에스토니아의 마이카 라이선스

2024년 12월 30일부터 자금세탁방지정보국(Money Laundering Information Office)은 가상자산 관련 활동에 대한 신규 인허가 접수 및 발급을 중단합니다. 해당 권한은 에스토니아 금융감독·해결청(Estonian Financial Supervision and Resolution Authority)로 이관되며, 이 기관은 에스토니아에서 규제 (EU) 2023/1114 (MiCA) 규정에 따라 인허가를 발급하기 시작합니다. 전환은 2026년 7월 1일까지 완료되며, 그 이후 자금세탁방지정보국에서 발급한 인허가는 모두 무효가 됩니다. 2024년 12월 30일 이전에 발급된 유효한 인허가를 보유한 서비스 제공자는 전환 기간 종료 시점까지 또는 정해진 절차에 따라 새로운 인허가가 발급될 때까지 해당 인허가를 근거로 계속 운영할 권리를 유지합니다. 그 기간 동안 이들 업체는 계속 자금세탁방지정보국의 감독을 받습니다. 신청자는 MiCA 규정을 준수하는 인허가를 받기 위해 금융감독청(Financial Conduct Authority)에 신청해야 합니다. 2024년 12월 30일 이전에 금융감독청에 제출되었으나 그 이전에 승인되지 않은 신청은 심사하지 않으며, 모든 지원 서류는 신청자에게 반환됩니다. 동시에, 자금세탁방지정보국은 전환 기간 종료 시점인 2026년 7월 1일까지 기존 인허가 조건 변경 신청만 접수합니다.

이 기관 감독 체계 전환은 유럽연합 차원의 포괄적 금융 규제로 전환함에 따른 것으로, 새로운 법적 모델은 강화된 감독, 내부 절차 및 지배구조, 자본 적정성에 관한 종합적 요구사항을 제공합니다.

그러나 가상자산 서비스 제공자는 여전히 자금세탁 및 테러자금 조달 방지 의무를 이행해야 하며, 국제 제재법에 따라 에스토니아 금융정보분석원(Republic of Estonia Financial Intelligence Unit)에 관련 보고 의무를 집니다. 2024년 12월 5일 기준, 에스토니아 내 가상자산 기업은 자금세탁방지 및 테러자금 조달 방지법(MLPA)에 근거하여 자금세탁방지정보국이 발급한 43개의 유효 인허가를 보유하고 있으며, 이 인허가는 2024년 12월 30일까지 유효합니다.

가상자산 관련 서비스란 다음을 의미합니다:

• 가상자산 지갑 서비스 – 고객을 대신하여 가상자산의 저장, 보유 및 이전에 필요한 암호키를 생성하고 저장하는 활동.
• 가상자산 교환 서비스 – 법정화폐와 가상자산 간 또는 서로 다른 가상자산 간 교환을 수행하는 운영.
• 가상자산 송금 서비스 – 저장 또는 교환 서비스를 제공하지 않고 자산의 소유권 또는 통제권 이전을 통해 두 당사자 간 가상자산 송금을 중개하는 활동.
• 초기 코인 공개(ICO) – 블록체인 기술을 사용하여 디지털 자산을 발행 및 제공하며, 토큰을 법정화폐 또는 다른 가상자산과 교환하여 제3차 시장에 상장 가능성이 있는 경우. 이 경우 투자 서비스 규정에 따라 별도의 금융서비스당국 승인 필요할 수 있음.

MiCA 규제 하에 단일 규제 체제로 전환하는 목적은 균일한 감독 수준 보장, 가상자산 시장 참여자 보호 강화 및 국가별 분산된 접근 방식 해소에 있습니다. 가상자산 서비스 운영 인허가는 개인별 맞춤형이며 제3자에게 양도할 수 없음을 금융서비스법 제70조(4)에 명시하고 있습니다. 즉, 인허가는 발급된 법인에 독점적으로 귀속되며, 어떠한 형태로든 양도나 이전은 불가능합니다. 2024년 12월 30일부터 자금세탁방지정보국은 해당 분야 신규 인허가 발급을 중단했습니다. 앞으로는 금융감독청이 (EU) 2023/1114(MiCA) 규정 시행에 따라 점진적으로 가상자산 감독 및 인허가를 담당합니다. 전환 기간 동안 자금세탁방지정보국은 기존 인허가 조건 변경만 담당하며, 2026년 7월 1일 이후 기존 절차 하에 발급된 모든 인허가는 무효화됩니다.

기존 인허가 조건 변경 신청은 자금세탁방지법(RahaPTS)과 국제제재법(MSÜS) 등 법적 요건 준수 하에 가능하며, 관련 서류 제출이 필요합니다. 서류는 가상자산 서비스 제공자의 요건 준수를 입증해야 하며, 행정절차는 금융정보분석원법에 따라 진행됩니다. 행정절차의 공식 언어는 에스토니아어이며, 외국어 서류는 공인 번역문을 반드시 첨부해야 합니다. 번역 미제출 또는 서류 미비는 신청 거부 또는 절차 중단 사유가 될 수 있습니다.

