All Articles

자산 토큰화 관련 Plume의 버뮤다 통화청(Bermuda Monetary Authority) 제출 의견서

January 12, 2026
Switch to

실물자산(RWA) 토큰화가 빠르게 진화하는 환경 속에서, 버뮤다는 글로벌 선도 주체로 자리매김하고 있습니다. 버뮤다 통화청(Bermuda Monetary Authority, BMA)은 투자자 보호를 보장하는 동시에, 안전하고 건전한 글로벌 온체인 자본시장의 성장을 지원할 수 있는 기회를 실현하기 위해, RWA를 전 세계적으로 확장 가능한 규제 체계 안으로 편입하려는 야심찬 정책적 노력을 개시하였습니다. Plume은 이러한 작업을 적극적으로 지원하고자 합니다.

Plume은 BMA의 「자산 토큰화 논의서(Discussion Paper on Asset Tokenisation)」에 대한 의견 제출로서 작성한 40페이지 분량의 상세한 코멘트 레터를 통해, RWA 정책을 둘러싼 글로벌 프레임워크가 새로운 현실로 성숙해 가는 과정에서 BMA가 선도적 역할을 수행할 수 있는 방안에 대한 구체적인 권고사항을 제시하였습니다.

버뮤다 통화청 귀중

존경하는 관계자 여러분께,

Kimber Labs Inc.(상호: “Plume Network Inc.” 또는 “Plume”)는 2025년 11월 5일에 발간된 버뮤다 통화청(Bermuda Monetary Authority, 이하 “BMA” 또는 “당국”)의 「자산 토큰화에 관한 논의서(Discussion Paper on Asset Tokenisation, 이하 “DP”)」에 대한 의견을 제출할 기회를 주신 데 대해 깊이 감사드립니다.

요약 (Executive Summary)

아래에서 보다 상세히 설명하듯이, Plume의 DP에 대한 의견은 다음의 다섯 가지 핵심 영역에 초점을 맞추고 있습니다.:

  • 버뮤다에 대한 Plume의 헌신. DP에서 제시된 질문과 제기된 이슈의 수준, 엄격성, 세부성은 당국의 전문성과 글로벌 온체인 자본시장 중심지로 발전할 준비가 되어 있음을 반영합니다. Plume은 디지털 자산, 금융 서비스, 보험 전반에 걸친 버뮤다의 상당한 전문성을 바탕으로, 글로벌 온체인 자본시장의 미래에서 버뮤다가 핵심적 위치를 확보할 수 있도록 버뮤다의 정책 입안자들과 협력하고자 합니다.
  • 원칙 중심(principles-based) 규제에 대한 강력한 지지. Plume은 버뮤다의 기존의 유연한 원칙 중심 디지털 자산 규제 체계(DABA)를 높이 평가하며, 토큰화된 투자상품의 형식이 아닌 실질에 초점을 맞추는 접근이 올바르다는 데 동의합니다. 이에 따라, 특정 가이던스를 통한 규제 명확성 제고, 분산원장기술(DLT) 특성에 대한 명시적 인정(예: DLT 기반 장부를 공식 펀드 기록으로 인정), 그리고 토큰화 과정에서 기능이 융합되는 문제를 중복 부담이나 혁신 저해 없이 해결하기 위한 활동 및 플랫폼 중심 감독 체계로의 전환을 권고합니다.
  • 토큰화 투자상품에 대한 맞춤형 규제 프레임워크 제안. Plume은 DABA 및 IBA 등록 기관 전반에 걸쳐 토큰화된 투자상품에 일관되게 적용되는, 활동 기반·성과 중심 접근법을 채택한 신규 또는 강화된 입법 프레임워크를 제안합니다. 이는 이중 라이선스로 인한 중복을 줄이고, 디지털 트윈과 네이티브 토큰 간 규제 적용을 차별화하며(디지털 트윈은 ISA 구조를 통한 신용위험 완화에 중점, 네이티브 토큰은 기술적 복원력에 중점), DABA의 유연성을 활용하여 건전성, 운영, 플랫폼 차원의 리스크를 포괄할 수 있도록 합니다.
  • 비수탁(non-custodial) 혁신 및 내재적 컴플라이언스 강조. Plume은 온체인 투명성, 자동화된 수익 집계, 그리고 AML/ATF 기능(전송 제한, 동결/압류, 시퀀서 수준 스크리닝)이 내장된 비수탁 스마트컨트랙트 기반 RWA 모델(예: Nest Vault)을 강력히 지지합니다. 또한 오라클 및 커스터디에 대한 직접 규제보다는 원칙 중심의 제3자 리스크 관리를, 구성 가능한 컴플라이언스를 위해 모듈형 토큰 표준(예: ERC-3643 확장)을, 그리고 규정적인 KYC 의무 부과보다는 실시간 온체인 모니터링을 권고함으로써 투자자 보호와 접근성 및 시장 효율성 간의 균형을 도모할 것을 제안합니다.
  • 강력한 리스크 완화 및 투자자 보호 제안. Plume은 스마트컨트랙트 감사 의무화, 높은 기준의 멀티시그 및 타임락 거버넌스, 시퀀서 수준의 이상 징후 탐지, 유동성 리스크 관리 프로그램(SEC Rule 22e-4에서 착안), 유동성 불일치에 대한 명확한 공시, 그리고 국경 간 운영을 위한 상호 인정 메커니즘을 포함한 다층적 보호장치를 제안합니다. 이러한 조치는 스마트컨트랙트 취약성, 오라클 조작, 환매 시점 문제, 국가 간 규제 준수 등 핵심 리스크를 해결하는 동시에, 글로벌 온체인 자본시장을 위한 DLT의 효율성, 투명성, 그리고 민주화 잠재력을 유지하는 것을 목표로 합니다.

  1. Plume 소개

Plume은 2025년 6월 메인넷을 출시하였으며, 혁신적인 실물자산(RWA) 토큰화 솔루션을 통해 전통 금융(TradFi)과 탈중앙 금융(DeFi)을 연결하는 것을 사명으로 하고 있습니다. 당사는 RWA를 토큰화하고 관리하기 위한 컴플라이언스 중심의 모듈형 생태계를 구축해 온 직접적인 실무 전문성을 보유하고 있습니다.

Plume의 핵심 RWAfi 블록체인은 자금세탁방지(AML), 테러자금조달방지(CFT), 제재 스크리닝 기능이 내장된 이더리움 레이어2 블록체인으로, 총 예치 자산(TVL) 3억 3천만 달러 이상을 달성하였습니다. Plume 이용자는 28만 개 이상의 (스테이블코인을 제외한) RWA 지갑을 보유하고 있으며, 이는 스테이블코인을 제외한 전체 RWA 보유 지갑 주소의 50% 이상을 차지합니다. Plume의 투자자로는 Apollo Global Management, Brevan Howard Digital, Galaxy Ventures, Haun Ventures, SV Angel을 비롯하여 Animoca Ventures, LayerZero Labs, Superscrypt, YZi Labs 등 전통 금융 및 크립토 분야의 다수의 저명한 기관이 포함되어 있습니다. 또한 Plume은 Mastercard의 핀테크 스타트업 육성 프로그램인 Start Path에 참여하고 있습니다.

RWAfi 외에도, Plume은 글로벌 디지털 경제 전반에서 RWA의 채택과 통합을 확장하기 위한 다양한 도구 모음을 개발하였습니다.:

  • Arc: Arc는 누구나 자산을 온체인으로 이전할 수 있도록, 법인 설립부터 커스터디 및 캡 테이블 관리에 이르기까지 토큰화의 전 과정을 처리하는 오픈소스 토큰화 플랫폼입니다. 이를 통해 기업과 개인 모두가 토큰화를 보다 쉽게 활용할 수 있습니다. Arc에는 개인정보 보호 및 규제 준수에 관한 고도화된 모범 사례를 제공하는 제3자 솔루션과, 기관급 자산 관리 및 커스터디를 제공하는 제3자 서비스 제공자와의 통합 기능도 포함되어 있습니다. Arc는 사전에 통합된 서비스 제공자(예: KYC 및 AML 벤더, 적격 커스터디 기관, 기관용 온·오프램프 등)와 발행사를 연결하고, 컴플라이언스, 커스터디, 스마트컨트랙트 배포를 자동화함으로써 토큰화 워크플로를 단순화합니다. 이를 통해 운영 및 규제 복잡성을 줄이고, 자산 발행자가 보다 효율적으로 프로젝트를 실행할 수 있도록 지원합니다.
  • Nest: Nest는 디파이 수익 집계(DeFi yield aggregation) 프로토콜로, 사용자가 USDC와 같은 스테이블코인(발행사인 Circle이 Plume에 직접 배포)을 국채, 채권, 부동산, 프라이빗 크레딧, ETF 등 토큰화된 RWA로부터 발생하는 기관급 수익 바스켓을 대표하는 토큰으로 교환할 수 있도록 합니다(각 바스켓을 “Nest Vault”라 함). Nest Vault는 등록된 투자회사 또는 해외 자산운용사가 사용자 선호에 맞춰 서로 다른 리스크 및 수익 프로필을 갖도록 구성할 수 있습니다. Nest Vault는 Apollo Global Management, WisdomTree, Invesco 등 기존의 자산 운용사가 발행하거나 운용하는 자산에서 발생하는 수익에 대한 접근을 제공합니다. Nest Treasuries Vault는 Superstate, Anemoy Janus Henderson Fund와 같은 파트너가 운용하는 AAA 등급 자산을 기반으로 안정적인 수익을 제공합니다. 고수익 Nest Vault는 블루칩 크립토 자산 또는 더 높은 리스크의 RWA를 통해 성장형 수익을 추구합니다.
  • Rooster:  Rooster는 RWA를 포함한 디지털 자산을 위한 스팟(현물) 디파이 프로토콜입니다. Rooster는 자동화된 마켓 메이커(AMM) 프로토콜을 활용하여, 자산을 직접 보관(self-custody)하는 디파이 사용자들의 거래 수요를 충족시키기 위해 유동성을 풀링합니다. 유동성 공급자는 자신의 유동성이 거래에 사용될 때 발생하는 거래 수수료를 비례 배분 방식으로 지급받는 인센티브를 받습니다.

Plume은 또한 최근 미 증권거래위원회(SEC)에 이전대리인(Transfer Agent)인 Kimber Transfer Agency LLC를 등록하였습니다. Plume의 이전대리인은 온체인 및 오프체인 상의 증권 주주 명부를 관리하고, 배당 및 수익을 분배하며, 토큰화를 가능하게 합니다. 해당 이전대리인 기능은 특히 1940년 투자회사법(Investment Company Act of 1940)에 따라 등록된 펀드를 중심으로 온체인 자본시장의 성장을 가속화하기 위해 설계된 Plume의 온체인 펀드 행정 서비스의 지원을 받습니다. 이전대리인 서비스는 현재 Nest 관련 서비스 및 Arc와의 통합이 진행 중에 있습니다.

