DeFi 프로젝트가 유럽의 규제 대상에서 제외된다고 생각하시나요? 다시 한번 생각해 보십시오. 규제 당국은 기술적 구조를 넘어 누가 실제로 운영 통제권을 행사하는지 평가합니다. “완전 분산화”에 대한 면제 조항이 왜 극히 제한적인지, 그리고 이러한 ‘형식보다 실질을 중시하는’ 기준이 여러분의 MiCA 의무를 어떻게 결정하는지 알아보세요.
'우리는 디파이(DeFi) 기업이니 MiCA는 우리에게 적용되지 않는다.' 죄송하지만, 유럽은행감독청(EBA)과 유럽증권시장감독청(ESMA)은 다른 견해를 가지고 있습니다.
작성자
공유
'MiCA Decoded'는 Bitcoin.com News를 위해 LegalBison의 공동 창립자이자 대표이사인 Aaron Glauberman, Viktor Juskin, Sabir Alijev가 공동 집필한 12부작 주간 연재물입니다. LegalBison은 암호화폐 및 핀테크 기업들에게 MiCA 라이선싱, CASP 및 VASP 신청, 그리고 유럽 및 그 외 지역의 규제 구조 설계에 대한 자문을 제공합니다.
이번 주 기사는 LegalBison의 선임 변호사이자 글로벌 규제 연구 및 CASP 라이선스, 기타 복잡한 라이선스 취득을 주도하고 있는 에이라 야르비(Eira Järvi)가 집필했습니다. 에이라는 고객 대상 제품에 대한 글로벌 연구를 적극적으로 수행하고 있습니다.
부상하는 DeFi
최근 몇 년간 탈중앙화 금융(DeFi)이 급부상하고 있습니다. 암호화폐 업계에서는 거의 매일 새로운 DeFi 프로젝트가 등장하고 있습니다. 새로운 블록체인 네트워크, 프로토콜, 탈중앙화 애플리케이션(dApp)은 DeFi 애호가들의 토론과 뉴스레터의 주요 화두를 형성하고 있습니다. 이들은 DeFi의 효율성, 투명성, 조합성, 프라이버시, 접근성 등의 주제를 중심으로 논의됩니다. MiCAR(암호자산 시장 규제)이 발효됨에 따라, 많은 DeFi 개발 팀들이 현재 프로젝트를 EU 시장으로 확장하는 것을 고려하고 있습니다. 그러나 이러한 맥락에서 다른 어떤 주제보다 더 중요한 한 가지가 있습니다. 팀은 구축 중인 프로젝트가 법적으로 준수되도록 어떻게 보장할 수 있을까요?
대부분의 DeFi 스타트업에게 그 답은 간단해 보일 수 있습니다. MiCAR에는 “완전히 탈중앙화된” 프로젝트에 대한 면제 조항이 포함되어 있는데, 많은 스타트업이 MiCAR 준수는커녕 법적 자문조차 구하지 않고 EU에서 프로젝트를 출시하는 데 자신감을 보일 때 이 조항을 근거로 삼고 있습니다. 이 글은 프로젝트가 충분히 탈중앙화되어 있다면 MiCAR는 팀에게 아무런 문제가 되지 않는다는 일반적인 믿음을 바로잡고자 합니다. 죄송하지만, 규제 지침은 그 신화를 깨뜨립니다!
오해: MiCA는 DeFi 및 비수탁형 서비스 제공업체에 영향을 미치지 않는다
MiCAR 제3조 제1항 제1호는 분산 원장 기술(“DLT”)을 “분산 원장의 운영 및 사용을 가능하게 하는 기술”로 정의하고 있으며, 제2호는 “분산 원장”을 “거래 기록을 보관하며, 합의 메커니즘을 사용하여 일련의 DLT 네트워크 노드 간에 공유되고 동기화되는 정보 저장소”로 정의하고 있습니다.
MiCAR의 서문 22항은 DeFi와 이 규정의 관계에 대해 가장 중요한 지침을 제공합니다. 이 조항은 MiCAR가 탈중앙화가 포함된 경우라 하더라도, 암호자산 서비스에 종사하는 자연인, 법인 및 특정 사업체가 직접 또는 간접적으로 수행, 제공 또는 통제하는 서비스와 활동을 포괄하도록 설계되었다고 명시하고 있습니다.