에스토니아 MiCA 인허가 신청에 필요한 서류

1. 서비스 제공 장소 주소 및 웹사이트 주소;
2. 서비스 제공 책임자의 이름 및 연락처 (모든 서비스 장소 해당);
3. 법인이 에스토니아 상업등기부에 등록되어 있지 않은 경우, 법인 소유자의 이름, 등록번호 또는 개인식별번호(부재 시 생년월일, 출생지 및 거주지 주소), 수익자 이름 및 개인식별번호(부재 시 생년월일, 출생지 및 거주지 주소);
4. 서비스 제공자가 법인이 아니거나 에스토니아 상업등기부에 등록된 기업이 아닐 경우, 경영진 및 변호사의 이름, 개인식별번호, 생년월일, 출생지 및 거주지 주소;
5. 금융감독법 제14조 및 15조에 따른 내부 통제 규정, 국제제재법 제20조에 따른 특별 의무자의 경우 제23조에 따른 절차 및 준수 검증 절차;
6. 금융거래법 제17조에 따라 지정된 연락 담당자의 이름, 개인식별번호, 생년월일, 출생지, 국적, 거주지 주소, 직함 및 연락처;
7. 국제제재법 제20조 제3항에 따른 재무 제재 이행 책임자의 정보;
8. 경영진, 수익자, 소유자 등이 외국인일 경우, 출신 국가 범죄경력증명서 또는 이에 상응하는 문서;
9. 외국 국적자일 경우, 모든 국적에 대한 신분증 사본 및 위 범죄경력증명서 관련 서류;
10. 경영진 및 수탁자의 학력, 직책 및 책임 범위, 신뢰성과 무결한 사업 명성 증명 서류;
11. 사업자 명의로 개설된 계좌 목록 및 각 계좌의 고유 식별자와 예금주 이름, 계좌 존재 증명서;
12. 제공할 가상자산 관련 서비스 상세 설명;
13. 자본금 및 인가 자본금(서비스 유형에 따라 EUR 250,000 또는 EUR 100,000) 및 납입 증빙;
14. 초기 대차대조표, 수입·지출·이익·현금흐름 개요 및 가정, 운영 중인 회사의 경우 직전 월말 재무상태표 및 손익계산서, 가능 시 최근 3개년 재무제표;
15. 금융서비스법 제70조에 따른 사업계획서;
16. 금융시장법 제13조에 따른 위험 선호도 및 위험 평가 문서;
17. 서비스 제공에 필요한 IT 시스템 및 보안 조치, 업무 연속성 및 기술 조직 수준 설명;
18. 고객 및 수익자 식별, 위험 등급 부여, 거래 및 고객 모니터링을 위한 IT 시스템;
19. 주주, 파트너 또는 구성원 별 보유 주식/지분 및 의결권 수;
20. 회계 감사 법인 및 내부 감사인 정보;
21. 중요 주주 정보;
22. 경영진 또는 중요 이해관계자가 20% 이상 지분을 보유한 회사 목록;
23. 자회사 활동에 라이선스를 사용할 경우 금융서비스법 제70조(3) 및 (3.2)(4)조 관련 추가 정보.

에스토니아의 MiCA 규제

자금세탁방지정보국은 범죄수익은닉의규제에관한법률 제70조에 규정된 완전하고 정확하게 작성된 서류를 접수한 후에야 신청인의 법적 요건 준수 여부를 평가합니다. 예비 심사는 모든 정보와 증빙서류가 적절히 그리고 규정된 기준에 따라 제출된 후에야 시작됩니다. 만약 자회사의 활동 내에서 사용하기 위한 라이선스가 요청된다면, 자회사도 주신청자와 동일한 요건을 충족해야 합니다. 이는 자회사가 신용도, 소유구조의 투명성, 내부통제시스템 및 자금세탁방지 및 제재 의무 준수 등 규제 평가의 모든 측면에서 동일한 검사를 받아야 함을 의미합니다.

자금세탁방지법 제72조 제1항 제1호는 명확한 법적 요건을 규정합니다: 회사, 경영진, 수탁자, 실소유자 어느 누구도 다음 범주의 범죄에 대해 유효한 유죄판결을 받아서는 안 됩니다:

• 공권력에 대한 범죄;
• 자금세탁 범죄;
• 고의로 저질러진 기타 범죄

이 조건은 법적 평판이 손상된 자의 규제 활동 참여를 차단하는 역할을 하며, 금융시장 참여자에 대한 높은 신뢰도를 보장하는 데 목적이 있습니다. 등록된 법인의 준수 여부를 평가할 때, 해당 국가의 권한 당국에서 발급한 최신 범죄경력증명서를 반드시 제출해야 합니다. 금융시장법 제72조 제1항에 따라 신청 법인과 관련된 모든 인물 — 회사 자체, 이사회 구성원, 수탁자, 실소유자 — 는 흠 없는 업무 평판을 가져야 하며, 이는 암호자산 관련 서비스를 포함한 규제 금융 부문에서의 라이선스 취득을 위한 전제 조건입니다.

좋은 평판의 존재 여부에 대한 결정은 라이선스 발급 당국이 개인의 이전 활동과 주변 상황을 고려하여 내립니다. 법은 합리적 의심 사유가 발견될 때까지 선의의 추정을 규정합니다. 자금세탁방지법 §72(2)에 따르면, 자금세탁정보국이 선의의 결여를 직접적으로 나타내는 사실을 확인하면 해당 인물은 선의가 없는 것으로 간주됩니다. 다음과 같은 상황이 포함되나 이에 국한되지 않습니다:

1. 파산 또는 금융감독하에 있는 회사의 라이선스 취소를 초래한 행위 또는 태만;
2. 중범죄 저지름;
3. 법원의 영업 또는 직업 금지 명령 부과 (기존 금지 명령 위반 포함);
4. 고객 및 투자자의 이익을 적절히 보호하지 못한 사업 조직;
5. 감독 당국과 협력 시 거짓 정보 제출 또는 중요 정보 은폐;
6. 경제, 직업 또는 재산 범죄 및 테러 자금 조달에 대한 기소, 단 범죄 기록 말소 또는 국제 제재가 없는 경우 제외.

§72(2)에 명시된 사유 목록은 완전하지 않음을 강조해야 합니다. 즉, 법에 명시되지 않았지만 해당 인물의 청렴성, 법적 신뢰성, 전문 적합성에 합리적 의심을 주는 기타 상황도 고려될 수 있습니다. 따라서 신청자는 회사의 사업에 중대한 영향력을 가진 모든 인물이 법적 요건 준수, 규제 및 형사 범죄 부재, 고객 이익 및 규제 안정성 확보를 위한 경영 책임감 등 업무 흠결 없음 기준을 충족하도록 해야 합니다. 자금시장법 제72조 제1항 제4호에 따라, 가상화폐 서비스 제공 라이선스를 받기 위해 법인은 에스토니아에 실제 거점을 두어야 합니다. 이 요건은 두 가지 방식으로 충족할 수 있습니다:

1. 회사의 등록 주소 및 사업장이 에스토니아에 있어야 합니다;
2. 외국 신청인의 경우, 에스토니아 상업등기부에 등록된 지점을 통해 에스토니아에서 활동하며, 지점의 실제 사업장도 에스토니아 내에 있어야 합니다.

사업장이란 민법전 일반 규정 제29조 제2항에 따른 경제적 또는 기타 활동이 실제로, 지속적이고 계속적으로 수행되는 장소를 의미합니다. 신고된 주소가 암호화폐 관련 서비스 제공 조건을 충족하지 않거나 자금시장법에 따른 요건을 준수하지 않을 경우, 유효한 사업장으로 인정받지 못합니다.

