국내 4대 거래소인 코인원과 빗썸이 개인지갑 출금을 사실상 금지하고 나선 이후, 급기야 업비트까지 3월 25일부터 시행되는 특금법 준수를 위해 두나무의 자회사인 람다256의 솔루션과 호환되는 국내 가상자산사업자로 출금하는 것만 지원한다고 발표했다.

언뜻 보면 크립토 산업의 제도권 진입을 위한 불가피한 조치가 아닌가하고 생각하기 쉽지만 조금만 심도 있게 살펴보면 그것은 사실상 탈중앙화된 크립토 산업의 존재 자체를 부정하고 스스로 갈라파고스화하겠다는 의지의 표명과 다를 바 없다.

크립토 산업에서 개인지갑은 가장 중요한 핵심적인 인프라이고 다양한 산업과 국경을 넘어서는 탈중앙화된 애플리케이션을 사용할 수 있게 하는 게이트웨이기도 하다. 탈중앙화된 크립토 생태계를 부정하고 나서 과연 중앙화된 거래소는 장기적으로 코인의 거래가 유지될 수 있는 어떤 유용성이 있다고 보는 것일까? 이 글에서는 이러한 개인지갑 배제 정책이 가지는 모순을 지적하고 어떤 현실적인 타협이 가능한지 검토해보고자 한다. 

크립토 생태계의 근본적 가치 부정

한동안 전자 문서 서명 시스템 도입이 사회적 화두가 된 적이 있었다. 각종 결제 서류를 프린트해서 여기에 서명을 하고 교환하는 것이 아니라 전자 문서에 직접 전자적으로 사인을 해서 전자적으로 교환함으로써 환경을 파괴하는 종이와 프린터 사용을 줄이고 업무의 효율성도 높이자는 것이었다. 

한국처럼 이미 본인이 사인했다는 것을 전자적으로 증명할 수 있는 공인인증서같은 시스템이 전국민에게 보급되어 있는 경우 이러한 전자 문서 서명 시스템의 전면적 확대는 당연하고 비용 절감 효과도 매우 클 것임이 분명하다.

그런데 만일 전자 서명이 이미 도입되고 난 이후에도, 금융기관을 비롯한 각종 서류 취급 기관들이 전자 서명은 전자 서명이고 다시 서류를 프린트해서 직접 사인한 복사본 2매를 요구한다면 어떻게 될까? 이렇게 되면 전자 서명의 도입으로 생기는 이익을 전부 무효화할 뿐 아니라 이중의 장치를 지원해야 하는 부담감과 이로부터 비롯된 추가적 비용과 비효율성이 더 커질 뿐이다. 

중앙화된 거래소가 탈중앙화된 개인지갑 소유자에게 외부 기관으로부터 본인 인증이 되었다는 것을 요구하는 것은 마치 전자 서명으로 이미 본인이 해당 주소의 소유자라는 것을 증명한 사람에게 다른 기관의 인증서를 제출하라는 것과 마찬가지이다. 이것은 블록체인과 현대 암호학이 이룬 모든 성과를 송두리째 부정하는 꼴이다.

비트코인의 가치가 있다고 믿는 것은 서로 모르는 개인 간의 송금에 있어 은행과 같은 중앙화된 기관의 인증을 전혀 필요로 하지 않고 수학적, 암호학적 솔루션에 기반한 전자 서명과 이를 탈중앙화된 방식으로 검증 가능하게 하는 블록체인을 사용하고 있다는 사실에서 비롯되는 것이다. 만일 모든 비트코인의 송금에 중앙화된 기관의 승인을 의무화한다면 이것은 비트코인이 가진 혁신의 기반 전체를 부정하는 것이다. 

스마트 컨트랙을 바탕으로 탈중앙화된 애플리케이션 생태계를 만들고 있는 이더리움을 비롯한 많은 블록체인 프로젝트 또한 심각한 도전에 직면하게 된다. 디파이, NFT(대체 불가능한 토큰, Non-Fungible Token), DAO(탈중앙화된 자율조직, Decentralized Autonomous Organization), 메타버스, 블록체인 게임 등 최근 몇 년간 크립토 생태계의 주요 트렌드를 장식하고 있는 대부분의 영역은 전부 개인지갑 인프라 위에 구축되고 있는 것이다.

