MiCA 해설: 규제 당국이 귀사의 컴플라이언스 팀을 하나의 두뇌로 보는 이유

'MiCA Decoded'는 Bitcoin.com News를 위해 LegalBison의 공동 창립자이자 대표이사인 Aaron Glauberman, Viktor Juskin, Sabir Alijev가 공동 집필하는 12부작 주간 연재물입니다. LegalBison은 유럽 및 그 외 지역에서 암호화폐 및 핀테크 기업을 대상으로 MiCA 라이선싱, CASP 및 VASP 신청, 규제 구조 설계에 대한 자문을 제공합니다.

오해: 컴플라이언스 담당자를 아웃소싱하는 것만으로도 충분하다

창업자들이 암호화폐 자산 서비스 제공자(CASP) 인가를 준비하기 시작하면, 대화는 거의 항상 같은 지점에 도달합니다. "그럼, 컴플라이언스 담당자를 채용해야 하나요?" 때로는 이 질문에 이어 "그리고 자금세탁보고책임자(MLRO)도 필요하나요? 그게 전부인가요?"라는 질문이 이어지기도 합니다.

두 질문 모두에 대한 답은 '예'입니다. 하지만 이 두 가지 임명을 마치 최종 목표인 것처럼 여기는 것은 MiCA가 실제로 컴플라이언스 기능에 요구하는 바를 가장 흔하고도 중대한 오해로 오독하는 것입니다. 규제 당국은 조직도에 올바른 직책명이 있는지 확인하는 것이 아닙니다. 그들은 경영진이 하나의 통합된 단위로서 규제 대상 금융 기관을 운영할 수 있는 지식 체계, 구조적 독립성, 그리고 문서화된 운영 역량을 갖추고 있는지 평가하고 있습니다. MiCA 라이선스는 개인에게 발급되는 것이 아닙니다. 하나의 조직체에게 발급되는 것입니다. 이 구분이 바로 초기 단계의 신청 건들이 왜 그렇게 많이 지연되거나, 국가 관할 당국(NCA)이 인가를 승인하기 전에 상당한 수정이 필요한지 그 핵심적인 이유입니다.

규정에서 “집단적으로”가 실제로 의미하는 바

MiCA 제68조 제1항은 이 점에 대해 명확히 규정하고 있습니다. 경영진 구성원은 “개별적으로 및 집단적으로” 적절한 지식, 기술 및 경험을 갖추어야 합니다. 바로 이 “집단적으로”라는 한 단어가 상당한 규제적 역할을 수행하고 있습니다.

MiCA 적용 대상 기관의 경영진 및 주주 적격성에 관한 EBA와 ESMA의 공동 지침은 경영진이 반드시 갖추어야 할 전문 경험의 구체적인 분야를 열거함으로써 해당 기준의 적용 방식을 명확히 하고 있습니다. LegalBison의 수석 변호사인 Eira Järvi는 아래 표에 구체적인 요건을 정리했습니다.

ESMA의 지침을 분석해 보면, 경영진의 종합적인 역량은 Eira가 상세히 설명한 모든 내용을 포함하여 다음 세 가지 핵심 지식 영역을 명백히 포괄해야 함이 분명해집니다:

• 전통적인 금융 시장: 규제 프레임워크, 투자자 보호 의무, 시장 행위 규칙, 그리고 인가받은 금융 서비스 제공자에게 적용되는 운영 기준.
• 디지털 원장 기술(DLT) 인프라 및 사이버 보안: 블록체인 아키텍처, 프로토콜 수준의 위험, 스마트 계약 노출, 사이버 보안 위협 모델링, 그리고 온체인 서비스 제공에서 발생하는 구체적인 운영상 취약점.
• 사업 전략 및 조직 거버넌스: 리스크 관리 설계, 내부 통제 아키텍처, 거버넌스 정책, 그리고 회사의 규정 준수 효율성을 평가하고 주기적으로 검토할 수 있는 능력.