자금세탁방지법 §72⁵(7)에 규정된 강화 요건에 따라, 회사는 다음을 의무화합니다:

• 사업장 내에서 직접 암호화폐 서비스 제공이 가능하도록 보장;
• FIU(금융정보국) 또는 기타 감독 당국 대표가 언제든지 사업장에서 수집 및 보관 중인 문서에 물리적으로 접근할 수 있도록 보장;

이는 사업장이 명목상의 장소가 아니라 기능적인 장소여야 하며, 직원과 장비가 구비되어 있을 뿐 아니라 AML/CTF 요건과 라이선스 상의 기타 의무가 언제든지 이행될 수 있어야 함을 의미합니다.

신청서를 검토할 때 FIU는 사업장이 명시된 기능을 현실적으로 수행하는지 평가합니다. 예를 들어, 한 주소에 다수의 암호화폐 회사가 허위로 집중되거나, 물리적 공간이 객관적으로 부족한 장소(예: 두 개 이상의 회사가 사용하는 10m² 사무실)에서 서비스 제공하는 것은 허용되지 않습니다. 각 신청은 제공 서비스의 특성, 인력, 경영구조, 기술 장비 수준 등을 고려하여 개별 평가됩니다. 따라서 적절한 사업장 확보는 단순한 형식적 요건이 아닌 MiCA 라이선스 취득을 위한 실질적 조건이며, 이는 신청 시 및 이후 감독 과정에서 감독 당국에 의해 확인됩니다.

에스토니아에서 가상화폐 서비스 제공 라이선스를 받으려면, 회사 이사회 구성원은 규제 대상 법인의 지속 가능하고 통제된 경영을 보장하는 여러 법적 요건을 충족해야 합니다. 우선, 교환통제법 제72조 제1항 제4호에 따라 가상화폐 서비스 제공자의 이사회 소재지는 에스토니아에 있어야 합니다. 외국 회사인 경우 에스토니아 상업등기부에 등록된 지점을 통해 운영해야 하며, 해당 지점의 이사회 소재지도 에스토니아 내에 있어야 합니다.

경영진 후보자에 대한 높은 요건은 금융감독법 제72⁵조 제1항에 규정되어 있습니다. 후보자는 고등 교육을 마치고 회사 사업과 관련된 하나 이상의 분야에서 최소 2년 이상의 전문 경력을 가져야 합니다. 법은 특정 분야의 전문화를 요구하지 않으나, 학위는 일반적으로 인정되는 수준(학사, 전문대학, 석사 또는 박사)에 부합해야 하며, 중등 전문교육이나 직업교육은 고등 교육으로 인정되지 않습니다. 경력은 금융, 은행, 법률, 회계, 공공행정, 금융규제, 정보기술 또는 학계에서 쌓을 수 있으며, 민간 및 공공 부문 모두 인정됩니다.

법률은 수량적 제한도 둡니다: 한 사람이 동시에 두 개 이상의 가상화폐 서비스 제공자 이사회에 속할 수 없습니다. 단, 동일 그룹 회사에 속하거나, 한 회사가 다른 회사의 상당 지분을 보유하는 경우는 예외이며, 이 경우 직위가 하나로 간주됩니다. 금융서비스법 제72⁵조 제3항에 이 같은 설명이 있습니다. 개별 사례에서는 금융서비스 당국이 정당한 디지털 서명 신청서 제출 시 제3의 직위를 허용할 수 있습니다. 이때, 업무 범위와 각 구조에서의 경영 기능 질서를 유지할 수 있는 능력이 평가됩니다.

따라서 에스토니아에서 MiCA 라이선스 취득을 희망하는 회사의 이사회 구성을 할 때, 교육 및 경력 요건뿐만 아니라 경영진 직위 수 제한과 경영진의 실제 국가 내 거주 필요성도 고려해야 합니다. 금융감독법 제17조에 따른 가상화폐 서비스 제공자의 연락 담당자는 금융정보국과의 협력 내에서 AML/CFT 규정 준수 및 제재 준수 이행을 보장하기 위해 여러 자격 및 법적 기준을 충족해야 합니다.

연락 담당자는 필요한 교육, 직업 적합성, 경험, 기술, 인품을 갖춰야 하며, 컴플라이언스 검토를 통해 흠 없는 평판을 입증해야 합니다. 중요한 구조적 요건으로 연락 담당자는 한 회사에서만 직접 고용 계약에 따라 업무를 수행할 수 있습니다. 임시 직원이나 아웃소싱 모델은 허용되지 않습니다. 연락 담당자의 고용은 국가 고용 등록부에 기록되어야 하며, 이는 회사가 연락 담당자의 평판 의심 등 비준수 사유 발생 시 고용 관계를 직접 종료할 수 없도록 하는 상황을 배제합니다.

또한 동일인이 두 개의 가상화폐 서비스 제공자 이사회 구성원일 경우, 연락 담당자는 한 회사에만 지정될 수 있습니다. 이는 연락 담당자가 두 회사 모두에서 연락 담당자로 활동하는 것을 금지합니다. 적합성 평가 시 FIU는 고용 계약과 에스토니아 내 실제 고용 상태를 기록을 통해 확인하며, 교육 수준에도 주의를 기울입니다. 법률, 경제 또는 금융 분야의 고등 교육이 선호되며 관련 경력도 평가됩니다. 경력이 전혀 없더라도 임명은 가능하나, 이는 전문 교육 및 기본 AML/CTF 요건 이상의 검증된 지식 등 보완 요인이 필요합니다.

연락 담당자는 스트레스 내성, 분석 및 의사결정 능력, 법적·규제 프레임워크(RahaPTS, RSanS 포함) 지식, 회사 구조 및 내부 절차에 대한 이해를 보여야 합니다. 정직성, 정확성, 신뢰성, 청렴성 및 협력 능력 등 인격적 특성도 평가에 포함됩니다. 따라서 연락 담당자는 단순한 형식적 직원이 아니라, 에스토니아 암호화폐 서비스 제공자 감독 모델 내에서 복잡하고 책임 있는 역할을 수행할 자격, 평판 및 의지를 갖추어야 합니다.