그러나 이 서문에는 다음과 같은 중요한 문구가 포함되어 있습니다. “중개자 없이 완전히 분산화된 방식으로 암호화폐 자산 서비스가 제공되는 경우, 이는 본 규정의 적용 범위에 포함되지 않아야 한다.” 이 조항의 핵심은 “완전히 분산화된”과 “중개자 없이”라는 두 가지 핵심 문구에 있습니다. 규정 본문 자체는 적용 조항 어디에서도 “완전히 분산화된”을 정의하지 않습니다. 이 용어의 유일한 출처는 법적 구속력을 갖는 본문 조항이 아닌 서문(preamble)의 일부인 제22조 서문(Recital 22)에 있다. 또한 제83조 서문은 “비수탁형 지갑의 하드웨어 또는 소프트웨어 제공자는 이 규정의 적용 범위에 포함되지 않아야 한다”고 규정하고 있으나, 하드웨어 또는 소프트웨어 제공이 어느 정도까지 MiCAR에서 제외되는 완전히 분산화된 서비스를 구성하는지에 대해서는 명시적으로 정의하지 않고 있다.
서문 제109항은 이러한 해석상의 어려움을 인정하고, 규제 및 이행 기술 표준 초안의 개발을 유럽은행감독청(EBA)과 유럽증권시장감독청(ESMA)에 위임하고 있다.
서비스가 MiCAR의 적용 범위에 포함되는지 여부를 판단함에 있어, 서문 22항 및 후속 규제 지침에서 다음 두 가지 조건을 도출할 수 있습니다:
- 첫째, 암호화폐 자산 서비스가 운영되는 프로토콜 매개변수, 거버넌스 메커니즘 또는 핵심 기술 인프라에 대해 단일 주체가 통제권을 행사해서는 안 됩니다.
- 둘째, 사용자는 계약상 서비스 제공자 관계가 성립된 지정된 제공자로부터 서비스를 구매하는 것이 아니라, 사실상 “공통 자원”에 접근해야 한다.
이러한 조건들은 특정 DeFi 프로젝트가 MiCAR의 적용 범위에 포함되는지 여부를 평가하는 데 있어 핵심적입니다.
분산화 수준을 과대평가할 때의 함정
급속히 등장하는 기술, 지정학적 불안정성, 그리고 수작업 프로세스와 중개자에 의존하는 파편화된 금융 시스템이 공존하는 세상에서, DeFi는 거래가 시작, 처리, 실행되는 방식을 근본적으로 변화시키는 투명하고 국경 없는 솔루션을 제시합니다. 거래가 실행 및 결제되기 전에 여러 중개자와 기관의 백엔드를 거쳐야 하는 전통적인 금융 시스템 모델과 달리, DeFi에서는 사용자가 탈중앙화 프로토콜과 인터페이스를 통해 기반이 되는 블록체인 네트워크와 직접 상호작용하여 거래하므로, 중개자와 복잡한 시스템 인프라가 필요하지 않습니다.
온체인 법률의 세계에서 완전한 탈중앙화와 탈중앙화 부족 사이의 경계는 생각보다 모호합니다. 업무를 시작하기 전에, 탈중앙화된 Web3 프로젝트와 협력하는 변호사는 먼저 프로젝트의 계층, 탈중앙화 수준, 그리고 소유권 및 거버넌스에 대한 팀의 계획을 분석하고 평가하여 해당 프로젝트가 탈중앙화된 것으로 간주될 수 있는지 파악합니다.
이러한 초기 법률 전략 수립 단계에서, 프로젝트의 탈중앙화 상태에 대해 명확한 결론을 내리기 위해 변호사는 수많은 기술적·구조적 요소를 평가해야 합니다. 팀이 DLT, 프로토콜, dApp 등 모든 요소가 갖춰진 완전한 탈중앙화 프로젝트라고 확신할지라도, 실제로는 초기 평가 결과 정반대의 사실이 드러날 수 있습니다.