  1. 논의

당국이 “버뮤다의 디지털 자산 프레임워크는 토큰화를 규제되는 디지털 자산 사업 활동으로 분류함으로써 이미 토큰화에 대한 법적 근거를 제공하고 있다”는 점과, “버뮤다의 주로 원칙 중심(principles-based)인 디지털 자산 규제 체계는 상당한 적응성을 제공하고 혁신을 지원하지만, 복잡하고 빠르게 진화하는 토큰화 영역은 규제 불확실성을 야기할 수 있는 고유한 과제를 제시한다”는 점에 동의합니다.

우리는 RWA 토큰화의 부상으로 촉발된 “고유한 과제와 기회”에 대해 추가적인 규제적 확실성을 제공하려는 당국의 노력을 높이 평가합니다. 아래에서는 DP에서 제시된 구체적인 질문에 대한 답변 형태로 의견을 제출합니다.

Q1: 귀하, 귀하의 고객 또는 귀하가 자문하는 기관이 버뮤다에서 토큰화된 자산을 발행, 투자 또는 관련 활동에 참여할 가능성은 어느 정도입니까? 또한 귀하의 고객 또는 귀하가 운영하는 분야 내에서 토큰화에 대한 논의, 관심 또는 수요를 관찰한 바가 있습니까?

Plume은 금융, 보험, 디지털 자산 분야에서 버뮤다가 수행하는 핵심적 역할과, 이러한 시장을 감독하는 데 있어 중심적 역할을 수행함으로써 축적된 당국의 전문성을 높이 평가합니다. DP에서 제시된 질문과 제기된 쟁점의 수준, 엄격성, 세부성은 당국의 전문성을 반영합니다. 우리는 버뮤다를 중심으로 하는 글로벌 온체인 자본시장에서 안전하고 보안이 확보된 RWA를 위한 확장 가능한 규제 프레임워크에 대해 협력하고자 합니다.

Q2: 토큰화된 투자와 관련된 활동은 경우에 따라 DABA 및 IBA 프레임워크 모두의 적용을 받을 수 있습니다. 귀하의 견해로, 이러한 이중 규제 접근이 규제 효율성, 혁신 및 시장 발전에 미치는 함의는 무엇입니까?

우리는 토큰화된 투자가 이 신흥 시장의 리스크와 기회에 맞춰 조정된 활동 기반 규제 접근법을 채택하는 새로운 입법 프레임워크의 적용을 받는 것을 권고합니다. 특정 등록자가 DABA 또는 IBA 중 어느 체계 하에 등록되어 있든, 해당 등록자가 토큰화된 투자 활동에 관여하는 범위 내에서 토큰화된 투자 프레임워크가 적용되어야 합니다. 이러한 접근의 목표는 동일한 규제적 결과를 보장하는 데 있어야 합니다.  

Q3: IBA 상의 현행 “투자(investment)” 정의는 토큰화된 투자를 포섭하기에 충분히 명확합니까? 정의의 어떤 구체적 측면이 추가적인 명확화 또는 보완을 필요로 합니까?

2003년 투자사업법(Investment Business Act 2003, IBA) 하의 현행 “투자(investment)” 정의는, 제1부(First Schedule) 제1편(Part 1)에 명시된 주식, 사채, 차액결제계약(contracts for differences), 기타 투자에 대한 권리 또는 이익 등 자산·권리·이익을 포함하고 있어, 다양한 형태의 토큰화된 투자를 잠재적으로 포섭할 수 있을 정도로 충분히 광범위해 보입니다. 이는 분산원장기술(DLT)에 네이티브한 형태이든 전통 자산의 디지털 표현 형태이든, 유사한 권리 또는 경제적 익스포저를 부여하는 토큰화 자산에도 확장될 수 있으며, 2018년 디지털자산사업법(Digital Asset Business Act 2018, DABA)과의 규제 중첩을 완화하는 데 도움이 될 수 있습니다.

다만, 규제 차익(regulatory arbitrage)을 야기하지 않으면서 명확성을 높이고 혁신을 지원하기 위해, 우리는 다음 영역에서 정의에 대한 추가 가이던스 또는 보완을 권고합니다.

  • 수익 분배 계약(Revenue Share Agreements)의 명시적 포함: 자산 풀에 대한 지분과 관련된 수익 분배 계약을 나타내는 투자상품(예: 부동산, 지식재산, 또는 기타 풀링된 자원과 같은 기초자산에서 발생하는 수익에 대해 보유자에게 비례적 지분을 부여하는 토큰화된 참여권)이 IBA 상 “투자”로 간주되는지에 대한 명확화가 필요합니다. 이러한 상품은 제1부의 “투자에 대한 권리 및 이익” 또는 “차액결제계약”과 같은 범주에 부합할 수 있으나, 계약이 직접 소유권보다 수익 참여를 강조하거나, 해당 풀이 집합투자기구와 유사하게 운영되는 경우에는 불명확성이 발생할 수 있습니다. 명시적 예시 또는 개정을 통해 그 취급을 확인함으로써, 토큰화된 버전에 대한 일관된 적용 및 투자자 보호 기준과의 정합성을 확보할 수 있습니다.
  • 풀링된 자산 지분(Pooled Asset Interests)의 취급: 정의는 풀링된 자산에 대한 지분이—특히 DLT를 통해 토큰화되고 배포되는 경우—2006년 투자펀드법(Investment Funds Act 2006)상 투자펀드와 같은 기존 범주 또는 보다 광범위한 권리/이익 범주에 어떻게 포함되는지에 대해 추가 설명이 있으면 도움이 될 수 있습니다. 이는 토큰화된 풀에 대한 국가 간 집행 가능성, 커스터디, 공시 요건과 관련된 잠재적 불확실성을 해소하는 데 기여할 것입니다.

Q4: 당국이 토큰화된 투자상품의 ‘형식’이 아닌 ‘실질’에 초점을 맞추는 접근에 동의하십니까? 이 원칙을 적용하는 데 실무적 어려움이 있습니까?

예, 우리는 당국이 토큰화된 투자상품의 형식이 아닌 실질에 초점을 맞추는 접근에 동의합니다. 이러한 원칙 중심 접근은 전통 자산과 디지털 자산 전반에서 규제 일관성을 보장하고, 과도한 장벽 없이 혁신을 촉진합니다. 하이브리드 토큰 모델에서 실질을 평가하는 것과 같은 실무적 어려움이 존재할 수 있으나, 이는 특정 가이던스와 이해관계자 협력을 통해 완화될 수 있습니다.

Q5b: 디지털 트윈과 네이티브 토큰은 차이를 반영하기 위해 상이한 규제 프레임워크 또는 접근의 적용을 받아야 합니까? 그 이유는 무엇입니까?

예, 디지털 트윈과 네이티브 토큰은 내재적 차이를 반영하기 위해 상이한 규제 접근의 적용을 받아야 합니다. 디지털 트윈은 토큰을 오프체인 자산에 연결하기 위해 중개자에 의존하므로 본질적으로 신용위험을 도입하며, 발행자 지급능력에 대한 보다 강한 투자자 보호가 필요합니다. 반면 네이티브 토큰은 전적으로 온체인에 존재하므로, DLT 인프라와 관련된 보다 시스템적 리스크를 야기하며, 신용위험 완화보다는 기술적 복원력에 초점을 둘 필요가 있습니다.

Q5c: 상이한 규제 프레임워크 또는 접근이 필요하다고 본다면, 디지털 트윈과 네이티브 토큰의 고유한 특성과 기능을 효과적으로 다루기 위해 프레임워크/접근은 어떻게 달라져야 합니까?

디지털 트윈을 위한 프레임워크는 신용위험에 대한 맞춤형 공시(예: 발행자의 재무 건전성, 자산 담보 확인)를 강조하고, 버뮤다의 검증된 Incorporated Segregated Accounts(ISA) 제도와 같은 자산 분리를 강화하는 회사 구조를 의무화해야 합니다. ISA 제도는 발행자 부채로부터 자산을 법적·운영적으로 분리하여 도산 격리(bankruptcy remoteness)를 촉진하며, 또한 계정 소유자 등록부(Register of Account Owners)에 따라 토큰 보유자의 권리를 결정하도록 합니다. 네이티브 토큰의 경우, 접근은 온체인 거버넌스 기준, 스마트컨트랙트 감사 요건, 상호운용성 가이드라인을 우선할 수 있으며, 혁신을 저해할 수 있는 과도하게 규정적인 신용 중심 규칙은 지양해야 합니다.

Q7: 토큰화 플랫폼 제공자가 수행하는 활동(예: 토큰화된 투자상품의 구조화)이 기존의 투자 활동에 해당한다고 보십니까?

예, 토큰화 플랫폼 제공자가 수행하는 일부 활동—예컨대 실물자산(RWA)을 나타내는 토큰화된 투자상품의 생성, 관리, 지원, 존속, 배포를 촉진하는 활동, 고객 인증, 또는 발행자를 위한 대리인 역할(예: 토큰 소각, 동결, 거래 취소 통제)—은 IBA에서 정의된 기존의 투자 활동에 적어도 부분적으로 해당할 수 있습니다.

예를 들어, 투자자가 토큰화된 투자상품을 매수, 매도, 청약, 인수할 수 있도록 하는 플랫폼은, 특히 그러한 활동이 투자에 관한 거래를 성립시키는 경우, IBA 제1부 First Schedule 제2편(Part 2)상 “투자에 관한 거래의 주선(arranging deals in investments)” 또는 “투자에 관한 거래(dealing in investments)”로 분류될 수 있다는 관점을 우리는 이해할 수 있습니다.

그러나 규제 접근은 혁신을 촉진하고 중복을 피하기 위해 원칙 중심으로 유지되어야 하며, 특히 제공자가 이미 DABA 하에서 규제를 받고 있거나 토큰화된 투자에 대한 IBA 요건을 준수하고 있는 경우에는 더욱 그렇습니다. 이는 형식보다 실질을 우선하여, 중복 의무를 부과하지 않으면서 투자자 보호, 시장 건전성, 시스템 리스크 감소와 같은 핵심 동인에 초점을 맞추는 방식이어야 합니다.

우리는 또한 온체인 맥락에서 토큰화된 투자상품의 리스크와 기회가 다르다는 점을 강조합니다. DP가 토큰화 자산의 리스크를 광범위하게 다루고 있는 반면, 인터넷 접속이 가능한 전 세계 누구나 접근할 수 있는 온체인 결제 네트워크가 제공하는 기회는, 당국이 그 기회를 활용하여 당국의 신중한 감독 하에 그러한 상품의 안전한 글로벌 유통을 보장할 수 있는 독특한 기회를 제공합니다.

Q8a: 혁신적인 투자 비즈니스 모델의 출현을 고려할 때, 새로운 기술 및 비즈니스 구조에서 발생하는 활동을 포함하여 모든 (관련) 활동이 포괄적으로 규제될 수 있도록 IBA상 투자 활동의 정의를 재검토하고 잠재적으로 확대할 필요가 있다고 보십니까?

