법인의 가상자산 커스터디, 제대로 선택하는 법
가상자산 회계 실무이야기 3편
지난 글에서 이어지는 현실적 질문들
지난 글에서 법인이 가상자산을 보관하는 방법으로 외부 커스터디사를 이용하는 방법과 자체 내부통제를 구축하는 셀프커스터디 방법에 대해 소개했다.
외부 커스터디사 이용에 적합한 기업으로는 가상자산이 주된 사업이 아니고 투자 목적으로 보유하는 경우, 외부 전문업체를 통해 효율을 높이고자 하는 경우 등을 예시로 들었다.
그런데 "우리 회사는 커스터디사를 이용하는 게 좋겠다!"라고 결정했다면, 이제 현실적인 질문들이 줄줄이 따라온다:
신뢰할 수 있는 커스터디 업체가 국내에 있나요?
판단 기준은 뭐죠?
계약서에는 어떤 조항이 필요한가요?
감사인은 어떤 자료를 원할까요?
이번 글에서는 이런 현실적인 질문들에 답하며, 커스터디 업체를 실제로 선택하고 활용할 때 반드시 알아야 할 실무 포인트를 정리하겠다.
커스터디 업체 선택 시 핵심 체크포인트
Unsplash의Kelly Sikkema1. VASP 라이선스 보유 여부 - 출발점이자 필수 요건
이건 가장 기본적인 요건이다.
가상자산사업의 범위는 ① 가상자산 매도·매수 ② 가상자산을 다른 가상자산과 교환 ③ 가상자산 이전 ④ 가상자산 보관·관리 ⑤ 위 행위들을 중개·알선·대행하는 행위까지 포함하는데, 커스터디사는 최소 ③번과 ④번의 사업행위를 한다고 볼 수 있다.
라이선스 없이 영업한다는 것은 미신고 사업자라는 뜻이고, 이러한 미신고 사업자와 계약 시 회사 자산의 안전이 담보되지 않을 뿐더러, 회계감사 시에도 문제가 되고, 직접적인 처벌 대상은 되지 않겠지만 규제당국의 조사 대상이 될 수도 있다.
※ 실무 체크 방법: 컨택하고 있는 커스터디사가 현재 기준으로 VASP 대상인지 확인하려면 FIU 홈페이지에서 '가상자산사업자 신고에 관한 정보공개현황' 최신 버전을 확인하면 된다. 신고 유효기간이 있어 일정 주기로 갱신도 필요한 라이선스이기에 가장 최신 버전을 확인해 현재 기준으로 VASP인지를 확인해야 한다.
글을 쓰는 현재 시점 기준 가장 최근은 25년 6월 27일 기준이며, 해당 파일을 아래 첨부하도록 하겠다
또한, VASP를 취득했다는 것은 ISMS 인증을 취득하고 자본금 요건(50억 이상) 등 기본 안전장치를 확보했다는 뜻이므로 반드시 확인이 필요하다.
2. 이용자보호법 준수 여부 - 규제 컴플라이언스 확인
VASP 요건을 충족한다면 해당할 가능성이 높지만, 그래도 확인이 필요한 사항들이다. 이용자보호법(2024년 7월 발효)에 따라 VASP에게는 다음과 같은 요건들이 요구되고 있다.
콜드월렛 비율 80% 이상: 가상자산 지갑은 크게 핫월렛, 콜드월렛으로 분류된다. 분류 기준은 키 생성 이용 시의 인터넷 연결 여부다. 해킹·전산장애 등 사고에 따른 위험을 차단하기 위해서 콜드월렛이 권장되고 법적으로도 VASP는 80% 이상의 자산을 콜드월렛에 보관할 것을 요구하고 있다.
고객자산 분리보관: 사업자의 자산과 고객의 자산이 별도의 지갑에 분리보관되는지, 즉 이용자 고유의 지갑이 생성되어 자산이 보관되는지 여부 체크가 필요하다.
보험가입 또는 준비금 적립: 사고에 따른 책임 등을 이행하기 위해서 이용자보호법에 따른 보험가입 또는 준비금을 적립하는지 여부를 체크해야 한다.