규제 당국은 한 사람이 이 세 가지 영역을 모두 담당하기를 기대하지 않습니다. 기업이 "집단적 적합성"에 대한 평가서를 제출하도록 요구하는 ESMA의 규정에 명시된 바와 같이, 팀 전체가 의미 있는 공백 없이 이 모든 영역을 포괄할 수 있어야 한다는 것이 기대치입니다.

전통적인 금융 배경만을 가진 경영진으로만 구성되어 있고, DLT 인프라 위험을 평가할 수 있는 인력이 한 명도 없다면, 신청서를 제출하기 전부터 구조적으로 불완전한 상태입니다. 반대의 경우도 마찬가지입니다. 기술적으로 심도 있는 암호화폐 전문 팀이라 하더라도 규제된 금융 시장의 운영 방식을 이해하는 인력이 없다면 동일한 수준의 심사를 받게 될 것입니다.

아무도 언급하지 않는 시간 투입 문제

신청자들을 당황하게 만드는 '집단적 적합성' 기준에는 두 번째 측면이 있습니다. 적합한 인력은 서류상뿐만 아니라 실제로 존재해야 합니다. 경영진의 각 구성원은 회사에 대한 최소 시간 투입량을 서면으로 문서화해야 합니다. 구체적으로, 해당 역할에 할애할 것으로 예상되는 시간(연간 및 월간 기준 모두 포함)과 함께, 현재 맡고 있는 다른 모든 임원직 및 비상임 이사직에 대한 공식적인 신고서를 제출해야 합니다.

승인에 관한 ESMA의 규제 기술 표준 초안(첫 번째 의견 수렴 패키지에서 발췌)은 이 점을 명확히 하고 있습니다. 평가는 각 인물이 명목상 명단에 올라 있는 것뿐만 아니라 실질적으로 역할을 수행하고 있는지를 다룹니다. 다른 이사회 직책 4개를 맡고 있으며 추가로 두 곳의 기업과 컴플라이언스 자문 관계를 맺고 있는 비상임 이사는 직접적인 심사를 받게 될 것입니다. NCA는 신청서에 적절한 인물의 이름이 기재되어 있다는 사실뿐만 아니라, 경영진이 실제로 그 의무를 수행할 수 있다는 점을 확신해야 합니다.

이는 인가 신청을 강화하기 위해 파트타임이나 자문 형태로 경험 많은 컴플라이언스 인력을 영입하는 초기 단계의 암호화폐 기업들에게 가장 중요한 사안입니다. 규제 당국은 해당 인물이 매월 정확히 몇 시간을 투입하는지 파악할 것이며, 그 수치를 해당 역할의 범위 및 기업이 제공하려는 서비스와 비교할 것입니다. 책임과 시간 투입 간의 불일치는 단순한 기술적 문제가 아니라 위험 신호입니다.

내부 통제 기능: 직함보다 구조가 중요하다

경영진 차원의 집단적 적합성을 이해하는 것은 전체 그림의 일부에 불과합니다. MiCA 제68조(4)항은 CASP가 "규정 준수를 보장하기에 충분히 효과적인" 정책과 절차를 채택할 것을 요구합니다. 제68조(5)항은 기업 내 모든 수준에서 적절한 지식을 갖춘 인력을 확보할 것을 요구합니다. 제68조(6)항은 경영진이 이러한 조치의 효과성을 주기적으로 검토하고 발견된 결함을 시정할 것을 요구합니다.

ESMA의 RTS 초안은 이를 한 단계 더 발전시켰습니다. 이 초안은 기업이 구체적인 내부 통제 기능을 식별하고, 각 기능에 대해 다음 사항을 문서화할 것을 요구합니다:

• 해당 기능이 경영진에게 직접 보고되는지.
• 해당 기능이 감독하는 사업 부문으로부터 어떻게 독립적으로 운영되는지.
• 중대한 규정 준수 위험이 감지되었을 때, 해당 기능이 정기적으로 또는 긴급(임시) 상황에서 경영진에게 접근할 수 있는 방법.

