글쓴이: 변호사 양치
스테이블코인은 결제, 해외 송금, 자금 관리, 기업 간 거래(B2B) 등 다양한 분야에서 기업들에게 점점 더 많이 활용되고 있습니다. 그러나 싱가포르에서 "스테이블코인을 결제 수단으로 사용하는 것"은 단순히 상품 관련 문제만이 아니라, 규제 경계, 자금세탁방지/테러자금조달방지(AML/CFT), 기술 리스크 관리 등 복잡한 사안을 수반합니다.
이 글에서는 실행 가능한 접근 방식을 통해 핵심 경로를 명확하게 설명합니다. 첫째, 업무 모델을 명확하게 설명하고, 둘째, 라이선스 및 규정 준수 시스템을 구축하여 법규 위반 리스크 과 그에 따른 시정 비용을 크게 줄일 수 있습니다.
참고: 본 문서는 일반적인 정보 제공만을 목적으로 하며 법률 자문을 구성하지 않습니다. 최종적인 법규 준수 결과는 거래 프로세스, 고객 유형, 자금/토큰의 이체 및 관리 방식에 따라 달라집니다.
먼저 가장 중요한 단계부터 시작하세요. 바로 업무 작성하는 것입니다.
구체적인 실행 단계를 논의하기 전에, 업무 책임자에게 자금/토큰 흐름도를 1페이지 분량으로 작성해 주시고, 최소한 다음 질문들에 대한 답변을 포함해 주시기 바랍니다.
- 귀사의 고객은 누구입니까? 개인/판매자/특정 분야 또는 산업의 업무?
- 고객의 스테이블코인을 보유 또는 관리하고 계십니까(수탁, 개인 키 관리, 다중 서명 권한)?
- 법정화폐를 스테이블코인으로 교환하시나요, 아니면 스테이블코인을 스테이블코인으로 교환하시나요?
- 송금(A에서 B로, 가맹점 수령, 기업 결제)을 중개하셨나요?
- 귀사의 고객은 싱가포르에 있습니까, 아니면 해외에 있습니까? 싱가포르에서 해외 고객에게 서비스를 제공하십니까?
- 귀사는 스테이블코인 발행사입니까, 아니면 USDC/USDT와 같은 제3자 스테이블코인만 사용하십니까?
Flow의 이 페이지는 어떤 규제 활동을 수행해야 하는지, 그리고 어떤 규정 준수 시스템이 필요한지를 결정합니다.
II. 라이선스 평가: 대부분의 스테이블코인 결제는 PSA(결제시스템법) 프레임 에 속하며, FSMA(금융서비스시장법)의 적용을 받을 수도 있습니다.
싱가포르에서 스테이블코인 결제 업무 일반적으로 결제 서비스법(PSA)의 규제 범위에 속하며, 특히 디지털 결제 토큰(DPT) 서비스(송금, 교환, 보관 등) 관련 활동에 적용됩니다. 또한 싱가포르에서 해외 고객에게 디지털 토큰 서비스를 제공하는 경우 금융시장감독청(FSMA)의 관련 요건을 준수해야 할 수도 있습니다.
일반적인 업무 모델과 "잠재적 규제 유발 요인"
- 가맹점 대금 수금 + 스테이블코인 정산/청산: DPT 관련 서비스가 자주 발생합니다. 매입, 이체, 해외 송금 등이 포함되는 경우 다른 PSA 결제 서비스 유형도 추가될 수 있습니다.
- 지갑/에스크로(고객 코인에 접근 가능): 이는 특히 개인 키를 관리하거나 전송 권한이 있는 경우 리스크 지점 중 하나로 간주됩니다.
- OTC/거래소/매칭: 이는 일반적으로 DPT 관련 서비스를 활성화합니다.
- 스테이블코인 자체 발행: 훨씬 더 높은 규제 요건을 충족해야 하는 "발행자 규제 프레임"에 포함되기 위한 논의를 촉발하는 방법.
실질적인 조언: "어떤 종류의 라이선스를 신청하고 싶은가?"라는 질문부터 시작하지 말고, "내가 어떤 규제 대상 활동을 해왔는가?"라는 질문부터 시작하세요. 규제 당국은 항상 거래의 실질을 중점적으로 판단합니다.