중앙화된 기관에 의존해서 생기는 신뢰는 많은 비용과 비효율성을 초래하고 상호운용성에 장애를 일으키지만, 탈중앙화된 네트워크에 기반한 신뢰는 글로벌한 사회적 협력과 활동을 매우 효율적으로 가능하게 하는 혁신의 기반을 제공하고 있다. 개인지갑에 대한 차단은 사용자로 하여금 이러한 생태계의 진입경로를 원천적으로 가로막는 것과 다름없다. 최근 NFT 무대에서 빠르게 성장하고 있는 한국 시장의 싹을 다시 잘라버릴 위험성이 농후하다. 

크립토 산업이 가져온 근본적인 혁신자체를 부정하고 나서도 암호화폐의 거래를 중계하는 중앙화 거래소가 장기적으로 존립할 수 있다고 믿는 것은 자가당착이다. 그렇다면 한국의 거래소들은 왜 자기모순에 빠질 수밖에 없는 무리수를 두려고 하는 걸까?

트래블룰과 개인지갑

암호화폐도 금융수단이라는 인식이 확대되면서, 기존 금융에 적용하던 다양한 규제를 크립토 산업에도 적용해야 한다는 논리도 같이 강화되어 왔다. 그중에 대표적인 것이 트래블룰이다. 금융기관 간 거래에서 상호 고객 정보를 확인하고 보관 또는 보고해야 할 의무를 말한다. 테러와 각종 불법적인 활동에 사용될 수 있는 자금의 흐름을 차단하는 것이 이 룰의 가장 큰 목적이다.

국제자금세탁방지기구(FATF)는 2019년 이 룰을 가상자산사업자로 확장하겠다고 선언했으며 2021년 10월 개정된 ‘가상자산사업자의 위험 기반 접근법 가이드라인’을 공표했다. 하지만 막상 이 가이드라인을 위해 표준을 도입하고 전면적 시행을 하기에는 많은 난관이 따르고 있다.

무엇보다 기존 금융 시스템에서 전자 송금을 실행하는 주체는 모두 중앙화된 금융기관이라 이들 간의 표준을 만드는 것이 비교적 쉬운 편이지만, 크립토 생태계에서는 독자적인 송금을 실행할 수 있는 개인지갑(‘unhosted wallet’)이라는 새로운 주체가 있다. 이것을 부정하고 기존 금융시스템의 룰을 동일하게 적용하려 할 경우 크립토 산업이 가진 잠재적인 혁신성을 송두리째 빼앗아 버릴 위험이 있다.

그렇기 때문에 개정된 가이드라인은 가상사업자 간의 전송 외에 개인지갑(unhosted wallet)에 대한 위험 관리의 필요성을 제기했으나 개인지갑의 소유자 정보를 확인하는 방법에 대해서는 가이드라인을 전혀 제시하지 않고 있다. 현재 논의의 촛점은 일단 가상사업자간의 거래 정보 확인을 확대하면서 개인지갑 송금문제는 향후 기술적인 대안과 리스크를 더 논의해야 한다는 것이다.

개인지갑에 대한 송금 자체를 원천적으로 막고, 오직 동일한 트래블룰을 적용하는 가상자산 사업자간만의 송금을 허용해야 한다는 주장은, 현재의 FATF 논의 수준을 넘어도 한참을 넘어서고 있다.

한국의 특금법은 FATF 가이드라인 시행을 위한 준비 단계의 성격을 지닌 것인데 여기서도 글로벌한 논의의 초점을 넘어서 가상자산 사업자의 요건에 실명계좌와 정보보호 관리체계(ISMS)와 같은 비현실적이고 과도한 신고 수리 요건을 집어넣어 사실상 허가제로 만들어 놓았다. 이로 말미암아 한국 크립토 시장의 기형적 독과점 현상은 더욱 심화되고 크립토 산업에 진출하려는 신규 기업의 정상적인 진출 경로를 대부분 차단해버리는 꼴이 되고 말았다.

은행으로부터 실명계좌를 받지 않고는 원화 기반 크립토 사업 자체를 할 수가 없기 때문에 기업의 생사 여부가 계좌를 발급해 주는 은행의 결정에 전적으로 의존하게 된다. 반면 은행은 직접 거래소 사업에 참여할 수 없는 상태에서 거래에 발생하는 이익은 거래소가 독식하는데 은행에서는 리스크만 안고 계좌 발급을 해주어야 하는 상황에 놓여진다. 당연히 가장 보수적인 관점을 취할 수밖에 없다. FATF의 가이드라인보다 훨씬 더 높은 수준의 규칙을 만들어 강제하는 것이 그나마 추가로 늘어날 리스크를 통제할 수 있는 수단이라고 여길 가능성이 높다.