이 내부 통제 체계의 핵심을 이루는 세 가지 기능 영역은 다음과 같습니다:

• 준법 기능(규제 의무, 행동 강령, 내부 절차).
• 리스크 평가 기능(리스크 식별, 평가 방법론, 에스컬레이션 절차).
• 내부 감사 기능(독립적 효과성 검토, 정기적 평가).

참고: AML/CFT 기능과 비즈니스 연속성 기능 또한 인가 신청의 필수 요건이지만, ESMA는 이를 핵심 내부 통제 프레임워크와 별개의 조직적 요건으로 취급합니다. MiCA는 레벨 1 규정 본문에서 항상 이러한 정확한 명칭을 부여하지는 않습니다. ESMA RTS는 이러한 핵심 내부 통제 영역에 명명된 책임자, 문서화된 책임 범위, 검증된 구조적 독립성이 반드시 있어야 함을 명확히 하고 있습니다.

마지막 요점은 많은 신청서에서 구조적 결함이 드러나는 부분입니다. 수익 및 사업 개발을 관리하는 최고운영책임자(COO)에게 보고하는 준법감시 기능은 규제상 독립적이지 않습니다. 트레이딩 데스크 내에 내재되어 있으며, 감시해야 할 데스크와 동일한 보고 체계를 통해 상급자에게 보고하는 리스크 기능 또한 기준을 충족하지 못합니다.

규제 당국은 조직도를 요청할 것입니다. 그런 다음 실제로 컴플라이언스 책임자가 누구에게 보고하는지, 그 사람의 다른 책임은 무엇인지, 그리고 심각한 컴플라이언스 위험이 식별되었을 때 어떤 상급 보고 권한을 가지고 있는지 물을 것입니다. 실질적인 독립 구조를 바탕으로 CASP 라이선스 신청서를 작성하려면, 신청서를 작성한 후에 구조를 뒤늦게 보완하는 것이 아니라, 신청서 작성 전에 아키텍처를 설계해야 합니다.

물리적 실체: 명목상 이사 문제

인가 신청서에는 EU 내 실질적인 경영이 이루어지는 물리적 장소가 명시되어야 합니다. 이는 본사 주소, 관련 지점 위치, 그리고 회사의 실질적인 의사결정 거점을 의미합니다.

• 실질적인 권한을 행사하는 이사 중 최소 한 명은 EU 내에 거주해야 하며, 본국 회원국의 국가감독당국(NCA)이 접근할 수 있어야 합니다.
• EU 관할 구역에 등록된 주소만을 명목상 이사 계약을 통해 확보하는 것은 이 기준을 충족하지 못합니다.
• 실질 요건은 의사 결정의 실질적 권한이 실제로 EU 내에 있어야 함을 의미합니다.

NCA는 RTS 신청서의 위치 항목과 각 경영진 구성원의 시간 투입 내역을 통해 이를 평가합니다.

분기당 2주 동안 EU에 물리적으로 체류하는 이사는 규제상 의미 있는 거주 이사 요건을 충족하지 못합니다. 이는 EU 외부에 위치한 글로벌 본사에서 운영되며 유럽 내 암호화폐 라이선스 취득을 추진 중인 기업들에게 특히 중요한 사항입니다. EU 내 법인은 타 지역에서 운영되는 그룹 구조의 행정적 전초 기지가 아니라, 실질적인 의사결정 단위로 기능해야 합니다.

비즈니스 연속성은 컴플라이언스 팀의 책임

비즈니스 연속성은 일반적으로 IT 부서의 책임으로 간주됩니다. 그러나 MiCA 및 디지털 운영 복원력법(DORA)에 따르면, 이러한 관점은 인가된 CASP에게는 부적절합니다.