3. SOC 1 Type 2 Report 제공 여부 - 감사 대응의 핵심
외부업체에 가상자산을 위탁하는 경우 외부감사인은 해당 외부업체의 내부통제를 신뢰할 수 있는지 여부를 평가하기 위해서 SOC Report를 요구할 가능성이 높다.
SOC(Service Organization Control) 리포트는 커스터디 업체의 내부통제 시스템을 독립적인 회계법인이 검토하고 평가한 보고서다. 업체가 고객의 자산을 안전하게 보관할 수 있는 시스템과 절차를 갖추고 있는지, 실제로 그 절차를 제대로 따르고 있는지를 객관적으로 검증한 결과물이다.
초창기에는 제대로 된 내부통제 가이드라인이 없어 해당 요건을 갖추고 있는 회사를 찾기가 정말 어려웠는데, 요즘은 하나둘씩 리포트를 제공하는 커스터디사가 생겨나는 추세이므로, 제공하는지 여부를 꼭 체크해야 한다. 수취 여부에 따라 감사 대응 난이도가 크게 차이난다.
외부감사를 받는 회사라면 감사인이 SOC 1 유형 2 리포트 제출을 요구할 가능성이 높다. 이는 일정 기간 동안 업체의 내부통제가 효과적으로 운영되었는지를 평가한 보고서로, 감사인이 커스터디 업체에 보관된 자산의 실재성과 정확성을 확인하는 데 필수적인 감사증거가 된다.
4. 키 관리 방식의 정확한 이해
대부분의 커스터디사는 고객의 자산을 보관하는 키를 직접 보관하고 관리한다. 그것이 커스터디의 기본 개념이기도 하다. 이 경우 키 관리에 대한 책임은 커스터디사에 있는 것이므로 키가 유출되거나 분실되지 않게 하기 위한 책임도 커스터디사에게 있다.
하지만 간혹가다가 탈중앙화 방식의 기술을 이용하여 지갑서비스를 제공하는 회사들이 있다. 키를 생성하고 transaction을 일으키는 UI가 제공되고, 다중인증을 위해 멀티시그 또는 MPC 등의 기능을 지원하여 마치 해당 외부업체가 지갑을 관리해주는 것처럼 보이지만, 사실은 탈중앙화 지갑서비스를 제공하는 것으로 키에 대한 보관·관리 책임이 외주업체가 아닌 회사에 있는 케이스이다.
그 경계가 모호하여 VASP를 취득해 놓고 해당 방식으로 서비스를 제공하는 케이스도 있으니, 담당자는 외주업체가 제공하는 서비스의 방식을 충분히 이해할 필요가 있다. 서비스의 구조에 따라 검토해야 할 계약조건들이 상이하기 때문이다.
5. 멀티시그/MPC 아키텍처 지원 여부
가상자산 내부통제에 있어 가장 중요한 요소 중 하나가 권한 분산이다. 정말 마이너한 양이 아니라면 Single Sig는 매우 위험하다고 보며, Multi-sig가 권장된다.
Multi-sig는 2 of 3, 3 of 5 방식으로 키를 여러 개 생성하여 그 중 일정 수량 이상의 키가 승인할 때 transaction이 이루어지는 방식이다. 해당 Multi-sig 방식이 체인마다 방식을 개발해야 할 필요가 있어서, 체인간 호환이 쉬운 MPC 방식이 요즘 많이 이용되고 있다고 한다.
MPC 방식은 키를 여러 개 생성해서 승인권한을 주는 Multi-sig 방식과는 달리 하나의 키를 여러 개로 분할하는 방식으로 체인간 호환이 용이하다고 알려져 있다.
해당 커스터디사가 이런 다중승인을 위해 제공하는 아키텍처가 무엇인지 제대로 이해하고, 회사에서 Transaction을 일으키고자 할 때 어떤 방식으로 구현이 될지 미리 체크해보는 것이 필요하다. 회사마다 결재 승인자, 승인프로세스들이 상이할 것이고 장애물이 없는지 미리 체크해야 나중에 문제가 될 가능성이 적다.