위험과 보상의 균형을 맞출 수 없는 특금법은 일방적으로 리스크를 극소화하는 방향으로 은행을 몰고 갈 것이고 결국 크립토 산업이 가져다 줄 수 있는 모든 혁신을 거부하게 하는 양상으로 귀결되게 만들 것이다.  

크립토 산업은 많은 잠재력이 있지만 아직 초기 단계에 있으며 과거의 시스템에 바탕을 둔 규제 강화를 고민하기 보다는 그 혁신이 산업적 동력으로 성장·확대될 수 있도록 여건을 조성해 주는 것이 보다 더 중요한 시점이다. 특금법은 한국의 크립토 산업을 부분적으로 제도화한다는 명분으로 시행되지만 결국은 근본적 혁신 자체를 부정하는 방향으로 나아가고 있다. 

가두리 시장과 시세 조작

중앙화된 거래소가 외부 시장과 단절될 때 어떤 일이 벌어지는지는 비록 짧은 크립토 역사에서 수없이 증명되어 왔다. 마운트곡스 거래소가 외부출금에 장애가 생기면서 시장가격과 괴리된 대규모 가격 펌핑이 일어났고 결국 거래소 붕괴로 이어졌다. 외환의 이동이 극도로 통제되어 있는 한국의 크립토 시장은 잊을만 하면 다시 등장하는 김치 프리미엄이란 왜곡된 시장가격으로 생겨나는 여러 사회적 문제들을 이미 충분히 경험했다.

국내 거래소의 입출금이 원활하지 못할 때 소위 '가두리 펌핑'으로 불리는 시세조작이 얼마나 쉽게 일어날 수 있는지도 자주 목격했다. 이러한 시세조작으로 생기는 피해는 결국 고스란히 투자자들의 몫이다. 혁신의 확대에 결정적인 방해가 됨에도 불구하고 굳이 규제를 도입하는 목적은 결국 투자자 보호라는 명분인데 현재 나타나고 있는 양상은 투자자 보호와는 정반대의 결과로 귀결될 가능성이 높다.  

외부 지갑이 거래소로부터의 출금에 제약이 걸리면 거래소 특성상 유동성이 높은 거래소로 자금이 쏠리는 현상이 가속화될 수밖에 없다. 2019년 26%에 불과하던 업비트의 시장 점유율은 2021년말 80% 이상으로 높아졌다. 시장에서 독점은 항상 경쟁에서 비롯되는 서비스의 개선과 혁신의 가능성을 가로막는 결정적인 장애물이 된다. 국가의 개입을 최소화하고 자발적인 시장 경쟁을 우선적인 가치로 생각하는 대부분의 자본주의 국가에서도 반독점 정책의 수위를 낮추지 못하는 이유가 여기에 있다. 투자자 보호라는 측면에서 역효과를 내고 있고, 시장의 기형적인 독점화를 더욱 가속화할 규제의 명분은 어디에서도 그 근거를 찾기가 어렵다.

그렇다면 어떻게 해야 되나?

트래블룰 적용은 신중하고 장기적인 정책에 기반해야 된다.

글로벌한 표준도 제대로 정립되어 있지 않고 아직 많은 국가가 자국의 산업적 이해관계를 계산하고 있는 상태에서 선도적으로 검증되지 않은 강도 높은 룰을 만들어 적용하는 것은 우선은 그럴듯해 보일지 모르지만 결국 국가의 산업적 역량을 스스로 갉아먹는 잘못된 정책이다.

장기적인 크립토 산업 육성 전략에 맞추어 자국의 크립토 산업 기반이 보다 더 성숙되고 경쟁력이 확보될 때까지 무리한 규제 정책을 남발하지 않는 것이 무엇보다 중요한 시점이다. 매우 구체적인 수준에서 글로벌한 컨센서스가 확보될 때까지 사회적 합의를 가능케 하는 논의의 공간을 활성화하고 산업의 혁신성을 보호할 수 있는 기술적인 솔루션이 나올 수 있도록 여건을 조성하는 것이 필요하다.

새롭게 재편되고 있는 글로벌 경제 체제에서 규제를 위한 규제만큼 망국적인 것이 없다. 개인지갑에 대한 규제는 지금보다 산업이 훨씬 더 성장하고 나서 고민해도 조금도 늦지 않다.

거래소의 출금을 가상사업자간만 한정짓는 것을 허용해서는 안된다.