비즈니스 연속성 정책은 경영진이 소유하고, 승인하며, 유지 관리해야 합니다. DORA(EU 규정 2022/2554)는 정보 및 통신 기술에 특화된 요소를 규율하며, CASP는 금융 기관으로서 DORA의 적용 범위에 포함됩니다. 이 두 프레임워크는 동시에 적용되며, 컴플라이언스 부서는 두 가지를 동시에 처리할 수 있어야 합니다.

ESMA의 두 번째 MiCA 의견 수렴 문서는 무허가 분산 원장 기술(이더리움과 같은 퍼블릭 블록체인)을 기반으로 운영되는 기업에 대한 구체적인 의무를 도입했습니다. 즉, DLT 수준에서 서비스 중단이 발생할 경우 고객과 사전적이고 체계적인 소통을 해야 한다는 것입니다.

고객의 자금이 위험에 처해 있는지 여부를 고객에게 알리고, 서비스 재개 관리 현황을 명확히 설명해야 합니다. 기업은 기반 블록체인이 허가형이든 아니든 관계없이 자체 스마트 계약으로 인해 발생하는 모든 손실에 대해 전적인 책임을 집니다.

이는 일반적인 IT 장애 대응 정책과는 다릅니다. 이러한 의무를 실질적으로 이행하려면 경영진이 일반적인 기술적 이해를 훨씬 뛰어넘는 수준에서 DLT 인프라 위험을 파악해야 합니다. 블록체인 위험을 일반적인 용어로만 설명할 수 있는 컴플라이언스 팀은 규제 당국의 심사를 충족하는 비즈니스 연속성 정책을 수립, 검토 또는 유지할 수 없을 것입니다.

규제 준수 역량으로서의 데이터 표준

컴플라이언스 기능의 책임은 데이터 아키텍처 영역까지 확장됩니다. 거래 플랫폼을 운영하는 CASP(암호자산 서비스 제공자)는 모든 기록 보관 및 국가 감독 기관(NCA)에 대한 보고 시 디지털 토큰 식별자(DTI) 표준을 사용해야 합니다. DTI는 각 암호자산을 고유하게 식별하고, 해당 자산이 발행, 거래 또는 결제되는 특정 DLT와 연결합니다. 이를 통해 규제 당국은 일관되고 비교 가능한 데이터를 바탕으로 국경을 초월한 감시를 수행할 수 있습니다.

ISO 20022 메시징 표준은 당국에 제출되는 거래 데이터의 형식을 규정합니다. 시장 남용을 방지하기 위해 거래 전후 투명성 데이터는 차별 없이 기계가 읽을 수 있는 공개 채널을 통해 공개되어야 합니다. 이러한 각 요구사항에는 기술적 측면이 포함되어 있으며, 컴플라이언스 팀이 이를 주도적으로 관리해야 하며 IT 부서에 무분별하게 위임해서는 안 됩니다.

기록 보관을 일반적인 시스템 관리 업무로 취급하고, RTS가 요구하는 구체적인 데이터 표준에 대한 컴플라이언스 감독을 소홀히 하는 기업은 인가 획득 후 감독 당국과의 문제에 직면하게 될 것입니다. 이 표준들은 정확히 국가 감독 당국(NCA)이 단일 분석을 통해 수백 개의 CASP(중앙 청산소) 간 기록을 비교할 수 있도록 마련된 것입니다. 요구되는 형식으로 데이터를 제출할 수 없는 기업은 지속적인 규정 준수를 입증할 수 없는 기업입니다.

이것이 바로 "단일 브레인(single brain)" 기준의 실질적인 의미입니다. 컴플라이언스 팀은 규제 인식, 거버넌스 구조, 분산 원장 기술(DLT) 운영 지식, 기술적 데이터 이해력을 하나의 통합된 기능으로 통합합니다. 이러한 요소 중 어느 것도 다른 부서에 전적으로 아웃소싱할 수 없습니다.

