서론: 트래블룰 규제와 스테이블코인 생태계의 기술적 충돌
국내 가상자산 시장은 특정금융정보법(특금법)에 따라 전 세계에서 가장 강력한 수준의 트래블룰(Travel Rule) 규제를 적용받고 있다. 트래블룰이란 가상자산사업자(VASP) 간에 100만 원 이상의 가상자산이 이동할 때 송신인과 수신인의 신원 정보를 파악하고 공유해야 하는 글로벌 자금세탁방지(AML) 규정이다. 이 규제는 국내 가상자산 거래소 간의 원화 및 토큰 이동을 투명하게 통제하는 데는 매우 성공적이었으나, Web3 생태계의 핵심 기축통화인 스테이블코인이 메타마스크(MetaMask)와 같은 개인지갑(Unhosted Wallet)으로 송금되는 지점에서는 심각한 기술적 병목 현상을 일으키고 있다. 본 문서에서는 베리파이바스프(VerifyVASP)나 코드(CODE)와 같은 국내 주류 트래블룰 솔루션의 아키텍처를 분석하고, 개인지갑으로의 스테이블코인 전송 시 발생하는 온체인(On-chain) 신원 식별 기술의 근본적인 한계점을 심층적으로 규명한다.
국내 트래블룰 솔루션의 중앙화된 API 통신 구조와 사각지대
현재 국내 거래소들이 채택한 트래블룰 솔루션은 기본적으로 사업자(VASP)와 사업자 간의 상호 신뢰 및 협약을 바탕으로 한 오프체인(Off-chain) API 데이터 교환 방식이다. 즉, 업비트에서 빗썸으로 스테이블코인을 전송할 때, 양측 거래소 서버는 블록체인 네트워크의 온체인 데이터와 무관하게 고객의 이름, 생년월일, 지갑 주소 등의 암호화된 개인정보를 자체적인 API 웹훅(Webhook)을 통해 사전에 대조하고 승인한다. 이 구조는 중앙화된 거래소 인프라 내에서는 완벽하게 작동하지만, 수신처가 VASP가 아닌 탈중앙화된 개인지갑일 경우 치명적인 사각지대가 발생한다. 개인지갑은 KYC(고객확인제도)를 수행할 중앙 주체가 존재하지 않으며, API 통신을 주고받을 수 있는 엔드포인트 서버도 없기 때문이다. 결국 거래소는 고객이 직접 자신의 개인지갑 화면을 캡처하여 제출하게 하는 원시적인 매뉴얼 심사 방식을 거치거나, 제한적인 온체인 서명 기술에 의존해야만 하는 반쪽짜리 규제 준수에 머무를 수밖에 없는 실정이다.
개인지갑(Unhosted Wallet) 온체인 식별 기술의 맹점
개인지갑의 소유주가 거래소 계정 소유주와 동일인임을 증명하기 위해 거래소들이 도입한 기술적 우회로 중 하나가 바로 '사토시 테스트(Satoshi Test)'와 암호학적 서명(EIP-712 등) 검증이다. 사토시 테스트는 거래소가 무작위로 생성한 극소량의 가상자산을 고객의 개인지갑으로 보내고, 고객이 해당 트랜잭션 해시값을 입력하게 하여 소유권을 증명하는 방식이다. 또한 서명 방식은 고객이 개인지갑을 거래소 웹페이지에 연동(Connect)하여 거래소가 제시하는 특정 메시지에 프라이빗 키로 서명(Sign)하게 함으로써 소유주를 확인한다. 하지만 이러한 방식들은 트랜잭션이 브로드캐스팅되는 시점의 단편적인 접근 권한만 증명할 뿐, 해당 지갑이 스마트 컨트랙트에 의해 통제되는 다중 서명(Multi-Sig) 지갑이거나 최근 부상하는 ERC-4337 기반의 계정 추상화(AA) 지갑일 경우 프라이빗 키의 단일 소유권을 명확하게 확정할 수 없다는 치명적인 맹점이 존재한다. 나아가 송금 이후 개인지갑에서 타인에게 P2P로 양도되는 후속 온체인 자금 흐름을 거래소 단위에서 추적하고 통제하는 것은 기술적으로 불가능에 가깝다.
결론: 영지식 증명(ZKP) 및 탈중앙화 신원증명(DID) 도입의 필요성
결론적으로 현행 트래블룰 솔루션 아키텍처는 VASP 간의 정보 공유에만 최적화되어 있어, 블록체인의 본질인 퍼블릭 네트워크 상의 개인지갑을 통제하는 데는 뚜렷한 한계를 드러내고 있다. 스테이블코인 기반의 디파이(DeFi) 생태계 및 온체인 결제망이 위축되지 않으면서도 글로벌 AML 규제를 충족하기 위해서는, 전통적인 중앙화 API 통신을 넘어선 온체인 네이티브 규제 기술(RegTech)의 고도화가 요구된다. 프라이버시를 침해하지 않으면서 해당 개인지갑이 자금세탁 블랙리스트에 오르지 않았음만을 암호학적으로 증명해 내는 영지식 증명(Zero-Knowledge Proofs, ZKP)이나, 공인된 기관이 발행하는 소울바운드 토큰(SBT) 형태의 탈중앙화 신원증명(DID)을 지갑에 부여하는 방식이 현실적인 대안으로 논의되어야 한다. 규제 당국과 업계는 자산의 이동을 물리적으로 가로막는 것을 넘어, Web3 생태계의 자율성과 금융 투명성을 동시에 달성할 수 있는 새로운 차원의 프로토콜 표준을 시급히 확립해야 할 것이다.
댓글
댓글 쓰기