진정한 완전한 탈중앙화 상태를 달성하려면, 거버넌스, 소유권, 인터페이스 등을 포함하되 이에 국한되지 않는 프로젝트 생태계 전반과 그 수많은 요소에서 모든 요소가 완전한 자율성을 갖추고 내외부의 영향력을 받지 않아야 합니다. 그러나 자세히 살펴보면 이를 달성하는 프로젝트는 극히 드뭅니다. 이 점을 가장 잘 보여주는 사례는 최근 디파이(DeFi) 세계에서 발생한 사건일 것입니다. 2026년 4월 21일, Arbitrum의 보안 위원회는 Kelp DAO 해킹 사건과 관련된 30 ETH(약 7,100만 달러) 이상을 동결했습니다. 12명의 위원으로 구성된 이 거버넌스 기구는 해킹 사태에 대응하여 자금을 중개 지갑으로 이동시켰으며, 이 자금은 거버넌스 투표를 통해서만 해제될 수 있어 사실상 지갑에 잠겨버린 상태가 되었습니다.
이 사례는 재량적 운영 통제권의 존재를 시사합니다. 아비트럼이 정의상 레이어 2 무허가(permissionless) 네트워크이자 겉보기에는 완전히 탈중앙화된 네트워크임에도 불구하고, 사용자 자산에 대한 통제권 행사가 바로 MiCAR의 완전한 탈중앙화 기준을 충족하지 못하는 부분입니다. 이 경우, 기초 원장의 무허가 여부와 관계없이 '실질 우선(substance-over-form)' 원칙이 규제 범위를 결정합니다.
따라서 DeFi 프로젝트가 완전히 탈중앙화되었다는 단순한 주장만으로는 MiCAR 준수 의무를 배제하고 CASP로서 필요한 인가를 획득하기에 충분하지 않습니다. 변호사들은 주로 프로젝트의 기술적 아키텍처, 소유권 논리, 거버넌스 규칙을 평가할 것이며, 이는 그들이 어휘적 해석보다 실체 우선 원칙에 따른 평가를 적용함을 의미합니다. 유럽은행감독청(EBA) 및 유럽증권시장감독청(ESMA)과 같은 유럽 규제 기관들은 이러한 접근 방식을 전적으로 지지하고 있습니다.
DeFi에 대한 ESMA와 EBA의 관점
ESMA의 탈중앙화 금융에 대한 관점은 여러 차례의 의견 수렴 과정을 거쳐, 특히 2025년 1월 13일에 발표된 MiCAR 제142조에 따라 작성된 '암호자산의 최근 동향에 관한 EBA와의 공동 보고서'(ESMA75-453128700-1391 / EBA/Rep/2025/01)를 통해 크게 진화했습니다.
탈중앙화의 스펙트럼에 대한 ESMA의 논리는 이 평가의 기초가 됩니다. 규제 및 이행 기술 표준에 관한 두 번째 의견 수렴 패키지에서 ESMA는 “허가 없는 분산 원장 기술(permissionless distributed ledger technology)”을 “어떤 주체도 분산 원장이나 그 사용을 통제하지 않으며, 해당 분산 원장 사용을 위한 핵심 서비스를 제공하지 않고, 기술적 요건과 프로토콜을 준수하는 누구든지 DLT 네트워크 노드를 설정할 수 있는 분산 원장의 운영 및 사용을 가능하게 하는 기술”로 정의할 것을 제안했습니다.
이 정의는 무허가(완전 분산형) DLT, 어느 정도의 중앙화를 허용하는 허가형 DLT, 그리고 중앙 집중형 플랫폼을 구분하는 금융안정위원회의 자문 문서를 참고한 것이다. ESMA는 “이 면제의 정확한 범위는 여전히 불확실하다”고 인정하며, 각 시스템의 특성을 고려하여 사례별로 평가를 수행해야 한다고 본다.
ESMA는 탈중앙화가 이분법적인 개념이 아니라 중앙화에서 다양한 수준의 탈중앙화에 이르는 스펙트럼에 존재한다는 점을 인정한다: “DEX의 경우, 블록체인이 중개자의 역할을 대신한다. DEX는 자율 코드(흔히 스마트 계약이라 불림)를 사용하여 블록체인의 결제 계층에서 직접 거래를 실행한다(탈중앙화 정도는 각기 다르다).”