애플리케이션 구축보다 팀 구축을 우선시하라

CASP MiCA 라이선스 승인 신청서는 이미 존재하는 기관을 문서화한 것입니다. 이것이 바로 절차를 효율적으로 진행하는 기업과 지체되는 기업을 구분 짓는 사고방식입니다. 유럽에서 암호화폐 거래소 라이선스, 디지털 자산 보관 승인 또는 기타 CASP 라이선스를 추진하는 기업은 팀 구성을 신청서 작성 과정에서 자연스럽게 이루어지는 것이 아니라, 가장 먼저 완료해야 할 과제로 접근해야 합니다.

첫 번째 문서가 작성되기 전에 컴플라이언스 부서는 구조적으로 독립적이어야 합니다. NCA(국가 규제 당국)의 검토가 시작되기 전에 경영진의 집단적 지식 범위를 평가하고, 부족한 부분은 보완해야 합니다. 시간 투입에 대한 공시는 제출 전에 현실적이어야 합니다.

이러한 논리는 전 세계적으로도 적용됩니다. EU 외 지역에서 VASP 라이선스를 신청하는 기업들은 점차 유사한 기준을 마주하고 있습니다. 중동, 아시아-태평양, 미주 지역의 규제 당국들은 컴플라이언스 기능 설계에 있어 형식보다 실질을 중시하는 유사한 요건들로 수렴하고 있습니다. 현재 시행 중인 기준 중 가장 상세하고 기술적으로 구체적인 EU 기준은, 주요 관할권에서 규제 대상 지위를 목표로 팀을 구성하는 모든 기업에게 유용한 벤치마크가 됩니다.

핵심 요점 오해: 컴플라이언스 책임자와 자금세탁방지 책임자(MLRO)를 임명하면 MiCA의 컴플라이언스 의무를 충족한다. 현실: MiCA는 직책 목록이 아닌, 실질적으로 기능하는 컴플라이언스 체계를 요구한다.

경영진이 이 기준을 충족하는지 여부는 다음 세 가지 요소에 의해 결정됩니다: 집단적 지식 범위. 팀은 하나의 단위로 볼 때, 전통적인 금융 시장 전문 지식, 분산 원장 기술(DLT) 및 사이버 보안 역량, 그리고 조직 거버넌스 능력을 모두 포괄해야 합니다. 어느 한 영역에서든 공백이 있다면 이는 구조적 결함이지, 단순히 인력 구성상의 선호 문제가 아닙니다.

문서화된 구조적 독립성. 핵심 내부 통제 기능(준법, 위험 평가, 내부 감사)은 지정된 책임자, 경영진으로의 직접 보고 체계, 그리고 감독 대상 사업 부문으로부터의 검증된 독립성을 갖추어야 합니다. (참고: 자금세탁방지/테러자금조달방지(AML/CFT) 및 사업 연속성 관리도 동등하게 의무 사항이지만, 별개의 조직적 기둥으로 취급됩니다). 준법 기능을 수익 창출 부서를 통해 경유하도록 한 조직도는 금융감독당국의 심사를 통과할 수 없습니다.

실질적인 조직적 기반. 시간 투자는 진정성 있어야 하며 문서화되어야 합니다. EU 내 물리적 거점은 등록된 주소가 아니라 실제 의사결정 권한을 반영해야 합니다. 사업 연속성 정책은 경영진 수준에서 책임져야 합니다. 데이터 보고는 첫날부터 DTI 및 ISO 20022 표준을 충족해야 합니다. CASP 라이선스 신청은 결과물입니다. 컴플라이언스 아키텍처는 그 토대입니다. 먼저 토대를 구축하십시오.

이 기사는 2026년 4월 LegalBison이 수행한 연구를 바탕으로 작성되었습니다. 본 내용은 정보 제공을 목적으로 하며, 법률 자문을 구성하지 않습니다.