예, 자산 토큰화와 같은 새로운 기술에 의해 촉발되는 신흥 활동을 포괄적으로 규제하기 위해, IBA상 투자 활동의 정의를 재검토하고 잠재적으로 확대할 필요가 있습니다. 디지털 트윈, 네이티브 토큰, 수익 분배 계약을 혼합한 하이브리드 모델을 포함하여 실물자산(RWA) 토큰화 구조가 빠르게 진화하고 있는 점을 고려할 때, 우리는 향후의 법률 또는 개정이 원칙 중심 접근을 채택할 것을 권고합니다. 이는 규정적 경직성 없이 폭넓은 혁신 구조를 포착할 수 있는 유연성을 제공하고, 투자자 보호, 시장 건전성, 리스크 관리와 같은 핵심 원칙에 초점을 맞추는 동시에, DABA와 같은 프레임워크와의 규제 공백 또는 중복을 방지할 수 있습니다.

Q8b: 이러한 확대에서 어떤 과제 또는 이점이 발생할 수 있으며, 현행 규제 프레임워크에 미치는 영향은 무엇입니까?

바로 위 내용을 참조하십시오.

Q9a: 토큰화 라이프사이클의 일부를 구성하는 제3자 서비스 제공자(예: 오라클, 커스터디 기관, 데이터 제공자 또는 기술 서비스 제공자) 중 투자자 보호 또는 시장 건전성에 직접 또는 간접적으로 영향을 미치며, 귀하의 견해로 당국의 규제 범위 내에 포함되어야 하는 제공자가 있습니까?

우리는 오라클, 커스터디 기관, 데이터 제공자 또는 기술 서비스 제공자와 같은 토큰화 라이프사이클상의 추가 제3자 서비스 제공자가, 투자자 보호 또는 시장 건전성에 간접적으로 영향을 미칠 수 있더라도, 당국의 규제 범위 내에 직접 포함되어야 한다고 보지 않습니다. 대신, 우리는 그러한 제공자들이 DABA 또는 IBA 하의 등록 기관에 의해 제3자 리스크 관리 요건의 적용을 받는 것을 권고합니다. 이러한 원칙 중심 접근은 다른 규제기관들이 채택한 전략과도 부합하며, 기술 자체를 규제하는 것을 피하고, 토큰화된 투자에서 사용자 또는 고객과 직접 관계를 갖는 당사자에 초점을 맞춤으로써, 필요한 보호장치를 유지하면서 혁신을 촉진합니다. 예를 들면 다음과 같습니다.

  • 미국 통화감독청(OCC)은 OCC Bulletin 2023-17과 같은 지침을 통해, 크립토 자산 보관을 포함한 은행의 제3자 관계에 대해 리스크 관리를 강조하며, 제공자 자체를 직접 규제하지 않고도 은행이 실사, 상시 모니터링, 비상 계획을 구현하도록 요구합니다.
  • 미국 금융산업규제국(FINRA)은 Regulatory Notice 21-29에서 아웃소싱에 대한 감독 의무를 제시하며, 기업이 벤더의 재무 상태, 경험, 규정 준수 친숙도에 대한 실사를 수행하도록 요구하는 한편, 최종 책임은 기업이 부담하도록 하여, 제3자 직접 라이선싱보다는 내부 통제에 우선순위를 둡니다.
  • 미국 상품선물거래위원회(CFTC)는 최근의 파일럿 프로그램 지침에서 보이듯이, 선물중개업자(FCM) 및 기타 등록 기관이 디지털 자산 및 파생상품 시장의 토큰화 담보와 관련하여 제3자 리스크를 리스크 관리 프로그램에 포함하도록 요구하며, 그러한 자산을 수용하기 위한 정책 개정을 의무화하되, 기반이 되는 서비스 제공자에 대한 직접 감독을 부과하지는 않습니다.

Q10a: 토큰화 펀드는 현재 DABA가 아니라 IFA 및 잠재적으로 DAIA의 적용을 받는다는 점을 고려할 때, 업계의 관점에서 이중 라이선스/인가 요건이 불필요한 중복을 초래한다고 보십니까? 그 이유를 설명해 주십시오.

우리의 견해는, IFA 및 잠재적으로 DAIA 또는 DABA 하의 이중 라이선스/인가 요건이 토큰화된 투자에 관여하는 등록자에게 불필요한 중복을 초래한다는 것입니다. 이는 종종 중복 등록, 보고, 거버넌스, 리스크 관리 의무 등 서로 겹치는 컴플라이언스 부담으로 이어지며, 그러한 부담은 투자자 보호 또는 시장 건전성을 비례적으로 강화하지 않습니다. 이러한 중복은 운영 비용을 증가시키고 혁신을 저해할 수 있으며, 특히 토큰화가 발행 및 관리와 같은 프로세스를 간소화하는 것을 목표로 하는 경우 더욱 그렇습니다. 대신, 당국 규제의 목표는 토큰화된 투자에 대해 유연하고 원칙 및 성과(outcomes) 기반의 접근을 보장하는 데 있어야 하며, 이는 기술이나 구조에 기반한 경직된 분류(예: 형식)보다 실질(예: 실제 리스크와 경제적 기능)을 우선함으로써, 강력한 보호장치를 유지하면서 중복을 줄이도록 모든 BMA 등록자에게 일반적으로 적용되어야 합니다.

따라서 우리는 당국이 신규 입법 또는 가이던스를 통해 토큰화된 투자에 대한 공통 접근을 구현할 것을 권고하며, 이는 등록자가 최초에 어떤 등록자 범주로 등록했는지와 무관하게 모든 BMA 등록자에게 적용되어야 합니다.

Q10b: 단일 규제 체계가 토큰화된 펀드와 관련된 모든 리스크를 적절히 완화하는 데 충분하다고 보십니까? 그렇다면, 귀하의 견해로 가장 적절한 체계는 무엇이며 그 이유는 무엇입니까?

예. 바로 위 내용을 참조하십시오.  

Q11a: 버뮤다의 프레임워크(예: IFA, IBA, FAPBA, DABA, DAIA 등) 내에서, 토큰화된 펀드 운영을 충분히 지원하고 토큰화된 펀드의 공식 등록부로서 DLT 기반 등록부를 사용하는 것과 같은 DLT 고유 기능을 수용하기 위해 현재 부족한 법적 확실성은 무엇입니까?

버뮤다의 IFA, IBA, FAPBA, DABA, DAIA를 포함한 프레임워크는 토큰화된 펀드 운영을 위한 견고한 기반을 제공하지만, DLT 고유 기능을 완전히 지원하고 혁신을 촉진하기 위해서는 일부 법적 확실성이 부족합니다. 당국은 다음을 보장해야 합니다:

  • DLT 기반 등록부의 인정(Recognition of DLT-Based Registers): IFA 하에서 DLT 원장(ledger)이 전통적 등록부와 동등하게 토큰화된 펀드의 공식 등록부로 기능할 수 있다는 점을 명시적으로 확인하여, 소유권 추적, 양도 가능성, 환매 또는 청약 절차 준수를 원활히 보장해야 합니다. 이를 명시하지 않으면 분쟁 또는 도산 상황에서 법적 집행 가능성과 관련한 불확실성이 발생합니다.
  • 스마트컨트랙트 집행 가능성(Smart Contract Enforceability): DLT의 자동화·프로그램 가능 기능(예: 이벤트 기반 NAV 산정 또는 분배)이 IFA 및 1981년 회사법(Companies Act 1981) 하의 펀드 거버넌스 요건과 어떻게 정합되는지, 특히 코드 오류 또는 오라클 실패 시 책임 배분과 관련하여 명확성이 필요합니다.
  • 하이브리드 시스템 동기화(Hybrid System Synchronization): 온체인 및 오프체인 시스템 간 데이터 상호운용성에 대한 법적 보장을 제공하여, 기록 보관의 불일치로 인해 투자자 권리 또는 여러 법령(예: 발행은 DAIA, 관리는 IBA) 하의 규제 보고에 영향을 미칠 수 있는 문제를 해결해야 합니다.
  • 이체(전송) 되돌림에 대한 발행자 권한(Issuer Authority for Transfer Reversals): 토큰화된 투자상품 발행자는 불법 지갑으로의 이전 또는 사기·오류 이전이 발생한 경우, 행정적 통제, 스마트컨트랙트 개입, 법원 명령에 따른 조치 등 DLT 메커니즘을 통해 이전을 되돌릴 수 있는 명시적 법적 권한과 규제상 요건을 가져야 하며, 이는 자산 회복을 강화하고 1997년 범죄수익법(Proceeds of Crime Act 1997) 하의 AML/CFT 의무와 정합되며, 투자자를 비가역적 손실로부터 보호합니다.

Q11b: DLT 기반 등록부가 토큰화된 펀드의 공식 등록부로 기능하는 경우, 오류 정보를 정정하기에 적합한 접근은 무엇입니까? 

바로 위 내용을 참조하십시오.

Q12a: 현재의 거버넌스 프레임워크 및 펀드 매니저, 관리자, 커스터디 기관, 유통사의 역할과 책임은 토큰화된 펀드에 대해 충분합니까? 전통적 펀드 거버넌스 모델을 토큰화된 펀드에 적용할 때의 구체적 한계 또는 과제를 설명해 주십시오. 

DABA, IFA 및 관련 법령 하의 현행 거버넌스 프레임워크는 펀드 매니저, 관리자, 커스터디 기관, 유통사와 같은 역할에 대해 책임성과 투자자 보호장치를 강조함으로써 견고한 기반을 제공합니다. 그러나 자동화된 스마트컨트랙트 실행이 인간의 감독을 잠재적으로 감소시킬 수 있다는 점, 실시간 온체인 투명성이 전통적인 정기 보고와 충돌할 수 있다는 점, 또는 레거시 시스템과 블록체인 간 상호운용성 문제 등, 토큰화된 펀드에서의 DLT 특유 과제를 완전히 다루지 못할 수 있습니다. 한계로는 오라클 의존성 관리 또는 스마트컨트랙트 감사에 대한 불충분한 규정이 포함될 수 있으며, 이는 펀드를 기술적 장애에 노출시킬 수 있습니다. 이를 완화하기 위해, 원칙 중심의 보완은 핵심 인력에 대한 DLT 역량 요건과, 토큰화의 프로그램 가능성에 적응하는 유연한 감독 모델을 포함할 수 있습니다.

Q12b: (커스터디 기관과 관리자 사이와 같은) 펀드 서비스 제공자 간 전통적인 구분은 토큰화된 펀드 맥락에서도 여전히 유효합니까, 아니면 더 협업적이거나 융합된 모델이 필요합니까? 역할이 어떻게 진화할 수 있는지 예시를 제시해 주십시오. 

펀드 서비스 제공자 간 전통적 구분은 토큰화된 펀드에서도 직무 분리와 리스크 완화를 유지하기 위해 여전히 유효하지만, 토큰화의 통합된 DLT 생태계는 더 협업적이거나 융합된 모델을 필요로 할 수 있습니다. 예를 들어, 커스터디 기관은 관리자의 스마트컨트랙트 기반 NAV 산정 역할과 함께 온체인 지갑 관리를 처리하는 방향으로 진화할 수 있으며, 제공자들이 보안 API를 통해 데이터 피드를 공유하는 하이브리드 구조를 촉진할 수 있습니다. 이러한 진화에는 단일 기관이 통합 거버넌스 하에서 커스터디와 관리를 모두 감독하는 융합 플랫폼이 포함될 수 있으며, 이는 사일로를 줄이면서도 책임성을 유지합니다. 이는 이러한 기능을 프로그램적으로 결합하는 신흥 DeFi 프로토콜에서 관찰되는 바와 같습니다. 