가상화폐 관련 활동을 수행하기 위한 라이선스 신청 회사는 법적 요건을 충족하는 개설 결제 계좌를 보유해야 합니다. 금융감독법 제72조 제1항 제5호에 따라, 해당 계좌는 에스토니아 또는 유럽경제지역 회원국에 등록된 신용 기관, 전자화폐 기관 또는 지급 기관에 개설되어야 합니다. 계좌가 개설된 기관은 에스토니아 내에서 국경 간 지급 서비스를 제공할 권한이 있거나 지점을 보유해야 합니다.

라이선스 신청 시, 결제 계좌 정보는 경제활동등록부에 제출되는 서류에 포함되어야 하며, 해당 금융기관이 계좌 개설을 증명하는 확인서가 동봉되어야 합니다. 이미 유효한 라이선스를 보유한 신청자가 조건 변경을 신청할 경우, 결제 계좌 목록도 제출해야 합니다. 신청자는 미리 선택한 기관이 에스토니아에서 서비스를 제공할 수 있는 라이선스를 보유하고 감독 당국의 기준을 충족하는지 확인해야 합니다. 이 정보는 에스토니아 금융감독청 공식 웹사이트에서 확인할 수 있습니다. 부적절한 결제 기관 이용이나 불완전한 계좌 정보 제공 시 신청이 보류되거나 라이선스 발급이 거부될 수 있습니다.

금융시장법 제72¹조에 따라, 가상화폐 서비스 제공자는 에스토니아에서 규제 활동을 수행하기 위한 라이선스 취득에 필요한 최소 자본금을 확보해야 합니다. 자본금 규모는 제공 서비스 성격에 따라 다릅니다. 가상자산 저장 서비스(지갑 서비스), 가상화폐 간 또는 가상-법정화폐 간 교환 서비스, 가상화폐 발행 서비스를 제공하는 경우 최소 자본금은 10만 유로 이상이어야 합니다. 고객 간 거래를 포함한 가상화폐 송금 서비스를 제공할 계획이면 최소 자본금은 25만 유로로 증가합니다.

법인 설립 시 MiCA 라이선스 취득 목적으로 자본금 출자는 현금으로만 이루어질 수 있습니다. 이 조건은 초기 단계에서 회사의 지급 능력을 확인하기 위함입니다. 이후 라이선스 변경 시(예: 서비스 범위 확장) 자본금 출자는 현물로도 가능하지만, 신청자는 법정 자본금 금액을 완전히 충족했음을 입증해야 합니다. 자본 적정성 평가 시 감독기관(FIU)은 관련 회계 문서, 계정 명세서, 지급 증명서 및 자금 출처 증명서를 요구할 수 있습니다. 최소 자본금 요건 미충족 시 라이선스 발급 또는 갱신 거부, 기존 활동 제한 조치가 취해질 수 있습니다.

돈시장법 제72²조에 따르면, 가상화폐 서비스를 운영하는 제공자는 라이선스 및 감독 요건을 준수할 충분한 자기자본을 유지해야 합니다. 자기자본은 회사의 재무 건전성을 평가하는 핵심 요소이며 고객 이익과 시장 안정성 보호 수단입니다. 자기자본은 해당 사업 유형에 대해 법으로 정해진 최소 금액 이상이어야 합니다. 특히, 가상화폐 서비스 제공자는 지갑 서비스, 가상화폐 교환 또는 발행 시 최소 €100,000, 고객을 대신한 가상화폐 이체 시 최소 €250,000의 자기자본을 유지해야 하며, 이는 절대 최저 기준입니다.

다만, 특정 경우에는 대체 산정법이 사용될 수 있는데, 이는 고정 금액, 경비 또는 거래량 중 최대치를 적용합니다. 자기자본 구조는 유럽 은행법 요건에 부합해야 하며, Regulation (EU) No 575/2013에 명시된 Common Equity Tier 1(CET1) 요소를 포함해야 합니다. 이는 잠재 손실을 최대한 커버하고 인출이 불가능한 자산만이 자기자본에 포함되어 충분한 유동성과 안정성을 보장함을 의미합니다.

라이선스 목적상 자기자본 정보는 사업 활동 등록부(MTR)에 반드시 공개되어야 하며, 존재 및 구조를 증명하는 문서를 첨부해야 합니다. 제공자는 정기적 내부 모니터링을 통해 요건 준수를 지속적으로 확보해야 하며, 미준수 시 라이선스 거부, 취소 및 기타 감독 조치가 따릅니다. 금융서비스법 제72³조에 따라 모든 가상화폐 서비스 제공자는 연간 재무제표에 대한 감사가 의무화되어 있습니다. 이는 감독 및 공공 등록을 위한 재무 데이터 신뢰성 확보를 목적으로 하며, 감사에는 법정 자기자본 요건 준수 여부 평가도 포함됩니다. 해당 의견은 매년 서비스 제공자와 감독 기관에 제출되어야 합니다.

법정 감사 조항은 2022년 3월 10일부터 회계 기간에 적용되며, 그 이전 기간(2021년 포함)에 소급 적용되지 않습니다. 회사가 라이선스 또는 회계에서 감사 기관 정보를 기재하지 않으면 금융감독당국은 감사인 선임을 명할 수 있습니다. 감사인은 감사법에 명시된 자격 요건, 특히 제7장 2항 2호를 충족해야 하며, 평가 기준은 동일 법 제39조 3항에 따른 전문성, 독립성, 자원, 평판 등을 포함합니다.

감사 의무는 감사법 제91조에서 정한 매출, 자산, 직원 수 기준 초과 시 발생합니다. 다만, 암호화폐 분야의 모든 서비스 제공자는 최소한 제한 감사 또는 확인 절차 형태의 의무 감사 대상입니다. 사업체는 자발적으로 전면 감사를 선택할 수 있습니다. 자기자본 적정성 검증은 별도의 법정 과제로 간주되며, 표준 감사 절차와는 별도이나 효율성 때문에 동일 감사 기관에 위임 가능하여 평가 신뢰성을 높이고 규제 기관과의 소통을 간소화합니다.

금융감독당국의 공식 지시에도 불구하고 감사인 선임을 거부하면 라이선스 조건 중대 위반으로 간주될 수 있으며, 라이선스 취소 절차가 개시될 수 있습니다. 따라서 감사 요건 준수는 형식적 절차가 아니라 에스토니아 암호화폐 서비스 제공자의 신뢰성과 건전성 관리 시스템의 핵심입니다. 돈시장법 제72⁴조에 따라 가상화폐 서비스 제공자는 내부 통제 기능과 내부 감사인 선임 의무를 지며, 이는 모든 라이선스 취득 기업에 적용되는 지배구조 및 리스크 관리 체계의 필수 요소입니다.

