“증권성보다 AML이 더 무섭다”…서틱 리서치, 디지털 자산 규제의 새 전장 진단

글로벌 디지털 자산 규제가 설계 단계를 지나 본격적인 집행 국면에 접어들었다. 서틱 리서치(CertiK Research)는 최근 보고서를 통해 미국과 유럽연합(EU), 홍콩, 싱가포르, 아랍에미리트(UAE), 일본, 브라질, 한국 등 주요 관할권에서 스테이블코인, 자금세탁방지(AML), 커스터디, 스마트 컨트랙트 감사 기준이 빠르게 제도화되고 있다고 진단했다. 특히 규제 리스크의 중심이 토큰의 증권성 판단에서 ‘AML 컴플라이언스’와 거래 모니터링, 제재 준수로 이동했으며, 2025년 상반기 기준 관련 벌금과 합의금이 9억 달러를 넘어선 점은 시장 참가자들에게 중대한 경고로 읽힌다.

이번 분석은 2026년 4월 기준 공개 자료를 토대로 각국 규제 프레임워크와 집행 흐름, 보안 감사 의무, 바젤 자본 규제, 토큰화 자산에 대한 법적 처리 방식을 종합적으로 짚었다. 핵심은 단순하다. 디지털 자산 사업자는 이제 전통 금융기관과 유사한 수준의 자본 규제, 자산 분리, 운영 탄력성, AML 통제, 보안 검증을 요구받고 있으며, 이는 거래소와 커스터디 기관, 스테이블코인 발행자, 토큰화 인프라 사업자 전반에 공통으로 적용되고 있다.

가장 눈에 띄는 변화는 스테이블코인 규제의 ‘실행 단계’ 진입이다. 미국의 ‘GENIUS Act’, 유럽연합의 MiCA, 홍콩의 ‘스테이블코인 조례’, 싱가포르의 결제 서비스 규제 체계, UAE의 VARA·ADGM 체계, 브라질 중앙은행 규정 등이 공통적으로 전액 준비금, 상환 권리, 발행자 라이선스, 외부 검증, 거버넌스 통제를 요구하고 있다. 과거에는 스테이블코인의 법적 지위가 쟁점이었다면, 이제는 각국별 준비금 구조와 공시 방식, 현지 인가 체계 대응 여부가 사업 지속 가능성을 좌우하는 단계로 넘어갔다.

미국에서는 연방 차원의 스테이블코인 규율이 정비되는 한편, 주 단위 규제도 여전히 강하게 작동하고 있다. 뉴욕주 금융서비스국(NYDFS)은 1대1 준비금 유지, 일일 상환, 월간 준비금 검증을 요구하고 있으며, 와이오밍주는 특수목적 예치기관(SPDI) 제도를 통해 디지털 자산 금융기관을 제도권 안으로 편입시키고 있다. 다만 미국 규제의 무게중심은 증권성 공방에서 ‘AML 집행’으로 빠르게 이동했다. SEC의 암호자산 관련 제재는 2024년 대비 2025년에 건수와 규모 모두 급감했지만, 그 공백은 법무부(DOJ)와 금융범죄단속네트워크(FinCEN)가 메우고 있다.

실제 사례는 분명하다. 서틱 리서치(CertiK Research)에 따르면 2025년 상반기 미국 내 AML 관련 벌금과 합의금은 9억 달러를 넘었다. OKX는 5억400만 달러, 쿠코인(KuCoin)은 2억9740만 달러 규모의 제재를 받았고, 블록(Block Inc.)과 브링크스 글로벌 서비스도 수천만 달러 단위 제재에 직면했다. 거래 모니터링 실패, 고객확인(KYC) 미비, 제재 대상 거래 차단 실패가 더 이상 부수적 리스크가 아니라 핵심 규제 리스크가 됐다는 뜻이다.