2025년 1월 공동 보고서는 이러한 분석 프레임워크를 뒷받침하는 실증 데이터를 제시한다. 디파이(DeFi)는 전 세계 암호화폐 시가총액의 약 4%를 차지하며, EU 기반 사용자들 사이에서 다소 높은 보급률을 보이고 있다. 이 보고서는 서문 22항에서 구상한 방식대로 진정한 완전한 탈중앙화를 달성한 DeFi 시스템은 극히 드물다는 점을 확인한다. 보고서는 겉보기에 탈중앙화된 프로토콜이라 할지라도 일반적으로 거버넌스, 프로토콜 업그레이드, 스마트 계약 배포 및 수수료 구조에 대해 다양한 수준의 통제권을 행사하는 식별 가능한 주체가 존재한다고 지적한다.
CASP 부수 서비스의 하드웨어 및 소프트웨어 제공업체와 관련하여, ESMA 지침에서 도출된 입장은 암호화폐 자산 제공 또는 거래를 위한 소프트웨어 개발 도구, 애플리케이션 또는 플랫폼을 단순히 제작 및 판매하는 주체는 해당 활동의 범위가 해당 서비스의 제작 및 판매로 한정될 경우 자동으로 CASP로 분류되지 않는다는 것이다.
그러나 암호화폐 자산 서비스 제공을 위한 소프트웨어나 플랫폼의 제작 및 개발을 감독하는 주체는, 암호화폐 자산, 소프트웨어, 프로토콜, 플랫폼 또는 사용자와의 비즈니스 관계에 대해 통제권이나 충분한 영향력을 행사하는 경우 CASP로 간주될 수 있습니다. 따라서 핵심적인 판단 기준은 단순한 기술적 관여가 아니라 통제권과 영향력입니다.
완전한 탈중앙화를 정의하는 데 있어 계약 관계의 역할은 서비스나 활동을 제3자에게 아웃소싱하는 것과 관련된 MiCAR 제73조에 대한 ESMA의 분석을 통해 더욱 강조된다. ESMA는 허가 없는 블록체인과의 상호작용에 공식적인 계약 관계가 필요하지 않으므로, CASP가 사용하는 허가 없는 분산 원장 기술(DLT)을 제3자 제공자로 분류할 법적 근거가 없다고 결론지었다. 이는 무허가 DLT는 일종의 “공익” 자원으로 간주될 수 있는 반면, 상업 기업이 운영하는 허가형 DLT는 일반적으로 공식적인 계약적 약정을 수반하므로 “제3자 제공자” 관계를 구성한다는 중요한 결론으로 이어집니다. 이러한 구별은 본 각서에서 진행될 추가 평가의 근간을 이룹니다.
공동 보고서는 또한 분산형 시스템에 적용되는 자금세탁 및 테러자금조달(AML/CFT) 위험과 정보통신기술(ICT) 관련 고려 사항을 다룹니다. 순수한 분산형 시스템에는 전통적인 AML/CFT 통제 수단이 부재하므로, 고객 확인(KYC) 절차와 거래 모니터링이 일반적으로 없거나 불완전하다는 점에서 상당한 규제상 우려를 야기합니다. 보고서는 ICT 위험이 주요 우려 사항 중 하나라고 지적하며, 디파이(DeFi) 관련 금융 손실의 대부분이 스마트 계약의 취약점, 오라클 조작, 그리고 최대 추출 가치(MEV) 악용을 포함한 프런트러닝 공격에 기인한다고 밝히고 있다. 이러한 위험 요인들은 규제 분류를 결정짓는 요소는 아니지만, 탈중앙화 스펙트럼의 다양한 지점에서 운영되는 주체들에 대한 감독 접근 방식을 형성하는 데 기여한다.
FATF 프레임워크 및 계약 관계
FATF의 VASP 및 DeFi에 대한 지침은 ESMA가 채택하고 더욱 발전시킨 기초적인 분석 프레임워크를 제공합니다. FATF의 ‘가상자산 및 가상자산 서비스 제공자에 대한 위험 기반 접근법 업데이트 지침’(2021년 10월)에 따르면, 소프트웨어 애플리케이션이나 가상자산 플랫폼을 제작하거나 판매하는 자는 해당 애플리케이션이나 플랫폼의 제작 또는 판매에만 전적으로 관여하는 경우(‘전적으로’라는 단어에 중점을 둠) 가상자산 서비스 제공자에 해당하지 않을 수 있습니다.
