로 접근하는 기업들은 이 과정을 예상보다 어렵게 느끼는 경향이 있습니다. 반면 실질적인 기반을 먼저 구축한 후 그 내용을 문서화하는 기업들은 이 과정을 더 수월하게 여깁니다. 신청 절차가 조직을 만들어내는 것이 아닙니다. 신청서는 이미 대부분 존재해야 할 조직의 현황을 기술하는 것입니다.
출처:
이 기사는 2026년 5월 LegalBison이 수행한 연구를 바탕으로 작성되었습니다. 본 내용은 정보 제공 목적으로만 사용되며, 법률 자문을 구성하지 않습니다.
MiCA 해설: 규제 당국이 귀사의 컴플라이언스 팀을 하나의 두뇌로 보는 이유
MiCA는 단순한 명칭뿐만 아니라, 종합적인 전문성, 구조적 독립성, 그리고 실질적인 EU 내 거점을 갖춘 포괄적인 준법 체계가 필요합니다. read more.
지금 읽기
MiCA 해설: 규제 당국이 귀사의 컴플라이언스 팀을 하나의 두뇌로 보는 이유
MiCA는 단순한 명칭뿐만 아니라, 종합적인 전문성, 구조적 독립성, 그리고 실질적인 EU 내 거점을 갖춘 포괄적인 준법 체계가 필요합니다. read more.
지금 읽기MiCA 해설: 규제 당국이 귀사의 컴플라이언스 팀을 하나의 두뇌로 보는 이유
지금 읽기MiCA는 단순한 명칭뿐만 아니라, 종합적인 전문성, 구조적 독립성, 그리고 실질적인 EU 내 거점을 갖춘 포괄적인 준법 체계가 필요합니다. read more.