Q12c: 토큰화된 펀드에서 투자자 보호를 보장하기 위해, 특히 전문 제3자 서비스 제공자(예: 커스터디 기관, 거래소, 스마트컨트랙트 개발자, 오라클 제공자 및 토큰 발행 플랫폼)에 대한 감독과 관련하여 기존 거버넌스 프레임워크에 어떤 조정 또는 보완이 이루어져야 합니까?

토큰화된 펀드에서 투자자 보호를 보장하기 위해, 기존 거버넌스 프레임워크는 전문 제3자 서비스 제공자에 대한 의무적 실사 프로토콜(예: 스마트컨트랙트 개발자 및 오라클 제공자에 대한 독립 감사 요구, 또는 토큰 발행 플랫폼에 대한 서비스 수준 계약)을 포함하는 보완과 함께 조정되어야 합니다. 추가 조치로는 제3자 리스크에 대한 맞춤형 공시 요건, 실시간 감독을 위한 온체인 모니터링 도구의 통합(예: 자산-부채 정합성과 관련하여), 그리고 혁신을 저해하지 않으면서도 복원력 및 투명성과 같은 성과에 초점을 맞추는 당국의 관점과 정합되는, DLT 의존성에 대한 이사회 수준 검토를 위한 원칙 중심 기준이 포함될 수 있습니다.

Q12d: 토큰화 맥락에서 펀드 매니저가 수행하는 것과 같은 셀프 커스터디(self-custody) 구조의 역할 또는 관계에 대해 어떤 견해를 가지고 계십니까? 셀프 커스터디는 허용되어야 합니까? 그렇다면 일반적으로 허용되어야 합니까, 아니면 커스터디되는 기초자산의 신규성 및 기술적 속성에 따라 달라져야 합니까? 후자의 경우 추가 세부사항을 제시해 주십시오. 

셀프 커스터디 구조의 사용을—특히 볼트 프로토콜의 사용을 통해—가능하게 하는 것은, 불변(immutable) 스마트컨트랙트를 활용하여 사용자 통제와 투명성을 유지하면서 자산 관리를 자동화하므로, 당국이 인정해야 합니다. 예를 들어, Plume이 개발한 Nest 볼트 프로토콜과 같은 프로토콜은 정기적인 제3자 감사를 통한 견고한 보안 기능, 비수탁 볼트 구조, 행정 기능을 위한 다자간 정족수(multi-party quorum)를 갖춘 하드웨어 기반 프라이빗 키, 그리고 리스크를 완화하는 동시에 안전한 RWA 토큰화 및 수익 창출을 가능하게 하는 KYC/AML 검증, 제재 스크리닝 및 컴플라이언스 툴링을 통합한 시퀀서 수준 AML 통제를 제공합니다.

Nest 생태계에서 구현된 것과 같은 볼트 프로토콜은, 불변 스마트컨트랙트에 의해 지배되는 탈중앙화된 온체인 금융 구조로 기능하며, BMA 등록자를 포함한 사용자가 온체인 토큰화된 투자를 생성할 수 있도록 합니다. Nest 프로토콜은 사용자가 BMA 등록자가 생성한 디지털 볼트에 스테이블코인(예: USDC 또는 pUSD)을 예치하고, 국채, 채권, 프라이빗 크레딧, ETF, 부동산, 원자재 등 토큰화된 RWA의 토큰화 지분으로 구성된 큐레이션된 풀에서의 비례적 지분을 나타내는 볼트 토큰을 받을 수 있도록 합니다. 이러한 볼트는 자산을 자동으로 수익 창출 전략에 배치하고, 최적의 위험조정 수익을 위해 지속적으로 리밸런싱하며, 유동성 준비금, 자동 청산, 분할·순차 환매(staggered redemptions)와 같은 메커니즘을 통해 유동성을 관리합니다. Nest 및 기타 볼트 프로토콜 온체인 인프라의 비수탁 설계는, 토큰화된 펀드 매니저가 중개자 없이 자산에 대해 직접적이되 제한적인 통제를 유지할 수 있도록 함으로써, 셀프 커스터디 원칙과 정합됩니다.

Q13a: 투자자 보호를 위해 토큰화된 펀드 구조에 특화된 어떤 기술적 및 운영적 보호장치가 구현되어야 합니까?

토큰화된 펀드 구조에 특화된 기술적 및 운영적 보호장치는, 혁신을 촉진하면서 복원력, 투명성, 투자자 보호를 우선해야 합니다. 핵심 조치에는 다음이 포함됩니다: (i) 불변성, 보안, 취약성 저항성을 검증하기 위한 스마트컨트랙트에 대한 의무적 독립 제3자 감사(예: 매년 또는 업그레이드 시 정기적으로 수행); (ii) 직무 분리를 강제하고 단독 접근 또는 내부자 위협을 방지하기 위한 정족수 기반 승인(quorum-based approvals)을 갖춘 멀티시그(multi-sig) 지갑 및 하드웨어 기반 프라이빗 키의 구현; (iii) 온체인 애널리틱스(예: TRM 또는 Chainalysis)와 같은 도구를 사용하여 불법 지갑을 차단하고 컴플라이언스를 보장하는, 거래 수준의 AML/CFT/제재 스크리닝 내장; (iv) 유동성 준비금, 자동 청산, 분할·순차 환매와 같은 유동성 관리 관행; 그리고 (v) 일시정지(pause) 기능과 같은 비상 메커니즘.

Q13b: 공시 기준은 오프체인 문서(예: 발행 문서)와 온체인에 인코딩된 조건 간의 잠재적 불일치라는 고유 리스크를 어떻게 다루어야 합니까?

공시 기준은 오프체인 문서(예: offering memoranda, prospectuses)와 온체인에 인코딩된 조건 간의 불일치를 명시적으로 다루어야 합니다. 이러한 기준에는 다음이 포함될 수 있습니다: (i) 발행자가 오프체인 법적 조건과 온체인 스마트컨트랙트 로직을 평이한 언어로 나란히(side-by-side) 비교하여 제공하고, 잠재적 차이를 강조하도록 요구; (ii) 양자 간 동기화를 검증하기 위한 독립 제3자에 의한 정기(예: 분기) 감사 또는 확인(attestations)을 수행하고, 그 결과를 공개적으로 공시; (iii) 토큰화 상품과 관련된 리스크 경고를 발행 문서에 포함; 그리고 (iv) 자산-부채 정합성과 관련하여 오프체인 문서를 온체인 코드에 연결하는 하이퍼링크 또는 검증 가능한 참조를 포함하기 위한 표준화된 템플릿의 사용.

Q14: 의결권, 정보 접근, 민원 절차 등 전통적인 투자자 권리는 토큰화된 펀드 구조에서 충분히 보존되고 있습니까? 그렇지 않다면, 토큰화 환경의 고유 특성을 다루기 위해 어느 정도까지 조정되어야 합니까?

의결권, 정보 접근, 민원 절차 등 전통적인 투자자 권리는, DLT의 프로그램 가능하고 자동화된 성격으로 인해 토큰화된 펀드 구조에서 충분히 보존되지 못할 수 있으며, 이는 오프체인 권리의 직접 집행 가능성을 제한하거나 온체인 제약을 도입할 수 있습니다(예: 스마트컨트랙트의 불변성이 의결 메커니즘 또는 정보 접근의 변경을 잠재적으로 제한).

예를 들어, 하이브리드 모델에서 토큰 보유자는 권리의 완전한 패스스루(pass-through) 없이 기초자산에 간접적으로 노출될 수 있습니다. 이러한 고유 특성을 해결하기 위해, 조정은 투명성과 비례성을 강조하는 원칙 중심 프레임워크를 포함해야 하며, 예컨대 토큰화된 투자상품이 전통적 투자자 권리를 부여하는지 여부 및 어떤 조건 하에서 부여하는지에 대한 의무 공시가 이에 해당합니다. 예를 들어, BMA 규제 하의 Incorporated Segregated Account(ISA)가 온체인 또는 오프체인 미국 투자상품의 피더 펀드(feeder fund)로 사용되는 경우, 마스터 펀드 지분은 펀드 사안에 대한 의결권 또는 상세 재무정보 접근과 같은 권리를 포함할 수 있는데, ISA 피더 펀드에서 그러한 권리가 제한되는 경우(예: 분리 또는 DLT 제약으로 인해), 그 제한은 발행 문서 및 온체인 메타데이터에 명시적으로 공시되어야 합니다. 이는 공시 요건에 의해 뒷받침될 수 있습니다.

Q15a: 토큰화된 펀드의 평가(valuation)와 관련된 구체적인 과제가 있습니까? 예를 들어 오프체인과 온체인 시스템 간 불일치 또는 하이브리드/디지털 자산 펀드의 NAV 산정과 관련한 우려가 있습니까? 이러한 과제와 그 잠재적 영향(펀드 운영 및 투자자 보호)을 설명해 주십시오.

이러한 리스크는 DLT 기반 시스템의 내재적 투명성과 NAV 차익거래(NAV arbitrage trading)의 역학에 의해 상당 부분 완화됩니다. DLT의 실시간, 불변(immutable), 공개적으로 검증 가능한 원장은 자산 보유, 거래, NAV 계산에 대한 지속적인 온체인 모니터링을 가능하게 하여 불투명성을 줄이고, 평가에서의 오류 또는 조작을 최소화하는 즉시 감사(instant audits)를 가능하게 합니다.

또한, 온체인 자산 거래의 낮은 마찰과 DLT 기반 시장의 투명성에 의해 촉진되는 NAV 차익거래는, 시장 참여자들이 NAV와 괴리된 2차 시장 가격에서 토큰을 매수/매도할 수 있게 하며, 차익거래자가 불일치를 활용해 이익을 얻음으로써 가격 수렴에 대한 자연스러운 유인을 만들어 유동성과 공정한 평가를 제고하고, 이 영역에서 규정적인(prescriptive) 규제의 필요성을 제한합니다.

Q15b: 특히 토큰의 거래 가능성과 기초자산 유동성 간 잠재적 괴리와 관련하여, 토큰화된 펀드의 유동성 관리에서 어떤 구체적 과제가 존재합니까? 이러한 과제는 투자자 기대와 펀드 안정성에 어떤 영향을 미칠 수 있습니까?

우리는 비유동적 기초자산(illiquid underliers)을 보유한 토큰화된 투자 펀드가 유동성 리스크 관리 요건의 적용을 받아야 한다고 권고합니다. 비유동성은 시장 스트레스 또는 환매 압력 상황에서 평가 불확실성을 악화시킬 수 있으며, 이는 NAV 왜곡 또는 불공정한 투자자 결과로 이어질 수 있습니다. 이러한 접근은 IFA 하의 원칙 중심 규제와 정합되며, 자산의 현금화 가능성과 관련된 리스크를 펀드가 선제적으로 평가·완화하도록 요구함으로써 복원력을 촉진하고, 혁신 구조에 과도한 부담을 주지 않으면서 전반적인 시장 건전성과 투자자 신뢰를 제고합니다.