제작자·소유자·운영자 또는 기타 개인이 DeFi 구조에 대해 통제권을 유지하거나 충분한 영향력을 행사하는 것으로 보이는 경우, 해당 구조가 탈중앙화된 것으로 보일지라도 VASP 서비스를 제공하거나 적극적으로 촉진하고 있다면 FATF의 VASP 정의에 해당할 수 있습니다. 통제권 또는 상당한 영향력은 자산이나 서비스 프로토콜의 특정 측면에 대한 통제를 통해, 또는 운영자와 사용자 간의 지속적인 사업 관계를 통해 나타날 수 있으며, 이러한 통제권이 스마트 계약을 통해, 혹은 경우에 따라 투표 프로토콜을 통해 행사되는 경우에도 마찬가지입니다. FATF의 논리는 다음 두 가지 핵심 원칙을 확립함으로써 MiCAR에 따른 탈중앙화 평가의 토대를 마련합니다:
- 첫째, DeFi에 대한 소유자 및 운영자와 그들의 통제 정도는 해당 구조에 부여된 명칭보다는 수행 중인 활동과의 관계를 통해 파악되는 경우가 많습니다.
- 둘째, 주 서비스 제공자 이외의 당사자가 서비스에 관여하거나 프로세스의 일부가 스마트 계약을 통해 자동화되더라도 부분적인 중앙화를 자동으로 배제할 수는 없습니다.
분산화 평가에서 계약 관계의 역할은 특히 주목할 필요가 있습니다. 운영 기능 수행을 위해 제3자에게 서비스나 활동을 위탁하는 것과 관련된 MiCAR 제73조는 CASP가 제3자 제공자와 관련된 위험을 어떻게 처리해야 하는지 규정하고 있습니다.
그러나 ESMA 제2차 자문 문서가 인정하듯이, CASP가 사용하는 무허가 DLT를 제3자 제공자로 분류할 법적 근거는 존재하지 않는다. 무허가 블록체인과 상호작용하는 데 서비스 수준 계약(SLA)과 같은 공식적인 계약 관계가 필요하지 않기 때문이다. ESMA는 허가 없는 DLT는 일종의 “공통재” 자원으로 간주될 수 있는 반면, 상업 기업이 운영하는 허가형 DLT는 일반적으로 화이트라벨 블록체인 제품에 대한 계약을 수반하므로 제3자 제공자 관계를 구성한다고 결론지었습니다.
이러한 결론은 무허가 인프라를 기반으로 구축된 플랫폼에 대한 규제 평가에 중대한 함의를 갖습니다. 플랫폼이 이더리움과 같은 무허가 블록체인에 스마트 계약을 배포하는 경우, 해당 블록체인 인프라의 사용 자체만으로는 제3자 서비스 제공자 관계가 성립되지 않습니다.
그러나 플랫폼 운영자가 스마트 계약에 대한 통제권을 보유하거나, 그 기능을 업그레이드 또는 수정할 수 있거나, 프런트엔드 인터페이스에 대한 접근을 통제하거나, 프로토콜을 일시 중지, 동결 또는 수정할 수 있는 관리 키를 보유하는 경우, 이러한 중앙화된 요소들로 인해 운영자는 기반 원장의 비허가성 여부와 관계없이 MiCAR의 적용 범위에 포함된다.
따라서 이 기준은 기술적인 것이 아니라 기능적인 것입니다. 즉, 시스템이 어떤 기술로 구축되었는지가 아니라 운영자가 실제로 어떤 통제권을 행사하는지를 묻는 것입니다.
주요 결론:
앞서 언급한 분석, 특히 자문 문서와 2025년 1월 공동 보고서에 명시된 ESMA의 논리를 고려할 때, 본 평가의 목적상 다음 명제들이 타당하다고 판단합니다.