6. 추가 고려사항들
보험 가입 현황: 해킹이나 운영상 과실로 인한 손실 시 얼마까지 보상받을 수 있는지, 보상 범위는 어디까지인지 구체적으로 확인해야 한다. 단순히 "보험에 가입되어 있다"는 것보다는 보장 한도와 면책 조건을 정확히 파악하는 것이 중요하다.
수수료 구조: 보관 수수료뿐만 아니라 입출금 수수료, 네트워크 수수료 부담 주체, 최소 보관 기간 등을 종합적으로 검토해야 실제 비용을 산정할 수 있다.
고객 지원: 24시간 지원이 가능한지, 긴급 상황 시 대응 체계는 어떻게 되는지, 담당자와의 소통 채널은 얼마나 원활한지도 중요한 판단 요소다.
레퍼런스: 기존 고객사 중 유사한 규모나 업종의 기업이 있는지, 해당 기업들의 이용 후기나 추천 여부를 확인할 수 있다면 선택에 도움이 된다.
커스터디 계약 시 반드시 포함해야 할 조항들
커스터디 계약의 본질적 성격
커스터디 계약은 본질적으로 신탁 관계다. 우리가 법적 소유자고, 커스터디 업체는 단순히 보관만 담당하는 구조다. 이 본질을 계약서에 명확히 반영하는 것이 모든 리스크 관리의 출발점이다.
필수 계약 조항 5가지
1. 자산 분리보관 조항
고객 자산이 업체 고유 자산과 법적으로 완전히 격리되는 Bankruptcy Remote 구조를 명시해야 한다. 업체 파산 시에도 고객 자산은 보호되어야 한다는 점을 계약서에 분명히 적어야 한다.
2. 감사 협조 의무
연말 감사 시 잔액 확인서 제공 및 감사인의 추가 질의에 대한 대응 절차를 명시해야 한다. 감사 일정에 맞춰 즉시 대응 가능한 체계가 구축되어 있어야 한다.
3. 손실 발생 시 책임 범위
해킹이나 운영상 과실 시 보상 범위와 한도, 입증 책임을 명확화해야 한다. 보험 가입 의무화 및 보상 절차도 상세히 규정해둬야 한다.
4. 권한 및 승인 체계
자산 이체 권한자 범위, 이중 승인 체계, 긴급 시 절차를 포함해야 한다. 무단 이체 방지를 위한 다단계 승인 시스템이 계약에 반영되어야 한다.
5. 통지 및 보고 의무
보안 사고, 시스템 장애, 규제 변경 등 발생 시 24시간 내 즉시 통보 및 고객 승인 절차를 명시해야 한다.
통제권 판단을 위한 핵심 요소들
2023년 12월 가상자산 회계처리 감독지침에서 제시한 통제권 판단 기준은 커스터디 계약 작성 시 반드시 고려해야 할 핵심 체크포인트가 된다.
본문을 전체 제시 하면 아래와 같다.
가상자산 회계처리 감독지침 발췌이 중 계약검토 시 고려해야할 점을 정리하자면,
자산에 대한 완전한 처분권: 고객이 언제든지 자산 인출·이체를 지시할 수 있는 권리를 보장하고, 커스터디사가 고객 동의 없이 자산을 매매·대출·담보 제공하는 것을 명시적으로 금지해야 한다.
경제적 효익의 완전한 귀속: 가격 변동, 스테이킹 보상, 하드포크 혜택 등 모든 경제적 효익이 고객에게 귀속되고, 커스터디사는 보관 수수료 외에는 어떤 경제적 이익도 취하지 않음을 명시해야 한다.
법적 소유권 보호: 커스터디사 파산 시에도 고객 자산이 파산재단에 포함되지 않음을 명시하고, 고객별 자산이 개별 지갑 또는 추적 가능한 방식으로 분리 보관됨을 보장해야 한다.