1940년 투자회사법(Investment Company Act of 1940) 하의 SEC Rule 22e-4와 같은 확립된 프레임워크에서 착안하여, 상위 수준의 요건은 다음을 포함할 수 있습니다: (i) 펀드의 유동성 리스크를 평가, 관리 및 주기적으로 검토하도록 합리적으로 설계된 서면 유동성 리스크 관리 프로그램을 채택 및 시행; (ii) 현금화에 소요되는 시간 및 가치에 대한 중대한 영향 여부를 기준으로 포트폴리오 투자를 유동성 범주(예: 고유동, 중간 유동, 저유동, 비유동)로 분류하고, 최소 월 1회 또는 시장 변화에 대응하여 더 자주 검토; (iii) 지속적인 준수 및 투명성을 보장하기 위한 이사회 감독 및 보고 메커니즘을 구축.

Q15d: 토큰화된 펀드의 평가, 유동성 관리 및 보고에서 식별된 과제는 규제 가이던스, 산업 표준 또는 기술적 솔루션을 통해 어떻게 효과적으로 해결될 수 있습니까?

토큰화된 펀드의 평가, 유동성 관리 및 보고에서의 과제는 원칙 중심의 유연성과 혁신을 우선하는 규제 가이던스, 산업 표준, 기술적 솔루션의 결합을 통해 효과적으로 해결될 수 있습니다. 평가와 관련하여, 규제 가이던스는 [...]. 유동성 관리와 관련하여, 비유동적 기초자산을 보유한 토큰화된 투자 펀드는 Rule 22e-4 하의 SEC에서 착안한 요건(예: 유동성 버킷에 따른 자산 분류, 이사회 수준 검토, 관련 공시)을 채택해야 합니다. 보고와 관련하여, 온체인과 오프체인 데이터의 조정(reconciling) 과제는 온체인 및 오프체인 원장과 데이터 소스 간 검증 가능한 링크 및 확인(attestations)을 요구하는 가이던스를 통해 완화될 수 있으며, 그러한 가이던스는 모범 사례와 벤더 솔루션의 현황을 반영해야 합니다. 전반적으로, 테스트를 위한 규제 샌드박스를 포함하는 협력적이고 원칙 및 성과 기반의 접근은 투자자 보호와 DLT의 효율성 간 균형을 이룰 것입니다.

Q32: 퍼미션리스(permissionless) 및 퍼미션드(permissioned) 블록체인의 상이한 리스크와 운영적 특성을, 특히 청산(clearing), 결제(settlement), 커스터디(custody) 메커니즘과 관련하여 규제 프레임워크는 어떻게 다루어야 합니까? 

퍼미션리스 블록체인은 개방형 참여와 합의(consensus) 기반 검증을 특징으로 하는 본질적으로 탈중앙화된 구조이므로, 규제당국은 이 구조를 활용해 청산, 결제, 커스터디에서의 리스크를 완화할 수 있습니다. 탈중앙화는 통제를 다수의 노드에 분산시켜 단일 실패 지점을 줄이고, 공격에 대한 복원력을 높이며, 감사 가능성을 위해 투명하고 불변의 원장을 제공합니다. 프레임워크는 견고한 합의를 보장하기 위해 노드 다양성, 지리적 분산, 검증자 독립성 등 최소 탈중앙화 임계치 요건을 요구할 수 있으며, 혁신을 저해하지 않으면서 운영적 무결성을 검증하기 위해 네트워크 건전성과 스마트컨트랙트 코드에 대한 정기적인 제3자 감사를 의무화할 수 있습니다. 특히, 레이어2 솔루션(예: Plume RWAfi 블록체인)에서 트랜잭션 순서 지정 기능을 전적으로 자동으로 수행하는 시퀀서(sequencer)는, 중앙화된 인간 개입 없이 운영됨으로써 탈중앙화 목표와 정합되며, 네트워크의 전반적 안전성과 건전성을 뒷받침합니다.

반대로, 중앙화된 거버넌스와 제한된 접근을 갖는 퍼미션드 블록체인은 운영 사일로 또는 중개자 실패의 리스크가 더 높아, 보다 엄격한 엔티티(주체) 수준의 감독이 필요합니다.

Q33: DABA가 블록체인 인프라 상의 토큰화 자산과 관련된 건전성(prudential) 및 운영(operational) 리스크를 다루는 데 더 적합하다고 보십니까? 그렇지 않다면 어떤 대안적 접근이 고려되어야 합니까?

예, 우리는 DABA가 블록체인 인프라 상의 토큰화 자산과 관련된 건전성 및 운영 리스크를 다루는 데 적합하다고 봅니다. 원칙 기반(principles-based) 체계로서 DABA는 스마트컨트랙트 취약성, 네트워크 복원력, 결제 최종성(settlement finality) 등 블록체인 기반 토큰화의 고유 리스크에 적응할 수 있는 유연성을 제공하는 동시에, 투자자 보호, 시장 건전성, 시스템 안정성과 같은 성과(outcomes)를 강조합니다.

이 접근은 완전히 새로운 프레임워크의 필요를 피하며, 오라클 및 브리지에 대한 제3자 리스크 관리 통합과 같은 리스크 기반 보완을 통해 DABA의 기존 적응력을 활용하여 퍼미션리스 및 퍼미션드 블록체인을 모두 포괄할 수 있습니다. DABA를 기반으로 함으로써, 당국은 버뮤다의 디지털자산 분야 리더십과 정합되게 RWA 토큰화의 혁신을 촉진하면서도 견고한 보호장치를 보장할 수 있습니다.

Q34: 커스터디, 고객 자산 분리, 운영 복원력, 이해상충 및 기타 리스크를 포함하는 플랫폼 레이어에서의 기능 수렴(convergence)이, 상품별(product-specific) 규제 프레임워크에서 보다 활동- 및 플랫폼 중심(activity- and platform-centric) 접근으로의 전환을 필요로 한다는 데 동의하십니까?

예, 우리는 커스터디, 고객 자산 분리, 운영 복원력, 이해상충 등 플랫폼 레이어에서의 기능 수렴이 상품별 규제 프레임워크에서 보다 활동- 및 플랫폼 중심 접근으로의 전환을 필요로 한다는 데 동의합니다. 블록체인의 프로그램 가능성에 의해 촉발되는 이러한 수렴은 전통적 사일로를 흐리게 하며, 혁신을 저해하지 않으면서 상호 연결된 리스크를 다루는 데 전체론적 감독이 더 효율적이게 합니다. DABA 하의 플랫폼 중심 모델(Q33에서 논의한 바와 같이)은 온체인 자산 관리 및 스마트컨트랙트 거버넌스와 같은 핵심 활동에 대해 통일된 기준을 적용하여, 통합된 생태계 전반에서 복원력과 무결성과 같은 성과를 보장할 수 있습니다.

Plume의 Nest 플랫폼은 이러한 전환이 왜 적절한지 보여주는 사례입니다. DeFi 수익 집계( yield aggregation) 프로토콜로서 Nest는 플랫폼 수준에서 여러 기능을 수렴시킵니다. 사용자는 불변의 스마트컨트랙트에 의해 지배되는 자동화된 비수탁(non-custodial) 볼트에 스테이블코인을 예치하며, 이는 온체인 분리(예: 비례적 볼트 토큰 지분)를 통해 커스터디를 처리하고, 자동 리밸런싱 및 유동성 메커니즘(예: 준비금 및 분할·순차 환매)을 통해 운영 복원력을 제공하며, 중개자를 제거함으로써 이해상충을 완화합니다. Nest를 상품 단위로 규제(예: 각 볼트의 RWA 바스켓을 별도로 취급)하는 것은 중복적인 컴플라이언스 부담을 만들 수 있는 반면, 플랫폼 중심 접근은 투자자가 중대한 리스크와 투자 기회를 평가할 수 있도록 충분한 정보를 제공하는 표준화되고 견고한 공시, 스마트컨트랙트의 제3자 감사 및 탈중앙화 임계치와 같은 상위 수준의 보호장치에 초점을 맞추어, 확장성과 투자자 보호를 촉진하도록 통합적·자동화된 설계와 더 잘 정렬됩니다.

다만, 온체인 자본시장의 글로벌한 성격과의 호환성을 유지하기 위해, 플랫폼 모델 규제는 플랫폼의 도달 범위와 일관된 방식으로 배치되어야 함을 우리는 지적합니다. 예를 들어, 상품(토큰화 자산, 암호자산 등)에 대한 규제는 이러한 자산의 글로벌 분포를 반영해야 합니다. 반면, 플랫폼의 사용자 인터페이스 구성요소, 특히 비수탁 DeFi 인터페이스 서비스 제공자에 대한 규제는 관할권별(per jurisdiction) 규제를 적용받아야 합니다. DeFi 인터페이스 서비스 제공자는, 국가 수준의 공시, 적합성(suitability) 및 기타 투자자 수준의 정책 목표가 적절히 구현될 수 있는 DeFi 공급망의 레이어입니다.

Q35: 플랫폼 수준에서 이러한 신흥 리스크를 다루는 데 DABA가 적절한 프레임워크라고 보십니까? 그렇지 않다면, 플랫폼 수준 감독의 필요성과 잔여 리스크를 다루기 위한 상품별 규칙을 더 잘 균형화할 수 있는 대안적 접근은 무엇입니까?

예, 우리는 DABA가 플랫폼 수준에서 신흥 리스크를 다루는 데 적절한 프레임워크라고 봅니다. 원칙 기반 구조는 규정적인(prescriptive) 경직성 없이, (예: 커스터디, 복원력, 이해상충 등) 수렴된 기능을 포착하는 적응적이고 전체론적 감독을 가능하게 합니다. DABA를 플랫폼 중심 요소—예컨대 (Q32에 따른) 탈중앙화에 대한 리스크 기반 평가 및 활동 중심 기준—로 보완함으로써, 하이브리드 토큰에 대한 공시 또는 비유동적 RWA에 대한 유동성 규칙과 같은 표적 가이던스를 통해 잔여 상품별 리스크를 균형 있게 다룰 수 있습니다. 이는 Nest(Q34)와 같은 플랫폼에서 보이는 바와 같이, 통합된 DeFi 운영이 계층화된 상품 규칙보다 통일된 감독으로부터 이익을 얻어, 혁신을 보장하면서도 시스템적 위협을 완화하는 방식으로 파편화를 방지합니다.

Q36: 토큰 표준에 내장된 AML/ATF 기능(예: 전송 제한, 화이트리스트)이 컴플라이언스 효율성에 어떤 영향을 미칠 수 있습니까? 토큰화된 거래에서 컴플라이언스를 모니터링하고 감독하는 데 가장 가치 있다고 보는 구체적 기능/기능성은 무엇이며, 시장 효율성과 2차 거래를 균형 있게 유지하면서 이러한 기능을 내장하기에 가장 적합한 토큰화 표준은 무엇입니까? 