거래소가 취할 수 있는 출금정책 중 최악인 것은 오직 같은 트래블 룰을 가진 다른 가상사업자로 한정짓는 것이다. 이것은 개인지갑의 존재자체를 근본적으로 부정하는 잘못된 정책이다. 만일 이런 정책을 추진하는 거래소가 있다면 사용자들이 스스로 보이콧을 해야 한다. 탈중앙화된 지갑 없이 크립토 생태계가 유지되어야 할 이유를 찾기 힘들다. 

개인지갑의 인증은 외부 기관이 아니라, 개인키의 통제권을 가진 본인이 직접 해야 한다.

지금 당장 개인지갑의 본인인증을 시행하는 것은 크립토 산업 육성에 매우 해가 되는 일이지만 만일 글로벌한 규제의 합의가 이를 불가피하게 만드는 상황에 도달하게 될 경우 개인지갑의 소유자가 본인이라는 것을 인증하기 위해 외부의 기관에 의존하는 방식만은 절대 받아들여서는 안된다.

사용자가 중앙화된 거래소나 가상사업자 서비스에 가입하는 과정에서 이미 본인인증(KYC)이 완료된 상태이다. 이 사용자가 자신의 개인지갑 주소로 본인의 아이덴티티를 증명하는 데에 별도로 제3자가 개입할 필요는 전혀 없다. 자신의 아이덴티티 정보(예를 들어 이름과 거래소 계좌번호)와 자신의 개인키 지갑주소를 해시해 지갑내 개인키로 사인하는 것만으로 이 지갑주소가 자신의 소유라는 것이 증명되는 것이다.

만일 이 개인지갑으로 출금된 자금이 불법적 용도로 사용되었다면 이는 그것을 인증한 개인의 책임이다. 여기에 개인지갑에 제3자(예를 들어 지갑사업자)가 사용자의 이름을 인증해서 지갑 인터페이스에 보여주어야 한다고 주장하는 것은 전자 서명이 끝난 전자 문서에 다시 종이 문서를 프린트해 손으로 서명해 가져오라는 것과 다름 없는 주장이다.

자신의 이름이 담긴 지갑의 스크린 샷을 떠서 내라는 것은 원시적이며 비암호학적인 발상이며 조작의 가능성을 높이고 검증에 불필요한 추가비용이 발생하게 할 것이다. 중앙화된 주체가 개인정보를 모아가지고 있음으로 각종 해킹사고와 프라이버시 문제를 일으키는 원인이 될 것이다. 

스위스에서 실험하고 있는 지갑 주소 소유 증명 프로토콜(AOPP)는 개인키의 서명 능력을 기반으로 손쉽게 가상사업자가 개인지갑의 소유권을 확인할 수 있도록 돕는 방식의 사례를 잘 보여준다.

이미 하드웨어 지갑 제조업체인 트레저가 이 방식을 도입하고 다수의 지갑 업체들이 참여하기 시작했다. 이러한 시도마저도 탈중앙화를 지향하는 업계에서는 우려의 목소리를 내고 있지만 만일 지갑 주소 소유권 인증이 불가피해진다면 탈중앙성을 지키면서도 규제 준수를 할 수 있는 타협책이 될 가능성이 높다.  

거래소의 개인지갑 서비스

글로벌 거래소인 코인베이스와 바이낸스가 취하는 전략은 탈중앙화된 크립토 생태계 자체를 부정하려는  국내거래소와는 사뭇 대조된다. 기본적으로 이들은 거래소의 개인지갑 출금에 대한 규제에 대해 강력한 반대 입장을 보이고 있다. 미국 규제 당국이 개인지갑에 대한 정보 수입의무를 의제화하려고 할 때 코인베이스는 자신의 고객들에게 이것이 얼마나 잘못된 정책방향인지를 설명하고 이에 대해 적극적으로 항의하도록 촉구하는 글과 트윗을 날렸다.

탈중앙화된 생태계의 기반인 개인지갑을 중앙화하려는 시도는 결국 자신들의 먹거리 자체를 축소시킬 것이라는 것을 정확히 이해하고 있는 것이다. 코인베이스는 이미 몇 년 전부터 개인키를 코인베이스와 공유하지 않는 개인지갑 서비스를 시작했고 미국의 탈중앙화 크립토 생태계에서 코인베이스의 개인지갑은 상당히 큰 역할을 해내고 있다.