- 첫째, 어떤 개인이나 법인도 DeFi 프로토콜 또는 플랫폼 및 그 사용을 통제하지 않으며, 해당 기술이 활용되기 위해 없어서는 안 될 근본적이고 필수적인 역할을 수행하는 개인이 없는 한, 해당 DeFi 프로토콜 또는 플랫폼은 서문 22의 의미에서 “완전히 탈중앙화(fully decentralised)”되었다는 이유로 MiCAR의 적용 범위에서 제외될 수 있습니다.
- 둘째, CASP를 위한 소프트웨어나 보조 도구의 개발 자체는, 개발자가 수행하는 활동 범위에 암호화폐 자산의 제공, 판매, 양도, 보관 또는 거래에 영향을 미치는 것과 같은 MiCAR 규제 대상 요소가 포함되지 않는 한, 암호화폐 자산 서비스로 간주되지 않습니다.
그러나 이러한 원칙을 어떤 DeFi 프로젝트에 실질적으로 적용하기 위해서는 해당 생태계의 실제 거버넌스 및 운영 특성을 면밀히 검토해야 합니다. 프로젝트의 아키텍처가 토큰 발행, 프로토콜 매개변수 또는 생태계 거버넌스에 대한 중앙 집중식 통제를 나타내는 경우, 서문 22의 “완전히 탈중앙화된” 면제 요건을 충족하기 어려우며, 해당 프로젝트와 관련하여 제공되는 서비스는 MiCAR의 규정에 따라 평가되어야 합니다.
핵심 요약
“완전 분산화” 면제 조항은 극히 제한적입니다: MiCA의 서문 22항은 “중개자 없이 완전히 분산화된 방식으로” 제공되는 서비스는 규제 범위에서 제외된다고 명시하고 있으나, 이러한 진정한 완전 분산화 상태를 달성하는 경우는 극히 드뭅니다. 단일 주체가 거버넌스, 프로토콜 매개변수 또는 핵심 인프라에 대한 통제권을 행사하는 경우, 이 면제 조항은 적용되지 않습니다.
형식보다 실질을 중시하는 규정 준수: 규제 당국은 마케팅 주장이나 기술적 용어보다는 실제 운영 통제권을 평가합니다. 규제 기준은 기술적 측면이 아닌 기능적 측면에 있습니다. 운영자가 관리 키를 보유하거나, 프론트엔드 인터페이스를 통제하거나, 스마트 계약을 업그레이드하거나 일시 중지할 수 있는 능력을 가진 경우, 해당 프로젝트는 MiCA의 적용 범위에 포함됩니다.
분산화는 스펙트럼으로 존재합니다: ESMA는 분산화를 이분법적인 개념으로 보지 않습니다. 프로젝트가 자율적인 코드와 스마트 계약에 크게 의존하더라도, 수수료 구조, 프로토콜 업그레이드 또는 거버넌스에 대해 다양한 수준의 통제권을 행사하는 식별 가능한 주체가 존재한다면 규제 당국의 심사를 받게 됩니다.
허가 없는 블록체인은 “공통재”입니다: 공개적이고 허가 없는 블록체인에 의존한다고 해서 MiCA 제73조에 따른 공식적인 제3자 아웃소싱 관계가 성립되는 것은 아닙니다. ESMA는 이를 “공통재” 자원으로 분류하기 때문입니다. 그러나 공통재 인프라에 스마트 계약을 배포하더라도, 플랫폼 운영자가 해당 계약에 대한 기능적 통제권을 보유한다면 MiCA의 적용을 피할 수 없습니다.
소프트웨어 개발자가 자동으로 CASP가 되는 것은 아님: 비수탁형 소프트웨어나 하드웨어를 단순히 제작 및 판매한다고 해서 해당 주체가 자동으로 암호화폐 자산 서비스 제공자(CASP)로 분류되지는 않습니다. 그러나 개발자나 운영자가 암호화폐 자산, 플랫폼, 또는 사용자와의 지속적인 비즈니스 관계에 대해 충분한 영향력을 행사하는 경우, 규제 기준을 충족하게 되어 CASP로 규제받게 됩니다.
본 기사는 2026년 4월 LegalBison이 수행한 연구를 바탕으로 작성되었습니다. 본 내용은 정보 제공을 목적으로 하며, 법률 자문을 구성하지 않습니다.