토큰 표준에 내장된 AML/ATF 기능—예컨대 전송 제한, 허용목록/차단목록(allowlisting/blocklisting), 동결/압류(freeze/seize) 기능, 온체인 컴플라이언스 훅—은 프로토콜 수준에서 실시간 집행을 자동화함으로써 컴플라이언스 효율성을 크게 향상시키고, 수작업 사후 모니터링에 대한 의존을 줄이며, 제재 또는 의심 활동에 대한 신속한 대응을 가능하게 합니다.

토큰화된 거래에서 컴플라이언스를 모니터링하고 감독하는 데 가장 가치 있는 기능은 다음과 같습니다:

  • 구성 가능한 전송 제한 훅(예: 허용목록/차단목록 또는 동적 제재 스크리닝)
  • 법적 명령 하에서만 활성화되는 토큰 수준의 동결 및 압류 기능
  • 이상 징후 탐지 및 정책 가드(guards)를 포함한 시퀀서 또는 프로토콜 수준 트랜잭션 스크리닝
  • 불변의 감사 추적을 위한 온체인 메타데이터 및 이벤트 로그

시장 효율성과 2차 거래를 유지하면서 이러한 기능을 내장하기에 가장 적합한 표준은 ERC-20에 대한 모듈형(modular) EVM 호환 확장(예: ERC-1404, ERC-3643, 또는 커스텀 컴플라이언스 모듈)이며, 이는 제한을 선택적(optional)으로, 발행자에 의해 구성 가능(configurable)하게, 그리고 컴플라이언스 충족 거래에 대해서는 우회 가능(bypassable)하게 만듭니다. 이는 조합성(composability) 및 DeFi 통합을 저해할 수 있는 완전한 증권형 토큰 표준(예: ERC-1400)의 경직성을 피하면서도, 허용목록 또는 스크리닝된 주소들 간의 원활한 2차 거래를 허용합니다.

Q37: 여러 체계(regime) 간 AML/ATF 의무를 정합화할 때 어떤 과제가 예상됩니까? AML/ATF 의무는 서로 다른 체계 간에 어떻게 인터페이스되어야 합니까?

여러 체계 간 AML/ATF 의무를 정합화하는 데 있어 주요 과제는 규제 파편화, 상충하는 트래블룰 및 데이터 프라이버시 요건, 제재 집행의 불일치, 그리고 구조적으로 많은 전통적 VASP 리스크를 제거하는 비수탁 플랫폼에 대해 비례하지 않는 컴플라이언스 부담이 부과되는 점입니다(예: 고객 키를 통제하지 않음, 수탁 지갑을 제공하지 않음, 거래를 일방적으로 되돌릴 수 없음).

AML/ATF 의무는 원칙 기반(principles-based), 성과 중심(outcomes-focused) 접근을 통해 인터페이스되어야 합니다. 즉, 동등한 체계에 대한 상호 인정(예: 버뮤다 DABA와 EU MiCAR 또는 미국 프레임워크의 동등성), 감독 대상 엔티티에 대해 본국 규제당국(home regulator)에 대한 리스크 기반 존중(risk-based deference), 그리고 상호운용 가능한 온체인 도구(예: 자동화된 제재 스크리닝, 실시간 컴플라이언스 증명, 합법적 명령 하의 동결/압류 기능)의 의무적 사용을 통해, 처방적 일률성(prescriptive uniformity) 없이도 일관된 결과를 달성하는 것입니다.

우리는 디지털 아이덴티티 서비스 제공자(Digital Identity Service Provider) 규제에서 당국의 리더십을 높이 평가합니다. 우리는 당국이 아직 개발되지 않은 글로벌 표준의 시행 일정과 병행하여 이를 구현하기를 권고합니다. 당국이 그 이전에 잠정적으로 이를 추진한다면, 먼저 전통 금융 서비스 라이선스 보유자와 중앙화 거래소에서 시작한 뒤, 글로벌 차원에서 그러한 플랫폼을 규제해야 한다는 합의가 형성될 경우에 한해, 버뮤다 거주자에게 DeFi 기반 시스템을 통해 제공되는 디지털 자산에 대한 접근을 제공하는 DeFi 웹 및 애플리케이션 인터페이스 서비스 제공자로 확대하는 방식으로 진행해야 합니다.

Q38a: 디지털 아이덴티티 시스템은 토큰화 생태계 내에서 AML/ATF 컴플라이언스를 강화하는 데 어떤 역할을 할 수 있습니까? 특히 신원 확인을 강화하고 이해관계자 간 KYC 중복을 줄이는 데 어떤 역할을 할 수 있습니까?

디지털 아이덴티티 시스템, 특히 검증 가능한 자격증명(VC)을 사용하는 탈중앙화 신원(DID) 또는 자기주권 신원(self-sovereign identity) 프레임워크는, 발행자, 플랫폼, 수탁자 간 중복 KYC를 줄이면서 프라이버시와 사용자 통제를 강화하는 재사용 가능하고 암호학적으로 검증 가능한 신원 증명(attestation)을 가능하게 함으로써, 토큰화 생태계 내 AML/ATF 컴플라이언스를 크게 강화할 수 있습니다. Plume와 같은 비수탁 생태계에서 DID/VC는 퍼미션리스 사용자에게 포괄적 KYC를 부과하지 않으면서도, 제한형 볼트 또는 기관 온램프 등에서 선택적이고 발행자별 신원 게이팅(identity gating)을 가능하게 하여, 중복과 마찰을 최소화하면서 리스크 기반 컴플라이언스 성과를 달성합니다.

Q38b: 현재의 DLT-불문(agnostic) 신원 증명 솔루션이 버뮤다의 AML/ATF 요건과 국제 표준을 충족하기에 충분합니까? 충분하지 않다면 필요한 구체적 개선 또는 대안은 무엇입니까?

현재의 DLT-불문 신원 증명 솔루션(예: 재사용 가능한 검증 가능한 자격증명 또는 제3자 KYC 증명)은, 2008년 「범죄수익(자금세탁방지 및 테러자금조달방지) 규정」(Proceeds of Crime (Anti-Money Laundering and Anti-Terrorist Financing) Regulations 2008) 하에서 버뮤다의 리스크 기반 AML/ATF 요건을 부분적으로 충족하기에 충분합니다. 특히 규정 5(고객확인 조치), 규정 7(지속적 모니터링), 규정 11(강화된 고객확인), 규정 14(제3자 의존)과 관련하여, FATF 권고 10(고객확인) 및 16(송금)과 정합됩니다. 다만 증명자(attester)가 의존(reliance) 대상이 될 수 있는 규제된 엔티티여야 하고, 기초 기록(underlying records)에 즉시 접근 가능해야 하며, 의존하는 라이선시가 전적인 책임을 유지하는 조건에서 그렇습니다.

Plume의 Nest 프로토콜과 TRM Labs 데이터셋을 활용한 앱 레벨 고도 AML 스크리닝 같은 온체인 신기술은, 전통적 오프체인 방식보다 더 빠르고(서브초 단위), 저렴하며, 확장 가능한 자동화 실시간 컴플라이언스 및 지속적 모니터링을 가능하게 하면서도, 비수탁 생태계에서의 퍼미션리스 접근과 혁신을 보존합니다.

Q40: 여러 규제 프레임워크 전반에서 인정될 수 있는 ‘패스포터블’ KYC 시스템과 같이, 통합 AML/ATF 온보딩 프로세스를 개발할 잠재력에 대해 어떻게 보십니까?

전송 제한 및 화이트리스팅과 같은 토큰 표준 내장 AML/ATF 기능은, 프로토콜 수준에서 집행을 자동화하여 컴플라이언스 효율성을 크게 향상시킬 수 있습니다. 이는 수작업 감독을 줄이고, 인적 오류를 최소화하며, 거래의 실시간 모니터링을 가능하게 합니다. 예를 들어, 이러한 기능은 사전에 정의된 규칙(예: 제재 또는 불법 금융 리스트 또는 거래 패턴)에 기반해 의심 활동을 플래그하거나 차단하는 프로그래머블 컨트롤을 가능하게 하여, 보고 및 대응 시간을 단축하고, 발행자와 플랫폼의 운영 비용을 낮춥니다.

토큰화된 거래에서 컴플라이언스를 모니터링하고 감독하는 데 가장 가치 있는 기능은 “동결 및 압류(freeze and seize)” 기능으로, 이는 합법적 명령에 따라 발행자가 토큰을 동결하거나 몰수할 수 있게 하여, 더 넓은 생태계를 교란하지 않으면서 불법 금융 리스크를 해결합니다. 이는 2025년 7월 제정된 미국 GENIUS 법(Guiding and Establishing National Innovation for U.S. Stablecoins Act)에서 보여지는데, 동결 및 압류가 스테이블코인 AML 집행의 핵심을 이루며, 발행자에게 BSA/AML 요건 또는 제재 위반에 대해 토큰을 차단, 동결 또는 소각할 수 있는 기술적 역량을 구현하도록 요구합니다. 우리는 이를 토큰화된 RWA 전반에 대한 템플릿으로 채택할 것을 권고하며, 발행자가 유사한 의무를 준수하여 자금세탁 또는 테러자금조달에 대한 집행 가능성을 확보하도록 해야 하고, 보안 감사를 거친 스마트컨트랙트 관리자 기능을 통해 통합되어야 합니다.

ERC-3643(증권형 토큰용) 또는 새로 등장하는 RWA 특화 확장이 이러한 기능을 내장하기에 가장 적합한데, 이는 퍼미션드 전송, 역할 기반 접근(예: 규제당국용), 온체인 증명을 지원하면서도, 2차 거래 호환성을 통해 시장 효율성을 보존하기 때문입니다.

표준화되고 글로벌하게 상호운용 가능한 시스템(잠재적으로 DID 또는 블록체인 기반 검증 가능한 자격증명 활용)이 없다면, 특히 버뮤다 외 기반 IP 주소 사용자에 대한 보편적 KYC 의무는 글로벌 온체인 자본시장의 도달 범위를 제한하고, 결과적으로 버뮤다에 토큰화 자산이 제공하는 기회를 제한할 것입니다. 이러한 파편화는 발행자와 플랫폼의 운영 비용을 증가시킬 뿐 아니라, 한 관할권의 사용자가 다른 관할권의 규칙과 양립 불가능한 장벽에 직면하게 함으로써 시장 효율성을 저해하고, 온체인 금융의 국경 없는 잠재력을 억제할 수 있습니다. 또한 보편적 KYC는 접근성을 훼손하는데, 특히 전 세계 약 14억 명의 은행 미이용자(unbanked) (사하라 이남 아프리카, 남아시아 등 개발도상 지역에 다수)는 전통적 신분증 문서를 갖추지 못한 경우가 많지만 디지털 대안의 혜택을 받을 수 있습니다. 사전적으로 전면 KYC를 요구하면 이 인구집단을 토큰화 실물자산(RWA)에서 배제할 위험이 있으며, 이는 금융 불평등을 지속시키고 DeFi 및 온체인 자본시장의 민주화 약속을 제한합니다.