내부 통제 기능은 운영 및 관리 프로세스 감독과 내부 감사를 포함하며, 내부 감사인의 주 임무는 핵심 프로세스 및 시스템을 독립적으로 감시하고 운영 효율성과 신뢰성 향상을 위한 의견 및 권고를 작성하는 것입니다. 내부 감사는 내부 통제 시스템에 대한 객관적 평가와 내부 보증 제공을 통해 사업 지속 가능성 향상에 기여합니다. 내부 감사인은 평가할 프로세스나 규칙의 설계 및 실행에 관여하지 않아야 하며, 이는 이해 충돌 방지와 자기 통제 위험 최소화를 위한 조치입니다. 예를 들어, 내부 리스크 관리 절차를 개발한 자는 해당 절차의 효과 평가를 맡을 수 없습니다.

법에서는 내부 감사인의 상시 고용 의무를 명시하지 않아 외부 계약을 통한 업무도 가능하지만, 해당 전문가는 다른 경영 및 통제 기능과 독립적으로 활동해야 합니다. 또한 내부 감사인과 외부 감사인은 동일 인물 또는 기관일 수 없으며, 이는 양 기능의 목적과 상충하는 명백한 이해 충돌을 초래합니다. 독립적인 내부 감사 기능은 위법 행위, 규정 위반 및 리스크를 조기에 발견할 수 있게 하며, 감독기관에 성숙한 내부 관리·통제 구조를 갖추었음을 증명하여 MiCA 규정과 암호화폐 시장 참여자의 재무 안정성에 대한 관심 증가에 부응합니다.

가상화폐 서비스 제공자 관련 법령에 따르면, 라이선스 신청 및 변경 신청 처리에 대한 기한이 정해져 있습니다. 감독 기관인 자금세탁방지국(MLB)은 라이선스 신청을 60일 이내에 처리해야 하며, 이 기간은 신청서 제출 시점이 아닌, 신청자가 금융서비스법 제70조에 따른 모든 필수 자료와 문서를 완비해 MLB에 제출한 날부터 시작됩니다. 예외적으로 MLB는 감독 대상 사안 평가를 위해 필요 시 심사 기간을 최대 120일까지 연장할 수 있습니다. 제출 서류에 결함이나 불일치가 발견되면 MLB는 신청서 보완을 위해 신청자에게 반환할 수 있으며, 이 경우 보완 기간 동안 심사 기간은 정지되나 최대 30일 단위로 연장될 수 있습니다. 다중 30일 연장도 가능하지만, 각각의 정지는 근거를 명확히 하고 별도 기록해야 합니다. 신청자가 필수 정보를 미제출하거나 허위·불완전·오도성 정보를 제공할 경우 금융감독당국은 심사를 거부할 수 있으며, 이 경우 행정 절차 없이 신청서를 반려합니다. 따라서 효율적이고 신속한 처리 위해 신청자는 모든 서류를 사전에 완비하고 정확성을 보장하며, 규제 기관의 문의에 신속히 대응해야 합니다.

에스토니아 MiCA 라이선스 변경

에스토니아 MiCA 법령 하에서 암호화폐 서비스 제공자는 라이선스 변경 절차와 취소 사유에 대한 명확한 규정을 따릅니다. 라이선스 취득 근거에 영향을 미치는 회사 내 변화가 발생하면, 조직은 변경 예정일 최소 30일 전까지 금융정보국(FIU)에 통지해야 합니다. 회사 의지와 무관한 변경 및 라이선스상 신고된 기타 정보에 변화가 있을 경우, 사건 발생 후 5영업일 이내에 통지해야 하며, 기한 미준수 시 라이선스 조건 위반으로 간주될 수 있습니다.

라이선스 취소 사유는 금융감독 당국 결정에 따라 다양하며, 신청서 제출 시 허위 정보 제공, 사업 중단, 연간 보고서 미제출 또는 변경사항 미신고, 영업 금지 명령, 타 규제 기관 라이선스 보유, 감독규정 반복 위반, 취득 후 6개월 이내 미영업, 2년간 완전 무활동 등이 포함됩니다. 또한 라이선스 조건 중대한 위반, 공공질서 위협 행위, 취득 시 기준 미충족, 감독기관 기만, 제재법 위반도 취소 사유입니다.

회사 관련 인물의 평판 및 법적 무결성도 중시됩니다. 이사, 수익자, 검사관, 소유자가 경제범죄, 자산범죄, 전문범죄, 자금세탁 또는 테러자금 조달 관련 기소 대상이거나 범죄기록이 제거되지 않은 경우, 또는 국제 제재 위반 시 라이선스 취소가 가능합니다. 따라서 에스토니아 법령은 MiCA 라이선스 취득 시 높은 진입 요건과 엄격한 지속적 준수를 요구하며, 위반 시 라이선스 취소 위협이 따릅니다. 가상화폐 관련 서비스 제공자에 대해 추가 제한 및 발급·변경 거부 사유가 정해져 있어 시장 지속 가능성, 적절한 감독, 리스크 최소화를 도모합니다.

우선, 돈시장법 § 72⁶에 따라 가상화폐 서비스 제공자는 경제활동 일시 중단 통지를 제출할 권리가 없습니다. 즉, 실제 영업 중단 시 라이선스는 절차에 따라 취소되며, 활동 중단만으로는 불가능합니다. 또한 금융감독법 제72(3)조는 신청자, 이사 또는 지분 보유자가 이전에 라이선스 거부 또는 취소된 경우 2년간 신규 신청 금지를 규정하며, 변경 신청도 이에 포함됩니다. 단, 자발적 영업 중단, 미영업, 타 감독 기관 이관, 기업 재조직의 경우 예외가 인정됩니다.