손실 위험 부담 주체: 해킹·분실 등 사고 시 누가 손실을 부담하는지 명확히 규정하고, 커스터디사의 보험 가입 또는 준비금 적립을 통한 고객 보호 장치를 확보해야 한다.
이 기준들을 계약서에 반영하고 감사인에게 근거로 제시하면, 커스터디 자산을 회사 자산으로 인식할 수 있는 합리적 근거를 제공할 수 있을 것이다.
국내외 커스터디 시장 현황
미국 시장의 성숙도
가장 대표적인 회사로 Fidelity와 Coinbase를 들 수 있다. 실제로 알려진 바에 의하면 MicroStrategy도 해당 두 회사를 통해서 비트코인을 보관하고 있는 것으로 알려져 있다.
두 회사는 직접 키를 보관하는 풀 커스터디사로 모두 뉴욕주 라이선스를 취득한 상태이며 SOC 1 Type 2 리포트를 정기적으로 발행하고 있다. 콜드 비중이 99%에 육박하고 내부통제 수준도 금융기관에 준하는 수준으로 매우 강력한 것으로 알려져 있다. 미국의 경우 가상자산 ETF도 활발한 상태이기 때문에 이러한 기관 대상 수탁사들이 우리나라 대비 훨씬 발달한 상태다.
국내 시장의 현실
우리나라는 미국보다 기관형 수탁사들이 많이 발달하지 못한 것이 사실이다. 현재 널리 알려진 곳은 한국디지털에셋(KODA)와 한국디지털자산수탁(KDAC) 정도다.
둘 다 VASP를 취득한 회사이며(가상자산 이전, 보관 관련) 여러 VC, 금융기관들이 투자를 진행하여 어느 정도 안정적인 규모를 갖추고 있다. 둘 다 키를 직접 관리하는 풀 커스터디사고, 콜드월렛 조건을 모두 갖추고 있고 자체 멀티시그(MPC) 아키텍처를 보유하고 있는 것으로 알려져 있다.
SOC Report의 경우, KDAC은 2024년 3월에 최초로 SOC 1 Type 2를 취득한 것으로 알려졌으며, KODA 또한 최근 PWC와 계약하여 리포트 발행을 추진하고 있다.
주요 레퍼런스로는 KODA 의 경우, 발행 프로젝트인 넥써스와 계약했다는 소식이 최근 기사로 확인되기도 하였다.
아직 선택지가 많지 않은 것이 현실이지만, 법인 가상자산 투자 허용 논의가 본격화되면서 시장이 빠르게 성장할 것으로 예상된다.
현실적인 선택 전략
Kindel Media님의 사진우리 회사에 맞는 방향 찾기
완벽한 커스터디 업체를 찾기는 쉽지 않다. 하지만 우리 회사의 상황과 우선순위를 명확히 하고, 핵심 리스크만큼은 확실히 관리할 수 있는 업체를 선택한다면 충분히 안전하고 효율적인 가상자산 관리가 가능하다.
우선순위는 명확하다: 안전성 (VASP, 분리보관, 보안) → 투명성 (공시, 감사, 검증) → 실용성 (비용, 편의성, 지원) 순으로 우선순위를 잡고 업체를 선정해가는 것을 추천한다.
단계별 접근법
시작은 작게, 검증은 철저히: 처음에는 소액으로 테스트하고 6개월 정도 운영해보고 평가한 후, 문제없으면 점진적으로 확대하는 방식이 현실적이다.
감사인과 미리 상의: 업체 선정 전 감사인과 협의하여 필요한 감사 자료를 미리 확인하고 내부통제 수준을 사전 합의하는 것이 중요하다.
정기적인 재평가: 분기별 업체 운영 상황 점검, 연 1회 다른 업체와 비교 검토, 시장 변화에 따른 전략 수정을 통해 지속적으로 최적화해나가야 한다.
다음 글에서는 Self-Custody 구축 가이드를 다룹니다. "우리가 직접 지갑을 관리한다면 어떤 내부통제를 갖춰야 할까?"라는 질문에 답할 예정입니다.