셋째, 스테이블코인을 발행하고 싶다면 먼저 "싱가포르 통화청(MAS) 규제 스테이블코인" 경로를 따를지 여부를 결정해야 합니다.
기존 스테이블코인을 사용하는 것뿐만 아니라 자체 스테이블코인을 발행할 계획이라면, 규정 준수 경로는 완전히 달라집니다. 일반적으로 훨씬 더 엄격한 요건(예: 준비 자산, 상환 메커니즘, 정보 공개, 감사 및 운영 리스크 관리)을 충족해야 합니다.
결론은 간단합니다.
- 발행하지 않음: 초점은 "DPT/결제 서비스 제공업체"의 규정 준수 시스템(특히 자금세탁방지 및 기술적 리스크)에 맞춰져 있습니다.
- 발행하려면 발행기관의 프레임 에 따라 "준비금, 상환, 감사, 공시 및 지배구조"를 기관 차원에서 수행해야 합니다.
IV. 준법성 원칙 1: 자금세탁방지(AML/CFT) (금융기관과 동일하게 수행되어야 함)
스테이블코인/디지털 토큰 관련 업무 에서 규제 당국이 가장 먼저 살펴보는 영역은 **자금세탁 방지 및 테러 융자(AML/CFT)**입니다.
최소한 다음과 같은 "구현 가능한" 시스템을 보유해야 합니다.
1) 기업 수준 리스크 평가(EWRA)
- 제품 리스크, 고객 리스크, 지역 리스크, 채널 리스크
- 어떤 고객에게 강화된 실사(EDD)가 필요한가요? 어떤 고객은 거절해야 하나요?
2) 고객 실사(KYC/CDD/EDD)
- 신원 인식 및 검증, 실소유자 식별(예: 기업 고객).
- 제재 및 PEP 심사(정치적 공인)
- 리스크 트리거 규칙(예: 익명성, 복잡한 구조, 민감한 영역 등)
3) 거래 모니터링 및 의심스러운 거래 처리(STR 프로세스)
- 모니터링 규칙/시나리오(예: 잦은 분할, 빠른 진입 및 이탈, 비정상적인 주소 연결 등)
- 사건 관리 및 보고 체계: 누가 조사하고, 누가 승인하며, 증거 보존 절차는 어떻게 되는가?
- 직원 교육 및 연례 평가/독립 감사
4) 온체인 분석/지갑 리스크 평가 (가능한 한 빨리 실시하는 것을 강력히 권장합니다)
- 법적으로 의무적인지 여부는 업무 모델에 따라 다르지만, 실질적인 관점에서 볼 때 온체인 펀드 추적 및 주소 리스크 평가는 특히 리스크 산업을 대상으로 하거나, 국경 간 거래를 하거나, 수탁/이체 기능을 제공하는 경우 '업계 표준 관행'에 점점 더 가까워지고 있습니다.
V. 규정 준수 2단계: 마케팅 규정 준수 – 스스로를 "대중을 위한 암호화된 광고"로 전락시키지 마십시오.
싱가포르에서는 디지털 토큰 관련 서비스의 홍보 및 마케팅이 엄격한 규제 대상입니다. 많은 팀이 제품 자체의 문제보다는 "홍보 방식" 때문에 실패하는데, 대규모 공개 마케팅, 수익률 과장, 리스크 축소, 그리고 대중 참여 유도는 모두 매우 민감한 사안입니다.
일반적으로 더 안정적인 접근 방식은 다음과 같습니다.
- B2B(판매자, 기업, 기관) 선호
- 채널은 점점 더 "전문적"으로 변모하고 있습니다. 업계 컨퍼런스, 비공개 회의, 파트너 추천, 그리고 타겟 콘텐츠 마케팅 등이 그 예입니다.
- 리스크 명확히 공개해야 합니다. 위험을 축소하거나, "수익 보장" 또는 "원금 보호"를 약속해서는 안 됩니다.
요약하자면, 사용자 기반을 늘릴 수는 있지만, "추측성 이야기"를 이용해 신규 사용자를 확보할 수는 없습니다.