라이선스 발급 또는 변경 거부 사유는 별도로 규정되어 있으며, 금융감독법 §72(1¹)에 따라 기본 요건 미충족 시 거부가 의무화됩니다. 추가 사유로 FIU는 재량권을 행사할 수 있습니다:

1. 적절한 감독을 방해하는 다른 인물과의 중대한 연계, 특히 협력 불가능한 관할구역을 통한 간접 연결 시.
2. 법적 주소와 경영진 소재지에도 불구하고 에스토니아와 실질적 경제적 연결 미흡. 감독기관은 형식뿐 아니라 실제 경제활동과 존재를 평가합니다.
3. 부적절한 내부 절차 및 정책. 내부 규정은 신청자의 위험과 특성에 맞추어져야 하며, 단순 법률 조항 나열이 아닙니다.
4. 불충분한 IT 인프라. 기술 자원은 AML/CFT 요건 준수, 운영 규모와 복잡성에 적합하며 고객 거래 통제 가능해야 합니다.
5. 자본 출처 합법성에 대한 의문. FIU는 투명성 및 합법성을 확인하기 위한 추가 증빙 요청 권한이 있습니다.
6. 이전 라이선스 취소. 회사 또는 관련자가 법에서 명시된 사유(예: 영업 중단, 조건 위반, 공공질서 위협)로 취소된 경우.

이 조치들은 규제 또는 법적 위험이 높은 사람들의 암호화폐 시장 접근을 제한하고, 이미 금융 시스템에 대한 의무를 위반한 회사나 개인의 재등록 시도를 방지하는 데 목적이 있습니다. 따라서 에스토니아의 감독 시스템은 MiCA 라이선스 취득에 대한 높은 초기 요건을 제공할 뿐만 아니라 위반 시 재신청 금지, 상당 기간 복구 불가능한 라이선스 취소 등 엄격한 제재를 도입합니다.

MiCA 라이선스 하 에스토니아 암호화폐 회사의 보고

가상 화폐 분야에서 운영하는 서비스 제공자들은 정기 보고 의무 도입 전에 서면으로 사전 통보를 받았으며, 에스토니아 은행 및 디지털 자산 협회와 공동으로 진행된 두 차례의 설명회를 통해 정보를 전달받았습니다. 이 규제 의무가 시행 초기인 2024년 1월에는 시장 참여자들의 관심이 제한적이었고, 보고 포털의 테스트 환경을 이용한 서비스 제공자는 10명 미만이었으나 4월에는 약 20명으로 증가했습니다. 2024년 1분기 첫 보고 기간 마감이 다가오면서 규제 당국과의 상호작용도 증가했으며, 서비스 제공자 또는 그들의 감사 컨설턴트가 에스토니아 은행에 약 10건의 기술적 문의를, 자금세탁방지 데이터국에는 요구 해석 및 이행 관련 약 50건의 실질적 문의를 보냈습니다.

보고 의무 이행이 늦어진 사례도 일부 있었으나, 전반적으로 시장 참여자들은 재무부 장관 규정의 요건을 준수했고 정기 보고 절차를 성공적으로 통합하였습니다. 가상화폐 서비스 제공자에 대한 코레스폰던트 서비스 제공은 자금세탁 및 테러자금조달(ML/TF) 준수 맥락에서 가장 중요한 위험 요소 중 하나입니다. 실무에서는 이러한 유형의 상호작용을 “중첩(nested)” 또는 “중개(intermediated)” 서비스 제공으로 부르는 경우가 많습니다.

코레스폰던트 관계의 본질은 한 금융기관(코레스폰던트)이 다른 기관(응답자)에게 결제 계좌, 결제 시스템 또는 기타 서비스 등 금융 인프라 접근을 제공하는 것입니다. 이는 응답자를 통해 작동하는 무한 수의 최종 고객이 금융 채널에 접근할 가능성을 만들지만, 일반적으로 코레스폰던트와 최종 수혜자 간에는 직접적인 계약 관계가 없습니다.

이러한 구조가 상당한 위험을 내포하는 이유는 다음과 같습니다:

코레스폰던트 기관은 대체로 최종 수익자의 신원, 거래 목적 및 성격에 대한 완전한 정보를 갖고 있지 않음

최종 고객 확인 및 검증 기능이 응답자에게 위임되며, 응답자의 내부 통제 및 위험 평가 시스템이 불충분할 수 있음

다단계 상호작용 체계의 경우, 자산 출처 및 실질 소유권 투명성이 크게 감소함

거래 체인의 각 추가 연결고리는 감독 당국 및 조직이 의심스러운 활동을 탐지하는 능력을 줄이고, 국제 제재 및 ML/TF 규정 준수 모니터링을 어렵게 만듦

실무에서, 가상자산 부문에서는 코레스폰던트 관계의 제3자가 종종 다른 가상화폐 서비스 제공자이거나 규제가 엄격하지 않은 관할 지역에서 운영되는 금융기관인 경우가 많습니다. 이러한 경우, 거래는 자금 출처, 진정한 수혜자 및 거래의 실질 경제적 내용을 숨기려는 의도로 구조화될 수 있습니다. 이는 다음과 같은 위험을 야기합니다:

불법 자금의 금융 시스템 통합(자금세탁)

테러 활동 또는 무력 분쟁 자금 지원

대량살상무기 자금 지원 관련 제재를 포함한 국제 제재 회피 또는 위반

이러한 위험을 고려할 때, 응답자 신원 확인, 코레스폰던트 활동 모니터링 및 자산 출처 문서화 요구사항을 포함한 엄격한 실사 기준은 가상화폐 서비스 제공자에 대한 효과적인 위험 관리 프레임워크의 필수 요소입니다.

에스토니아 내 암호화폐 회사 감독

향후에는 금융감독국(Financial Conduct Authority)이 암호자산 관련 서비스를 점차 감독하게 될 예정이지만, 현행법에 따르면 올해 말까지 RAB가 운영 라이선스 발급과 가상화폐 서비스 제공자 감독을 계속 수행할 것입니다. 장기적으로는 발효된 EU의 MiCA 암호자산 규제가 규칙을 바꿀 것입니다.

암호자산 시장은 오랫동안 규제되지 않은 유혹으로서 투자자에게 큰 기회와 중대한 위험을 제공해 왔습니다. 법률에서 ‘가상화폐’라는 용어가 ‘암호자산’으로 대체된 점은 이 시장의 발전을 잘 나타내며, 규제 영역 확장의 이유를 설명합니다.

통제 대상 가상화폐 서비스 목록이 확대되고 있습니다.

