보고서는 2026년 4월 기준 미국, 유럽연합(EU), 홍콩, 싱가포르 등 주요 사법 관할권에서 디지털자산 관련 규제 체계가 구체화되고 있다고 분석했다. 이에 따라 디지털자산 산업은 자율 규제와 사후 대응 중심의 초기 단계를 지나, 라이선스·자금세탁방지(AML)·보안 감사·준비금 관리 등을 포괄하는 전면적 컴플라이언스 단계로 진입하고 있다는 평가다.
CertiK은 이번 보고서에서 글로벌 디지털자산 규제의 핵심 변화로 ▲자금세탁방지 집행 강화 ▲스마트컨트랙트 보안 감사의 제도권 편입 ▲스테이블코인 규제 기준의 수렴 ▲은행권 건전성 규제 도입에 따른 기관 참여 구조 변화 등을 제시했다.
규제 집행 초점, 증권성 판단에서 AML로 이동
2024년부터 2025년 사이 미국 증권거래위원회(SEC)의 암호화폐 분야 특별 집행 건수와 벌금 규모는 감소한 반면, 미국 법무부(DOJ)와 금융범죄단속네트워크(FinCEN)는 자금세탁방지 관련 집행을 강화했다. 2025년 상반기에만 AML 관련 사안으로 9억달러 이상의 벌금 및 합의금이 부과됐다.
대표 사례로는 OKX와 KuCoin 관련 제재가 있다. OKX는 무허가 자금서비스업 운영 및 은행비밀보호법(BSA) 위반 혐의와 관련해 5억 400만달러 규모의 합의에 도달했으며, KuCoin 역시 유사한 위반 사안으로 2억 9740만 달러의 합의금을 부담했다.
CertiK은 이 같은 사례가 디지털자산 거래소의 거래 모니터링과 고객확인, 제재 대상 스크리닝 역량이 단순한 내부통제 절차를 넘어 핵심 규제 리스크로 부상했음을 보여준다고 분석했다.
지역별 규제 방식에는 차이도 나타났다. 유럽은 AML 관련 벌금과 제재 수위를 높이는 방식으로 대응하고 있으며, 아시아·태평양 지역에서는 벌금 부과보다 라이선스 취소, 영업 제한, 개선 명령 등을 통해 시장 질서를 관리하는 경향이 강한 것으로 나타났다.
보고서는 "디지털자산 규제의 논리가 자산의 법적 성격을 둘러싼 논쟁에서 자금 흐름과 시장 접근 통제로 이동하고 있다"며 거래소와 커스터디 기관의 거래 모니터링, 의심거래보고, 제재 대상 스크리닝 역량이 향후 핵심 경쟁력이 될 것이라고 진단했다.
스마트컨트랙트 보안 감사, 선택 아닌 시장 진입 조건으로
보안 규제 역시 강화되고 있다. CertiK은 스마트컨트랙트 보안 감사가 과거에는 업계 모범 사례에 가까웠지만, 현재는 주요 관할권에서 라이선스 취득과 토큰 상장, 자산 승인 절차의 사실상 필수 요건으로 편입되고 있다고 분석했다.
홍콩, 아랍에미리트(UAE), 싱가포르, 브라질 등은 독립적인 보안 평가를 라이선스 심사 또는 자산 승인 절차에 반영하고 있다. 홍콩은 스테이블코인 발행 인가 과정에서 스마트컨트랙트 감사 요건을 적용하고 있으며, 두바이 가상자산규제청(VARA)은 인가 기관에 대해 정기적인 스마트컨트랙트 감사를 요구하고 있다.
EU의 디지털 운영 복원력 법안(DORA) 역시 금융기관과 관련 서비스 제공자의 운영 복원력, 정보통신기술 리스크 관리, 보안 점검 의무를 강화하고 있다. 두바이의 VARA는 인가 기관에 대해 연례 스마트컨트랙트 감사를 요구하며, 필요 시 위협 기반 침투 테스트 시행도 명령할 수 있는 권한을 보유하고 있다. 브라질 중앙은행도 가상자산사업자(VASP)의 라이선스 신청 과정에서 사이버 보안, 자산 분리 보관, 키 관리 체계 등을 포함한 독립 기술 인증 제출을 요구하고 있다.
CertiK의 내부 분석에 따르면 과거 해킹 피해 프로젝트의 약 80%는 사고 이전 공식 보안 감사를 받지 않았으며, 이들 프로젝트에서 발생한 피해액은 전체 피해액의 89% 이상을 차지했다.
공격 양상도 바뀌고 있다. 2025년 기준 전체 피해액의 약 76%는 개인키 유출, 접근 권한 관리 실패 등 인프라 계층 문제에서 발생한 것으로 집계됐다. 전통적인 코드 취약점보다 운영 보안, 키 관리, 접근 통제 실패가 더 큰 피해로 이어지고 있다는 의미다.