이 문제를 완화하기 위해, BMA 규제 토큰화 자산 서비스 제공자에게 전통적 접근을 통한 보편적 KYC를 의무화하는 경우에는 아래에서 설명한 리스크와 기회, 그리고 온체인 특유의 리스크 완화책을 종합적으로 고려해 신중히 조정되어야 합니다. 일단 도입된다면, 디지털 아이덴티티 체계와 결합하여 시행하되, DeFi 인터페이스 서비스 제공자에 대해 이를 의무화하는 관할권에 대해서만 적용되어야 합니다. 이러한 요건의 적용은 고액 거래, 기관 참여자, 또는 플래그된 의심 활동 등에 대해 리스크 기반 계층형(tiered) 접근으로 적용되어야 합니다.

그 사이에는 대체적·기술 네이티브 수단을 통해 AML 보호장치를 유지할 수 있습니다. 예: (i) 체이널리시스, 엘립틱, TRM Labs 등 제공자의 온체인 분석 도구를 통한 거래 모니터링 및 패턴 탐지, (ii) 미국 GENIUS 법의 스테이블코인 모델(및 이를 다른 RWA로 확장)을 따른 “동결 및 압류” 기능이 내장된 프로그래머블 토큰 표준, (iii) 중앙화 개입 없이 제재 스크리닝을 자동화하는 레이어2 네트워크의 시퀀서 수준 AML 및/또는 제재 컴플라이언스. 이러한 접근은 자금세탁 및 테러자금조달에 대한 견고한 보호를 보장하는 동시에 포용적 성장을 촉진하며, 버뮤다의 원칙 기반 체계와 정합되어 버뮤다가 혁신적이고 안전한 글로벌 온체인 시장의 허브로 자리매김하도록 합니다.

Q44: 리테일 투자자가 토큰화 상품 고유의 리스크를 이해하도록 보장하기 위해 어떤 투자자 교육 요건 또는 이니셔티브가 구현되어야 합니까? 

리테일 투자자가 스마트컨트랙트 취약성, 결제 최종성 불확실성, 디지털 트윈의 신용 리스크, 기초자산과의 유동성 미스매치 등 토큰화 상품 고유의 리스크를 이해하도록 보장하기 위해, 규제 프레임워크는 원칙 기반 접근 하에서 다층(multi-tiered) 투자자 교육 전략을 구현해야 합니다. 이는 다음을 포함할 수 있습니다:

  • 의무 공시 및 경고: 발행자와 플랫폼이 오퍼링 문서 및 사용자 인터페이스에서 리테일 대상에 맞춘 명확하고 접근 가능한 리스크 공시를 제공하도록 요구하며, 쉬운 언어 설명과 시나리오 기반 예시(예: “스마트컨트랙트가 실패하면 어떻게 되나?”)를 포함해야 합니다. 이는 혼선을 피하기 위해 BMA 규제 엔티티 전반에서 표준화되어야 합니다.
  • 교육 리소스 및 모듈: 토큰화 기초, 리스크 평가, 안전한 참여를 다루는 무료·인터랙티브 온라인 모듈 개발을 의무화하고, 이를 플랫폼 온보딩 프로세스에 통합합니다. 예를 들어, DLT 메커니즘과 AML 기능에 대한 짧은 영상 또는 퀴즈를 리테일 사용자가 거래에 참여하기 전에 요구할 수 있습니다.
  • 협업 이니셔티브: 당국, 업계 이해관계자, 교육자 간 파트너십을 장려해 웹세미나, 인포그래픽, 커뮤니티 포럼 등 지속적 캠페인을 만들고, 오라클 의존성 또는 크로스체인 노출과 같은 진화하는 리스크에 초점을 맞춥니다.
    Plume은 당국이 규제하는 RWA 상품 또는 플랫폼의 사용자를 위한 표준화된 교육 포털 개발에서 BMA와 협력할 기회를 환영합니다.

Plume would welcome the opportunity to collaborate with the BMA on developing a standardized educational portal for users of RWA products or platforms regulated by the Authority.

Q46: 초기 토큰화 단계가 주로 오프체인에서 운영된다는 점을 고려할 때, 외부 검증자(변호사, 감사인, 자산 평가자)와 토큰화 플랫폼 사이의 인터페이스에 어떤 사이버보안 통제가 적용되어야 합니까? 

외부 검증자(예: 변호사, 감사인, 자산 검증자)와 토큰화 플랫폼 사이 인터페이스에서의 사이버보안 리스크를 다루기 위해, 우리는 안전한 데이터 교환, 접근 통제, 지속적 모니터링을 강조하는 원칙 기반 프레임워크를 권고합니다. 이는 혁신을 저해할 수 있는 처방적 의무를 피하면서도 데이터 무결성과 복원력 같은 성과에 집중하는 버뮤다의 적응적 체계와 정합됩니다.
핵심 통제는 다음을 포함해야 합니다:

  • 보안 API 및 암호화: 모든 인터페이스에 대해 암호화된 통신 프로토콜(예: TLS 1.3 이상)을 의무화하고, 모든 요청을 검증하는 제로 트러스트 원칙 하에서 설계된 API를 사용해야 합니다. 전송 중 및 저장 중 데이터는 종단간 암호화(예: AES-256)를 적용하여, 가치평가 보고서나 법률적 증명과 같은 민감 정보가 가로채기 또는 변조로부터 보호되도록 해야 합니다.
  • 다중요소인증(MFA) 및 역할 기반 접근통제(RBAC): 모든 외부 검증자 로그인에 MFA를 요구하고, RBAC와 결합해 필요한 데이터에만 접근하도록 제한합니다(예: 감사인은 재무정보를 보되 전체 캡테이블은 보지 않음). 이는 토큰화 전 단계에서 내부자 위협과 무단 수정 리스크를 최소화합니다.
  • 감사 추적 및 로깅: 모든 상호작용에 대한 불변 로그를 구현하고, (오프체인이더라도) 블록체인에서 영감을 받은 위·변조 방지 원장으로 데이터 업로드, 검토, 승인 과정을 추적합니다. 정기적인 제3자 침투 테스트와 취약점 스캔을 요구하고, 이상 징후에 대한 자동 알림을 구축해야 합니다.
  • 벤더 실사 및 통합 표준: 플랫폼은 외부 검증자에 대한 리스크 평가를 (예: OCC 제3자 리스크 관리 또는 ISO 27001을 참고하여) 수행하고, 인터페이스가 OAuth 2.0 같은 표준을 통해 안전한 토큰 기반 인증을 준수하도록 해야 합니다.

이러한 통제는 DABA 및 관련 법령 하의 라이선싱 요건에 내장될 수 있습니다.

Q49: 독립적인 제3자 수탁기관으로부터 감사 가능한 1:1 검증을 받는 것을 민팅의 조건으로 해야 한다는 데 동의하십니까? 왜 그렇거나 왜 그렇지 않습니까?

아니요, 우리는 독립적인 제3자 수탁기관으로부터 감사 가능한 1:1 검증을 받는 것을 민팅의 조건으로 하는 데 동의하지 않습니다. 이러한 처방적 요건은 투자자 보호나 안전을 비례적으로 강화하지 않으면서 과도한 운영 부담을 부과하고 비용을 증가시키며 토큰화 프로세스의 효율성을 저해할 수 있습니다. 대신 DABA 하의 원칙 기반 접근은, 부채(liability) 측면에서는 온체인 투명성(예: 스마트컨트랙트를 통한 토큰 발행 및 보유자 청구의 불변 기록으로, 규제자와 사용자가 실시간으로 검증 가능)을 통해, 자산(asset) 측면에서는 견고한 오프체인 규제 보고와 공시(예: 발행자의 기초자산 정기적 증명, 감사된 재무제표 및 자산 수탁 확인, Bluprynt 같은 독립적 자산 검증자 참여 포함)를 결합하여 1:1 자산-부채 정렬을 보장할 수 있습니다.

Q50: 무단 민팅은 일반적으로 운영자 키의 탈취 또는 내부 공모로 인해 발생합니다. 멀티시그, 하드웨어 기반 솔루션(HSM/MPC), 타임락 메커니즘 등 민팅 권한 키를 안전하게 보호하는 가장 효과적인 접근은 무엇입니까?

무단 민팅은 키 탈취나 공모만으로 발생하는 것이 아니라 훨씬 다양한 이유로 발생합니다. 따라서 잠재적으로 손상된 사회적·기술적 요인을 통제하기 위해 복수의 리스크 완화 접근이 필요합니다. 가장 효과적인 접근은 하드웨어 격리와 의무적 지연 메커니즘을 결합한 계층적, 리스크-티어드 멀티시그 시스템입니다.

  • 높은 임계치 멀티시그 정책(오너 레벨 민팅 트랜잭션 권한에 대해 4-6 이상)을 사용하고, 기능을 다수의 독립 팀 및 가능하다면 독립 법인에 분산합니다. 예를 들어 엔지니어링, 컴플라이언스, 고위 행정 팀이 서명 권한을 보유해야 합니다. 추가 조치로는, 이상 탐지를 수행하고 페일세이프를 트리거하는 자동 알고리즘을 중간에 두는 것입니다.
  • 모든 서명자 키는 하드웨어 기반이며 에어갭 상태여야 합니다. 프로덕션 환경에서 핫키는 금지합니다.
  • 민팅 파라미터 변경 또는 대규모 민팅 실행에는 최소 48시간 타임락을 강제하고, 큐에 쌓인 트랜잭션이 내부 모니터링/리뷰 시스템에 알림을 보내도록 합니다.
  • 온체인 파라미터 바운드(예: 온체인 준비금과 연동된 기간당 최대 민팅량)를 추가하여 초과 시 되돌리도록(revert) 함으로써, 쿼럼이 손상되거나 오류로 충족되어도 피해를 제거합니다.
  • 서명자 세트를 분기별로 교체하고 연 1회 키 탈취 대응 훈련을 수행합니다.

이 조합은 Plume 및 기타 프로덕션 시스템에서 복원력이 입증되었습니다.

Q51: 재현 가능한 빌드(reproducible builds), 고정된 의존성(pinned dependencies) 등과 함께 독립적 감사 등 스마트컨트랙트의 보안과 신뢰성을 보장하기 위해 어떤 관행과 표준을 따라야 합니까? 이는 코드 취약성과 공급망 공격을 완화하기에 충분합니까? 

우리가 권고하는 핵심 관행과 표준은 다음과 같습니다:

  • 프로덕션 사용 또는 중대한 업그레이드 전에, 보안 리뷰에 특화된 평판 있는 업체로부터 다수의 독립적 감사를 수행합니다.
  • 개발 환경에서 24/7로 동작하는 연속적인 AI 기반 감사를 수행합니다.
  • 감사 보고서와 개선(remediation) 상태를 전면 공개합니다.
  • 정확한 솔리디티 컴파일러 버전으로 재현 가능한 빌드를 하고, 온체인에서 바이트코드를 검증합니다.
  • 개발 환경 및 코드 저장소에서는 락파일을 통한 의존성 고정과 감사된 라이브러리만 사용합니다(검증되지 않은 패키지 금지). 또한 공급망 공격 완화를 위해 의존성 모니터링과 취약점 스캐닝을 지속합니다.
  • CI/CD 파이프라인에서 지속적 퍼징과 불변식(invariant) 테스트를 수행합니다.
  • 선택적으로, 온체인 배포된 스마트컨트랙트와 상호작용하는 핵심 API 엔드포인트에 대한 침투 테스트를 수행합니다.
  • API 키 사용 및 교체 정책을 강제합니다(개발/스테이징/프로덕션 키 재사용 금지, 분기별 교체).
  • 최소 권한 접근 정책을 강제하고, 프로덕션 머지는 다수 리뷰어가 검토하도록 git 레벨에서 변경 관리를 수행합니다.
  • GitHub 레벨에서 시크릿 스캐닝 정책과 자동 취약점 스캐닝을 수행합니다.