지금까지 암호화폐 회사들은 각국 현지법에 따라 운영되어 왔으나, 지난해 5월 31일 유럽연합은 MiCA(Markets in Crypto-Assets Regulation) 암호자산 규제를 채택해 암호자산 및 암호자산 관련 서비스의 상당 부분에 대해 금융 감독을 도입했습니다. 감독 대상은 에스토니아에서 이전에 가상화폐 서비스로 분류되던 서비스뿐 아니라 다수의 신규 서비스까지 확대됩니다. 자금세탁 및 테러자금조달 방지법(RahaPTS)에서는 가상화폐 서비스 4종을 지정하지만, MiCA에는 10종의 서비스가 포함됩니다. 일부는 기존 가상화폐 서비스와 겹치나 나머지는 아직 규제되지 않은 서비스입니다. 예를 들어, 고객을 대신한 암호자산 관련 주문 실행, 수신 및 전달, 암호자산 상담 및 포트폴리오 관리 등이 포함됩니다.

투자자 보호 강화

MiCA 법은 자금세탁 위험 감시 외에 투자자 보호에도 점점 더 초점을 맞춰 서비스 제공자에게 추가 요구사항을 부과합니다. 예를 들어, 고객의 암호자산을 저장하거나 접근을 제공하는 서비스 제공자는 제3자 공격으로부터 투자자의 암호자산 보호를 위한 조치를 도입해야 합니다. 또한 서비스 제공자는 시장을 모니터링하고, 시장 조작 시도로 의심되는 거래를 금융감독당국에 신고해야 할 의무가 있습니다. 중요한 변화로 MiCA 요구사항은 특정 유형의 암호자산 발행, 제공, 거래소 상장 신청에도 적용됩니다. 이전에는 이러한 암호자산 관련 활동이 전혀 규제되지 않았습니다. 그 결과, 업계에서 ‘스테이블코인’으로 알려진 전자화폐 토큰 및 자산 기반 토큰 두 종류에 대해 더 엄격한 요구사항이 도입되며, 유럽연합 시장에서는 전자화폐 토큰은 은행과 해당 분야 운영 기관만, 자산 기반 토큰은 별도의 운영 라이선스를 받은 회사만 제공할 수 있습니다.

일부 암호자산은 여전히 비규제 대상

세 번째 유형의 암호자산은 전자화폐 또는 자산 기반 토큰이 아닌 기타 암호자산 전부를 의미합니다. 이들에 대해서는 자산의 투명성 제고를 위한 요구사항(예: 백서 공개 및 홍보 내용 제한)이 주로 적용됩니다. 따라서 투자자는 기타 암호자산에 속하는 토큰 구매 시 신중해야 하며, 이들 토큰은 금융감독당국의 사전 승인 없이 제공될 수 있습니다. 일부 시장 제공 암호자산(e.g. NFT)은 MiCA에서 완전히 제외됩니다. 단, MiCA가 적용되는 암호자산의 경우 서비스 제공자는 해당 요건을 충족하지 않는 암호자산의 거래를 허용해서는 안 됩니다. 또한 일부 암호자산은 증권으로 간주될 수 있으며, MiCA보다 더 엄격한 투자법이 적용되고 있거나 적용될 예정이며, 적절한 라이선스 없이 해당 암호자산 관련 서비스를 제공하는 것은 불법입니다.

MiCA는 단계적으로 시행

MiCA 규제는 자산과 서비스 유형에 따라 단계적으로 적용됩니다. 에스토니아에서는 MiCA와 함께 일부 경우 준수를 위한 과도기 규정을 둔 ‘암호자산 시장법(Cryptoasset Market Act)’도 시행 중입니다. 올해 6월 30일부터는 전자화폐 및 자산 기반 토큰의 발행, 제공, 거래 관련 모든 활동이 MiCA를 준수해야 하며, 12월 30일부터는 전자화폐 및 자산 기반 토큰이 아닌 기타 암호자산 및 여러 암호자산 관련 서비스에도 MiCA가 적용됩니다. 12월 30일 이전 발급된 RAB 운영 라이선스를 가진 가상화폐 서비스 제공자는 2026년 7월 1일까지 기존 라이선스로 운영할 수 있으며, 그때까지 RAB의 감독을 받습니다. 이전 FIA 라이선스가 없는 기관은 12월 30일부터 MiCA 하 서비스를 제공하려면 금융감독청(FIA)으로부터 라이선스를 받아야 하며 금융감독청의 감독을 받게 됩니다. 금융감독당국 라이선스를 취득한 회사는 유럽연합 전역에서 암호자산 관련 서비스를 제공할 수 있습니다. 서비스 제공자가 모든 회원국에 물리적 거점을 가질 필요는 없습니다. 12월 30일 이후 FIA, 금융감독청 또는 EU 회원국 감독당국 라이선스가 없는 암호자산 서비스 제공자는 불법 활동 중입니다.

투자자 및 소비자는 과도기 동안 특히 주의 필요

장기적으로 MiCA 전환은 암호자산 서비스 투자자와 고객에게 더 나은 보호를 제공하지만, 향후 몇 년간 서비스 제공자 선택에 신중해야 합니다. 올해 12월 30일부터 2026년 7월 1일까지 금융감독청과 금융감독당국 모두에서 라이선스를 받은 회사가 유사한 서비스를 병행 제공할 수 있지만, 후자만 MiCA 투자자 보호 추가 요구사항을 이행해야 합니다. 금융감독당국 라이선스 취득 관련 추가 정보는 여기에서 확인할 수 있습니다. 암호자산 거래량은 크게 증가했으며 적절한 통제 없이는 불투명하거나 부도덕한 구조에 휘말리기 쉽습니다. 자산을 잘못 관리하는 중개업자에게 잃거나 시장 조작에 노출되어 투자자와 금융 시스템 전체에 위험이 될 수 있습니다. MiCA 전환은 시간이 걸리지만, 궁극적으로 투자자는 정보에 기반한 위험 감수를 하게 되며, EU 차원의 새 규제는 암호자산 관련 위험을 어느 정도 완화하고, 투자자에게 더 투명한 정보를 제공하며, 중개업자는 활동을 더 엄격히 모니터링하고 평가해 투명성과 고객 보호를 강화합니다.

에스토니아 암호화폐 및 암호자산 시장 규제

2024년 에스토니아에서는 전문 암호자산 법률인 Krüptovaraturu seadus(KrüTS)가 시행되어 암호화폐 시장 참가자 규제 접근법에 근본적인 변화를 가져왔습니다. 새 법은 에스토니아 규제 환경을 유럽 MiCA 규제와 조화시키고, 가상자산 취급 기업에 대한 감독을 강화합니다. 아래는 KrüTS 조항, 시장 참가자의 주요 책임, 신규 규제 요건에 대한 상세 분석입니다.