보고서는 이에 따라 규제 당국의 보안 요구도 단순 코드 감사에서 벗어나 키 관리, 운영 보안, 침투 테스트, 내부통제 체계 등을 포함한 종합 보안 진단으로 확장되고 있다고 설명했다.
스테이블코인 규제 기준 수렴…준비금·인가제 중심 재편
스테이블코인 분야는 글로벌 규제 기준이 가장 빠르게 수렴하는 영역으로 꼽혔다.
보고서는 미국의 GENIUS Act, EU의 가상자산시장법(MiCA), 홍콩의 스테이블코인 관련 규제, 싱가포르의 지급서비스사업자 라이선스 체계 등을 주요 사례로 들었다. 이들 규제는 세부 방식에는 차이가 있지만, 대체로 ▲법정화폐 또는 고유동성 자산 기반 준비금 ▲알고리즘형 스테이블코인 제한 ▲준비금 독립 감사 ▲발행사 인가제 운영 ▲상환권 보장 등을 핵심 원칙으로 삼고 있다.
다만 각국의 준비금 구성 기준, 감사 주기, 자본 요건, 외국 발행사 인정 방식은 아직 완전히 일치하지 않는다. 이에 따라 스테이블코인 발행사의 과제는 단순히 법적 지위를 확보하는 데서 그치지 않고, 복수 관할권의 상이한 규제 체계를 동시에 충족하는 방향으로 이동하고 있다.
특히 글로벌 사업자를 중심으로 지역별 준비금 규정 충돌, 라이선스 상호인정 체계 부재, 컴플라이언스 비용 증가 등이 주요 부담으로 지목된다. 보고서는 스테이블코인이 결제 인프라와 연결될수록 각국 중앙은행과 금융당국의 감독 강도 역시 높아질 것으로 내다봤다.
바젤 규제 도입…은행권 디지털자산 참여 방식 변화
기관 투자자와 은행권의 디지털자산 참여 구조도 바뀌고 있다.
보고서는 바젤은행감독위원회(BCBS)의 가상자산 건전성 규제 기준이 각국 금융 규제 체계에 단계적으로 반영될 것으로 전망했다. 해당 기준은 디지털자산을 위험 특성에 따라 구분하고, 은행이 보유하는 자산 유형에 따라 차등화된 자본 규제를 적용하는 것이 핵심이다.
규제 요건을 충족한 스테이블코인과 토큰화된 전통 금융자산은 상대적으로 낮은 위험가중치를 적용받을 수 있는 반면, 비트코인 등 무담보 디지털자산은 높은 자본 적립 부담을 지게 된다.
이는 은행과 대형 금융기관의 디지털자산 편입 전략에도 영향을 줄 것으로 보인다. 보고서는 기관 자금이 향후 규제 적합성, 준비금 투명성, 증권형 구조, 커스터디 안정성을 갖춘 디지털자산으로 집중될 가능성이 높다고 분석했다.
"컴플라이언스, 선택 아닌 상시 비용"
CertiK은 보고서 말미에서 주요국 규제 체계가 점차 수렴하고 있지만, 기업이 부담해야 할 컴플라이언스 진입장벽은 계속 높아지고 있다고 진단했다. 특히 AML, 보안 감사, 준비금 관리, 라이선스 유지 비용은 디지털자산 기업의 글로벌 확장 과정에서 상시 비용으로 자리 잡고 있다는 설명이다.
CertiK 미국 정부정책 총괄 Stefan Muehlbauer는 "디지털자산 규제의 모호한 시대는 이미 끝났다"며 "강제 집행력을 갖춘 규제 체계가 전 세계 주요 시장으로 빠르게 확산되고 있다"고 밝혔다.
이어 "기관 투자자와 기업에게 핵심 질문은 더 이상 '컴플라이언스가 필요한가'가 아니라, '규제 요건을 충족하고 실제로 집행 가능한 컴플라이언스 인프라를 얼마나 빠르게 구축할 수 있는가'로 바뀌고 있다"고 강조했다.
보고서는 앞으로 Web3 기업과 기관이 복수 관할권에서 사업을 전개하기 위해서는 라이선스 취득과 유지, AML 시스템 고도화, 지속적인 보안 감사, 키 관리 체계 구축 등을 장기 자본 계획에 포함해야 한다고 제언했다. 디지털자산 산업이 제도권으로 편입되는 과정에서 보안과 컴플라이언스는 더이상 부가 기능이 아니라 시장 진입을 결정하는 핵심 조건이 되고 있다는 분석이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