유럽은 MiCA와 DORA를 중심으로 규제 일원화를 서두르고 있다. MiCA는 2024년 12월부터 암호자산 서비스 제공자(CASP)에 대한 단일 인가 체계를 제공하며, 하나의 라이선스로 27개 회원국에 패스포팅이 가능한 구조를 마련했다. 동시에 DORA는 ICT 리스크 관리와 사고 보고, 보안 테스트, 제3자 기술 리스크 관리까지 포괄하며, 스마트 컨트랙트를 활용하는 사업자에게 사실상 코드 검토와 운영 복원력 점검을 요구하는 효과를 낳고 있다. 여기에 EU의 AML 체계 개편과 향후 AMLA 출범까지 더해지면서, 유럽 시장은 규제 명확성이 높아지는 대신 준수 비용도 빠르게 상승하는 구도로 바뀌고 있다.

홍콩과 싱가포르는 아시아에서 가장 제도화된 모델로 평가된다. 홍콩은 SFC와 HKMA가 각각 거래 플랫폼과 스테이블코인 발행자를 나눠 감독하는 이원 체계를 구축했고, 2026년 3월 기준 12개 가상자산 거래 플랫폼이 라이선스를 보유하고 있다. 스테이블코인 발행자는 전액 준비금 보유, 월간 공시, 액면가 상환, 독립적 스마트 컨트랙트 감사 의무를 따른다. 싱가포르는 37개 디지털 결제 토큰 서비스 제공자가 라이선스를 보유한 가운데, 사전 단계에서 디지털 지갑과 스마트 컨트랙트에 대한 독립 평가를 요구하고 있으며, 규정 위반 시 벌금보다는 영업상 제약과 시정 명령을 적극 활용하고 있다.

중동에서는 UAE가 가장 빠르게 제도 정비를 마쳤다. 두바이 VARA는 거래소, 커스터디, 브로커, 대출·차입, 자산관리 등 다양한 활동에 대한 라이선스를 운영하고 있으며, 연간 스마트 컨트랙트 감사와 위협 기반 침투 테스트(TLPT)를 요구할 수 있는 권한을 확보했다. 아부다비 글로벌 마켓(ADGM)의 금융서비스 규제청(FSRA) 역시 토큰 상장을 위해 분산원장기술(DLT) 테스트와 코드 검증을 요구한다. UAE 중앙은행은 국내 결제용 스테이블코인에 대해 디르함(AED) 기반 준비금을 의무화했고, 외화 기반 및 알고리즘형 스테이블코인의 상거래 사용은 제한하고 있다.

일본과 브라질도 제도 정비 속도가 눈에 띈다. 일본은 암호자산을 금융상품으로 분류하는 금융상품거래법(FIEA) 개정안을 승인하며 내부자 거래와 발행자 공시 규제를 강화했다. 브라질은 SPSAV 인가 체계를 통해 거래소, 커스터디, 중개업자를 중앙은행 감독 아래 두고, IN 701 규정을 통해 사이버보안, 자산 분리, 키 관리, 준비금 증명, 리스크 관리에 관한 독립 기술 인증을 의무화했다. 특히 브라질 시장은 전체 거래의 약 90%가 스테이블코인 기반일 만큼 디지털 달러 수요가 높아, 향후 규제와 시장 확대가 동시에 진행될 가능성이 크다.

한국도 예외는 아니다. ‘가상자산 이용자 보호법’ 시행 이후 시장 조작 관련 첫 형사 고발이 이뤄졌고, 거래소 협의체 DAXA는 토큰 상장 전 보안 평가와 코드 검토를 사실상 상장 요건으로 운영하고 있다. 향후 2단계 입법에서는 스테이블코인 규제와 기관 투자자 참여 허용 여부, 발행 규율이 핵심 쟁점이 될 전망이다. 이는 국내 시장 역시 단순 거래소 규제를 넘어 발행·유통·보안·준법 전반으로 규제 축이 넓어지고 있음을 보여준다.