FIU 라이선스에서 완전한 FSA 규제로 전환

과거에는 에스토니아의 모든 암호화폐 회사가 금융정보분석원(FIU) 라이선스를 받았습니다. 그러나 2024년 7월 1일부터 암호자산 시장 감독이 금융감독청(FSA)으로 이관되었습니다. 이에 따라 새로운 규제 시스템이 도입되어, FIU 라이선스는 2026년 7월 1일까지 과도기 동안만 유효하며, 이후에는 FSA로부터 적절한 인가를 받은 회사만 합법적으로 운영할 수 있습니다.

FSA 라이선스는 기간 제한 없이 발급되며 양도 불가능하고, 에스토니아 내 등록된 법적 주소와 경영 구조를 요구합니다. 회사 형태는 유한책임회사(OÜ) 또는 주식회사(AS)여야 하며, 경우에 따라 특히 시스템적으로 중요한 활동인 경우 감독위원회 설치도 요구됩니다.

규제 대상 회사 및 활동

새 법률은 가상자산 관련 광범위한 활동을 포함합니다. 특히 다음 범주에 속하는 개인 및 회사가 규제 대상입니다:

• 암호자산(유틸리티 토큰, 스테이블코인, 전자화폐 토큰 포함)을 발행하거나 제공하는 플랫폼 및 조직
• 가상자산과 법정화폐 간 교환 서비스를 제공하는 회사
• 암호자산을 보관하거나 고객 키를 관리하는 수탁 서비스
• 암호자산 거래가 가능하거나 2차 시장에서 유통을 조직하는 플랫폼
• 암호자산 상담 제공, 자산 이체 수행 및 사용자 계정 관리하는 자

규제는 에스토니아 거주자뿐만 아니라 의도적으로 에스토니아 내 사용자에게 서비스를 제공하는 외국 기업에도 적용됩니다.

라이선스: 요구사항, 구조, 자본

암호화폐 회사가 라이선스를 받기 위해서는 사업 계획서, 기업 지배 구조 설명서, 내부 통제 체계, AML/KYC 정책 및 정보 보안 메커니즘을 포함한 서류 일체를 금융감독기관에 제출해야 합니다.

최소 허가 자본금은 제공하는 서비스의 성격에 따라 다릅니다:

• 거래소 및 지갑 서비스를 제공하는 회사는 최소 자본금이 €100,000로 설정되어 있습니다.
• 커스터디 플랫폼 및 자산 이체 서비스는 최소 자본금 €250,000이 필요합니다.

또한 경영진에 대한 요구사항도 있습니다: 이사회는 최소 두 명의 자격을 갖춘 구성원을 포함해야 하며, 각 구성원은 전문 교육을 받았고 최소 2년 이상의 경력이 있어야 합니다. 동일 인물이 여러 라이선스 기관에서 동시에 맡을 수 있는 경영직 수 역시 규제 대상입니다.

운영 책임 및 내부 통제

새로운 규칙은 라이선스를 받은 회사가 고객 권리 보호 및 유럽의 자금세탁방지 및 테러자금조달 방지 요구사항 준수를 보장하는 지속 가능한 내부 구조를 갖추도록 의무화합니다. 운영 규율의 필수 요소는 다음과 같습니다:

• 고객의 전면적인 신원 확인과 자금 출처 검증.
• 거래의 지속적 모니터링과 의심 거래 탐지를 위한 자동화 시스템 사용.
• 이른바 ‘트래블 룰’의 의무적 시행 – 송금 시 제공자 간 정보 전송 메커니즘.
• 컴플라이언스 책임자 임명 및 감독 기관에 대한 지속적 보고.
• 고객 불만 처리, 내부 조사, 개인정보 보호 절차 수립.
• 재무, 운영, 고객 및 거래 상대방 정보 등 규제 당국에 정기 보고.

모든 CASP(암호자산 서비스 제공자)는 이러한 절차를 단순히 서류상으로 마련하는 데 그치지 않고, 감독 심사 과정에서 실제로 이행하고 있음을 입증해야 한다는 점이 중요합니다.

행정 감독, 제재 및 집행 조치

FSA는 암호화폐 회사 활동 감독에 있어 광범위한 권한을 보유하고 있습니다. 감독 기관은 다음과 같은 권한을 가집니다:

• 재무제표, 내부 정책, 계약서 등 라이선스 보유자로부터 모든 문서 요청.
• IT 인프라 및 위험관리 시스템에 대한 현장 조사 명령.
• 회사 활동 일시 중지 또는 특정 운영 유형 제한.
• 법 위반이 심각하거나 체계적 불이행 시 라이선스 취소.

법률은 벌금 부과, 고객 자산 처분 제한, 의무적 행정 명령 발동 가능성도 규정하고 있습니다.

전환 기간 및 기존 회사의 적응

2024년 7월 1일 이전에 발급받은 라이선스를 보유한 기존 암호화폐 회사는 새로운 요구사항에 적응하여 2년 이내에 FSA에 라이선스를 재신청해야 합니다. 전환 기간 종료 시점(2026년 7월 1일)에는 재허가를 받은 회사만이 영업 권한을 유지합니다. 전환을 원활하게 하기 위해 명확한 지침, 기술적 안내 및 요구사항 단계적 적용이 제공됩니다. 다만 서류 제출 지연이나 신규 기준 미충족 회사는 등록 말소 및 영업 권한 상실 처분을 받게 됩니다.

KrüTS 법안 채택은 에스토니아가 형식적 라이선스 제도에서 암호화폐 시장에 대한 포괄적 규제로 전환함을 의미합니다. 에스토니아는 유럽연합 기준에 맞춰 투명하고 책임감 있으며 안전한 암호자산 운영 환경을 조성하고 있습니다. 시장 참여자들은 법적 요구사항을 준수할 뿐 아니라 지속 가능한 내부 통제, 투명성, 고객 보호 메커니즘을 구축해야 합니다. 이는 산업의 장기 발전, 투자 매력도 제고, 디지털 금융 분야에서 신뢰받는 관할권으로서 에스토니아의 위상 강화에 기초를 마련합니다.