VI. 규정 준수 핵심 요소 3: 기술 리스크, 관리형 보안 및 아웃소싱 관리(TRM + 아웃소싱)
스테이블코인 결제 회사는 "금융 + 소프트웨어"의 조합입니다. 규제 당국은 특히 다음과 같은 측면에서 기관 수준의 기술 리스크 관리 역량을 갖추고 있는지 평가할 것입니다.
1) 지갑 및 키 관리
- 권한 분리, 승인 메커니즘, 다중 서명/계층형 권한 부여
- 엔드투엔드 로깅 및 감사
- 중요 운영에 대한 "2인 검토/다자간 승인"
2) 네트워크 보안 및 사고 대응
- 취약점 관리, 침투 테스트, 패치 및 구성 관리
- 사고 대응 계획 및 훈련(테이블탑 훈련)
- 백업, 복구 및 업무 연속성(BCP)
3) 공급업체/아웃소싱 관리(매우 중요): 클라우드 서비스, KYC 공급업체, 온체인 분석 도구, 지갑 인프라 등에 아웃소싱을 하게 될 가능성이 높습니다. 규제 당국은 다음 사항을 고려할 것입니다.
- 공급업체 실사 및 리스크 평가
- 계약 조건(감사 권한, 데이터 보호, 하도급 제한, 계약 해지 메커니즘)
- 주요 공급업체를 위한 대안 및 비상 계획
VII. 준법성 원칙 4: 개인정보보호법(PDPA)
고객확인(KYC) 절차를 수행하고 고객, 거래 또는 장비 정보를 수집할 때마다 싱가포르 개인정보보호법(PDPA)의 의무를 준수해야 합니다. 비용은 적게 들지만 효과는 큰 두 가지 조치부터 시작하는 것이 좋습니다.
- 데이터 보호 책임자(DPO)를 임명하고 외부 소통 채널을 구축하십시오.
- 데이터 맵을 만드세요: 어떤 데이터가 수집되는지, 그 목적은 무엇인지, 어디에 저장되는지, 누구와 공유되는지, 그리고 얼마나 오래 보관되는지를 명시하세요.
VIII. 창업자 실행 계획: 0일차 → 90일차
0일차~15일차: 먼저, 경계를 명확히 하세요.
- 자금/토큰의 흐름을 명확하게 나타내는 흐름도를 그리세요.
- 에스크로 서비스, 환전 또는 계좌 이체 중 어떤 서비스를 이용하시는지, 그리고 고객이 싱가포르에 거주하는지 해외에 거주하는지 명확히 알려주시기 바랍니다.
- "어떤 활동이 규제 대상에 해당하는지"에 대한 예비 결정이 완료되었습니다.
15일~45일차: 규정 준수 프레임워크 구축
- 자금세탁방지/테러자금조달방지(AML/CFT): 리스크 평가, 고객실사/강제실사, 모니터링 및 의심스러운 거래조사(STR) 프로세스
- 기술적 리스크: 지갑/키, 보안 기준선, 사고 대응
- 아웃소싱 관리: 공급업체 실사 + 계약 조건 + 계약 해지 비상 계획
- 개인정보보호법(PDPA): 데이터보호책임자(DPO), 개인정보보호정책, 데이터 보존 및 접근 제어
45~90일차: 규정 준수를 "실행 가능하게" 만들기
- 선별 및 모니터링 도구를 출시하고 사례 관리 및 기록 보관 시스템을 구축합니다.
- 직원 교육, 규정 준수 보고 체계 및 내부 검사 체계를 완비해야 합니다.
- 라이선스/규정 준수 패키지(지배구조, 시스템, 아키텍처, 프로세스, 증거 연쇄)를 준비하십시오.
결론적으로, 규정 준수는 "비용"이 아니라 장기적으로 사업을 성장시키고 유지할 수 있는지 여부를 결정짓는 중요한 요소입니다.
스테이블코인 결제는 빠르지만, 규정 준수는 더욱 빨라야 합니다. 규제 경계, 자금세탁방지(AML), 기술적 리스크 이라는 세 가지 핵심 영역을 숙지함으로써 업무 기관 파트너십을 확보하고, 실사 과정을 통과하며, 중요한 순간에 철저한 검증을 견뎌낼 수 있습니다.