이번 보고서가 특히 강조한 또 다른 흐름은 스마트 컨트랙트 감사의 제도화다. 불과 2년 전만 해도 모범 사례에 가까웠던 보안 감사가 이제는 각국 라이선스와 상장 심사의 전제 조건으로 자리 잡고 있다. 홍콩, UAE, 브라질, 터키 등은 명시적 요건을 뒀고, 유럽연합과 미국 일부 주는 운영 탄력성·사이버보안 규제를 통해 사실상 같은 요구를 부과하고 있다. 이는 단지 규제기관의 보수적 태도 때문만은 아니다. 보고서는 주요 공격 사례 상위 100개 프로토콜 중 80%가 사고 이전에 공식 감사를 받지 않았으며, 이들이 전체 손실의 89.2%를 차지했다고 분석했다.

보안 위협의 양상도 달라졌다. 2025년 중반 기준 온체인 공격 누적 손실은 이미 21억7000만 달러를 넘어 2024년 전체치를 웃돌았다. 그러나 문제의 중심은 더 이상 코드 그 자체만이 아니다. 프라이빗 키 유출, 접근 통제 실패, 지갑 운영 구조 취약점 등 ‘인프라 침해’가 전체 손실의 약 76%를 차지했다. 2025년 2월 발생한 바이비트(Bybit) 해킹은 약 14억6000만 달러 손실을 낳았는데, 이는 스마트 컨트랙트 버그보다 서명 인프라 침해의 위험이 얼마나 큰지 보여준 대표적 사례다. 결국 시장이 요구받는 보안 수준은 코드 감사에 그치지 않고 운영 보안, 접근 권한 관리, 복구 체계, 침투 테스트까지 포괄하는 방향으로 진화하고 있다.

바젤은행감독위원회(BCBS)의 자본 규제 시행 역시 기관 투자 전략에 직접적인 영향을 미친다. 2026년 1월 1일부터 적용된 기준은 디지털 자산을 그룹 1과 그룹 2로 나누고, 토큰화된 전통 금융자산과 요건을 충족하는 스테이블코인에는 일반적인 위험가중치를, 비트코인(BTC), 이더리움(ETH) 같은 무담보 자산에는 훨씬 높은 자본 적립 부담을 부과한다. 이는 은행과 대형 금융사가 어떤 자산을 대차대조표에 편입할 수 있는지, 어떤 자산은 구조적으로 기피할 수밖에 없는지를 가르는 기준이 되고 있다.

토큰화 자산 역시 별도 예외 구역이 아니라 기존 증권법 체계 안에서 흡수되는 흐름이 뚜렷하다. 두바이, 룩셈부르크, 홍콩 등이 토큰화 가이드라인을 정비하고는 있지만, 글로벌 기준은 대체로 기존 투자자 보호 원칙을 온체인 결제와 정산 구조에 그대로 접목하는 방향이다. 미국의 프랭클린템플턴 FOBXX 펀드, 싱가포르의 프로젝트 가디언(Project Guardian), 브라질의 필로투 드렉스(Piloto Drex)는 토큰화가 규제 회피 수단이 아니라 기존 금융 규칙 안에서 제도권 확장 수단으로 자리 잡고 있음을 말해준다.

결국 디지털 자산 산업의 2026년 화두는 ‘완화’가 아니라 ‘정교화’다. 단일 라이선스로는 글로벌 확장이 어려워졌고, 다중 관할권 인가 확보는 사실상 필수 비용이 됐다. AML 컴플라이언스 예산은 과거보다 훨씬 공격적으로 잡아야 하며, 스마트 컨트랙트 감사와 운영 보안 평가는 반복적으로 지출되는 상시 비용이 됐다. 스테이블코인 인프라는 은행 수준의 내부통제와 준비금 검증을 전제로 하고, 바젤 자본 규제는 기관 포트폴리오의 구조적 편향을 더욱 강화할 가능성이 높다. 서틱 리서치(CertiK Research)는 디지털 자산 사업자가 앞으로 마주할 경쟁력의 핵심은 혁신 속도만이 아니라, 규제 적응력과 보안 역량, 그리고 ‘AML 컴플라이언스’를 포함한 전방위적 준법 체계 구축에 있다고 진단했다.