만일 미국의 규제가 결국 개인지갑 사용자에 대한 정보 수집을 의무화한다고 해도 코인베이스의 개인지갑은 외부의 지갑과 연계될 수 있는 자체적인 솔루션으로 활용될 수 있다. 바이낸스도 마찬가지이다. 바이낸스는 중앙화된 거래소 모델을 기반으로 하고 있지만 자체 코인을 발행하고 바이낸스 스마트 체인이라는 이더리움 포크체인을 운용하고 있다.

탈중앙화된 생태계를 지원하기 위한 개인지갑 역시 서비스하고 있다. 바이낸스 역시 이 개인지갑의 개인키를 중앙화된 서버에 보관하는 우를 범하지는 않는다. 갈수록 규모가 커질 수밖에 없는 탈중앙화된 크립토 생태계와 적극적으로 연결될 수 있는 인프라의 중요성을 정확히 파악하고 있는 것이다.

만일 국내 거래소들이 이런 방식의 개인지갑을 제공하고 지갑 소유주 인증을 간편하게 처리할 수 있게 한다면 사용자들의 불편을 완전히 해소하기는 어려워도 원천적으로 개인지갑 송금을 막는 상황에까지는 이르지 않았을 것이다. 개인지갑으로 넘어온 상태에서 다른 개인지갑으로의 송금은 더 이상 거래소의 관할 영역이 아니기 때문이다. 

트래블룰 표준화와 상호운용성

트래블룰 적용이 표준화되지 않은 상태에서 주요 거래소마다 별개의 룰을 내세우고 이를 지원하는 거래소에게만 출금을 허용하는 상황이 지속되면 거래소의 독점화 경향은 가속화될 수밖에 없고 신규 진입자 비용은 계속 증가할 수밖에 없게 될 것이다.

국내 거래소들 간의 표준조차 마련되지 못하고 의견이 첨예하게 분리된 상황은 독과점적 구조가 만들어 낸 폐해에 기인하는 바가 크다. 만일 단일화된 표준안을 마련하지 못한다면, 최소한 상호운용이 가능하도록 만드는 작업이 절실히 필요하다. 물론 여기서도 개인지갑 출금에 대한 규제는 구체적인 글로벌 표준이 마련되고 사회적 합의가 이루어질 때까지 보류되어야 한다. 

불법적인 악용 방지와 프라이버시 보호를 위한 기술적 솔루션

크립토 산업이 불법적인 영역에서 악용되는 것을 막아야 한다는 여론 또한 무시할 수는 없다. 탈중앙화된 크립토 산업의 기반조차도 제대로 형성되기 전에 과도한 규제로 싹이 잘리는 것은 최대한 막아야 하지만 산업이 성숙되어 가는 과정에서 여러가지 불법적인 활용에 대한 방지장치가 필요하다.

다만, 여기서 다시 크립토 산업의 근본적 혁신을 부정하는 획일적인 규제를 적용하는 것을 피하려면 좀 더 고도한 기술적 솔루션의 개발이 필요하다. 개인의 프라이버시 보호와 정보 주권을 부정하는 규제 프레임워크는 갈수록 정당화되기 힘들다. 프라이버시 정보를 최대한 외부에 노출시키지 않으면서도 사회의 공공성을 위한 유의미한 데이터를 추출할 수 있는 암호학적 솔루션의 개발이 좀 더 많은 영역에서 활발히 진행될 필요가 있다.

영지식증명에 기반한 데이터 처리기술이 블록체인이 당면하고 있는 스케일링 이슈를 해결하는 데도 결정적인 역할을 하지만 앞으로 더욱 중요한 사회적 화두로 떠오를 프라이버시 문제를 근본적으로 해결하는 데도 매우 중요한 기반이 될 것이다. 

정우현 아톰릭스랩 대표

국내 블록체인 커뮤니티 1세대. 서울대학교 언론정보학 석사 출신으로, 이후 미국 텍사스주립대(오스틴) 커뮤니케이션에서 박사 과정을 수료했다. 현재는 아톰릭스랩 대표로 서울 이더리움 밋업 공동 운영자, 한국이더리움 사용자그룹 운영자를 역임하고 있다. 지난 2014년부터 국내외 암호화폐와 블록체인 커뮤니티에서 활동했다. 서울 이더리움 밋업과 한국 이더리움 사용자 그룹을 중심으로 이더리움 커뮤니티 활성화에 주력하고 있다. 2018년 아톰릭스랩 설립 후 개인키를 보다 안전하게 관리할 수 있는 키관리 솔루션과 이에 기반한 Dapp 지갑을 개발하고 있다.