이 통제들은 불변 코드 로직과 결합될 때 코드 취약성과 공급망 공격에 매우 효과적입니다. 단일 감사 라운드만으로는 “충분”하지 않으며, 심층 방어 모델이 필요합니다.

Q52a: 업그레이드 가능한 스마트컨트랙트는 업그레이드에 멀티시그+타임락을 요구하는 등 더 엄격한 거버넌스 통제를 받아야 한다는 데 동의하십니까? 이유를 설명해 주세요.

예, 우리는 강하게 동의합니다. 다만 온체인 프로토콜의 모든 구성 요소가 불변일 필요는 없습니다. 업그레이드 가능한 컨트랙트가 프로덕션 시스템에서 주요 관리자 리스크 표면(admin risk surface)인 것은 맞지만, 규제 차원에서 과도하게 처방적이어서는 안 됩니다.
가능하다면 장수명이고 단순한 시스템 부분에서는 불변 스마트컨트랙트가 바람직합니다. 예를 들어 온체인 커스터디는 그 자체로 단순한 스마트컨트랙트로, 상당 기간 불변으로 유지 가능할 수 있습니다. 불변성에도 트레이드오프가 있는데, 그 중 하나는 향후 기술이 오래된 프로토콜 수학을 깨뜨릴 수 있다는 점입니다. EVM 및 솔리디티의 최신 버전에서 패치된 기능을 악용해, 공격자가 오래된 프로토콜을 깨는 방식이 가능해질 수 있습니다. 규제당국은 어느 프로토콜 영역에서 불변성이 요구되어야 하는지를 처방적으로 정해서는 안 되며, 대신 고도의 기술 팀이 그러한 재량적 결정을 내릴 수 있도록 신뢰해야 합니다.

‍Q52b: 토큰화 시스템에서 관리자 키 보유자(admin keyholders)와 내부자 위협을 다루기 위해 추가로 어떤 조치가 도움이 됩니까? 효과적인 통제 또는 모범 사례를 구체적으로 제시해 주세요.

모범 사례 및 효과적인 통제는 다음을 포함합니다:

  • 단일 엔티티가 쿼럼을 보유하지 않도록 하고, 공모는 여러 사람과 여러 법인의 공모 또는 손상이 필요하도록 하는 업무 분리(segregation of duties).
  • 모든 키에 대해 하드웨어/MPC 격리 적용.
  • 분기별 서명자 증명(attestation) 및 교체(rotation) 정책, 그리고 서명자 교체 정책.
  • 파라미터가 안전 범위를 초과하면 강제 revert하는 온체인 바운드 및 가드(예: 수수료 상한, 민팅 한도, 정상 범위를 벗어난 토큰 가격 업데이트).
  • 권한 호출(privileged-call) 실시간 모니터링 및 내부 대시보드로의 자동 페이징.
  • 내부자 시나리오를 겨냥한 연 1회 모의훈련 및 운영 보안 교육.

이 통제들은 운영 가능성을 유지하면서 내부자 리스크를 거의 0에 가깝게 낮춥니다.

Q53a: 활성 공격 중 핵심 컨트랙트 기능을 일시 중지하기 위한 서킷 브레이커(circuit-breaker) 메커니즘을 구현하는 것에 대한 의견은 무엇인가요? 이러한 메커니즘의 잠재적 이점과 리스크를 모두 다뤄 주세요.

서킷 브레이커 메커니즘(자동으로 발동되는 일시중지 기능)은 스마트컨트랙트 시스템에서 신중한 최후방 방어선이며, 특히 비수탁형 RWA 볼트와 스테이블코인 발행자에게 유용합니다. 단, 범위가 좁고, 투명하게 문서화되어 있으며, 라이브니스(liveness) 보장을 유지하도록 설계되어야 합니다.

자동 서킷 브레이커(오라클 편차 캡, 슬리피지 리밋 등 온체인 파라미터-바운드 트리거):

  • 이점: 인간 지연 없이, 단순하고 사전에 정의된 이상 징후를 즉시 봉쇄.
  • 리스크: 트리거의 성능만큼만 유효함; 많은 정교한 공격(플래시론 조작, 신규 취약점, 미세한 익스플로잇)은 실시간 탐지가 어렵거나 불가능하여 오탐/미탐, 혹은 대응 지연이 발생할 수 있음.

수동 서킷 브레이커(실시간 모니터링을 기반으로 멀티시그가 발동):

  • 이점: 확인된 위협에서 정밀하게 발동 가능, 신속한 피해 차단(예: 이상 행위 탐지 시 신규 민트/디포짓 중지), 엔지니어링/컴플라이언스 조사 시간을 확보.
  • 리스크: 보안이 약하면 중앙화 벡터가 될 수 있음; 잘못되거나 과도하게 발동되면 라이브니스에 영향을 줄 수 있음. 설계로 완화 가능: 발동은 쉽되(포르타(Forta) 알림 기반의 낮은 임계값 운영 멀티시그—익스플로잇, 제재, 대규모 흐름, 디페그 등), 장기간 유지되기는 어렵게(자동 24–48시간 만료, 연장에는 더 높은 임계값의 오너십 멀티시그 필요).

최적 구현(Plume의 Nest 및 pUSD 볼트에 배포된 방식): 핵심 변경에 대해 48시간 타임락이 붙은 4-of-6 오너십 멀티시그, 범위를 비핵심 경로로 제한(출금/상환은 열어두고 신규 디포짓/민트만 일시중지), 사용자 자체 상환(self-redemption) 보장, 그리고 모든 일시중지 이벤트의 완전한 온체인 투명성.

Q53b: 서킷 브레이커 외에, 익스플로잇의 잠재적 영향을 실시간으로 완화하기 위해 고려되어야 할 다른 사고 대응 통제 수단에는 무엇이 있습니까? 효과적인 통제 수단의 구체적인 예시와 그 구현 시 고려사항을 제시해 주십시오.

효과적인 실시간 완화 조치는 사후적 알림 대응에서 사전적 실행 전 필터링(pre-execution filtering)으로 전환하는 것을 요구합니다. Plume과 같은 레이어2 네트워크의 경우, 이는 트랜잭션이 최종 확정되기 전에 악의적인 트랜잭션을 차단하기 위해 시퀀서 레벨에서 직접 구현됩니다. 주요 통제 수단은 다음과 같습니다:효과적인 실시간 완화 조치는 사후적 알림 대응에서 사전적 실행 전 필터링(pre-execution filtering)으로 전환하는 것을 요구합니다. Plume과 같은 레이어2 네트워크의 경우, 이는 트랜잭션이 최종 확정되기 전에 악의적인 트랜잭션을 차단하기 위해 시퀀서 레벨에서 직접 구현됩니다. 주요 통제 수단은 다음과 같습니다:

1. 시퀀서 레벨 방화벽(실행 전 차단) 트랜잭션이 온체인에 포함될 때까지 기다리는 대신, 시퀀서는 동적 위협 인텔리전스를 기준으로 트랜잭션을 사전 심사하는 “방화벽 모듈”을 활용해야 합니다.

  • 제재 및 위협 피드: 실시간 피드(예: OFAC 리스트, TRM Labs, Chainalysis)를 통해 알려진 위협 그룹(예: Lazarus) 또는 활성화된 드레이너 킷과 연관된 것으로 식별된 지갑 클러스터와 상호작용하는 트랜잭션을 자동으로 거부합니다.
  • 의도 분류(Intent classification): 머신러닝 기반 분류기를 사용하여 알려진 드레이너 주소로의 호출이나 무가치(zero-value) 사기의 전형적인 난독화된 호출 등 악의적인 함수 시그니처를 탐지합니다.

2. 트랜잭션 시뮬레이션 및 불변조건(Invariant) 검사 트랜잭션을 블록에 포함시키기 전에, 네트워크는 현재 상태를 기준으로 해당 트랜잭션의 결과를 시뮬레이션할 수 있습니다.

  • 지급능력 조건(Solvency predicates): 트랜잭션이 프로토콜의 지급불능을 초래하거나(예: 담보 요건 이하로 볼트를 고갈시키는 경우) 핵심 불변조건을 위반할 경우, 송신자의 신원과 무관하게 시퀀서가 이를 거부하도록 설정할 수 있습니다.

3. 휴리스틱 및 행위 기반 이상 탐지 탐색 또는 공격을 시사하는 비정상적인 행위를 식별하기 위해 결정론적 규칙을 구현합니다.

  • 바이트코드 지문 분석(Bytecode fingerprinting): 알려진 익스플로잇 킷이나 믹서 컨트랙트와 95% 이상 유사한(퍼지 해싱 또는 오퍼코드 임베딩을 통해) 컨트랙트 배포를 식별합니다.
  • 프로빙 탐지(Probing detection): 고가치 컨트랙트를 대상으로 고빈도의 리버트 패턴이나 “퍼징(fuzzing)” 행위(체계적인 파라미터 변조)를 보이는 주소에 대해 속도 제한을 적용하거나 차단합니다.

4. 브리지 및 현금화(cash-out) 모니터링 고위험으로 알려진 브리지 또는 이력이 없는 신규 주소로 대규모 가치를 전송하는 트랜잭션에 대해 “슬로 레인(slow lane)” 또는 출금 지연을 적용합니다. 이러한 지연은 해당 출금이 잠재적인 크로스체인 익스플로잇의 일부로 식별될 경우 수동 개입을 가능하게 합니다.

구현 시 고려사항:
 통제 수단은 투명해야 하며(거부 내역의 온체인 로그), 오탐(false positive)을 최소화할 수 있도록 설정 가능해야 하고, 제3자(예: Hacken)에 의해 정기적으로 검증되어야 하며, 무허가 접근성(permissionless access)을 보존할 수 있도록 비례적으로 적용되어야 합니다.

Q54a: 배치 경매 또는 기타 런치 방식과 같은 토큰 발행 이벤트에서 공정성을 보장하기 위한 가장 효과적인 메커니즘은 무엇입니까?

토큰 발행 이벤트에서 공정성을 확보하기 위한 가장 효과적인 메커니즘은 토큰의 성격(예: 유틸리티 토큰 vs. 증권적 성격의 RWA)에 따라 달라지지만, 무허가 환경에서의 효율성을 유지하면서도 동등한 접근성, 조작 방지, 투명성을 우선시해야 합니다.

  • 배치 경매(Dutch, 봉인입찰, 균일가 청산): 일정한 기간 동안 주문을 집계하여 프런트러닝 및 스나이퍼 봇을 제거하고, 모든 참여자가 동일한 청산 가격을 적용받도록 합니다.
  • 온체인 커밋먼트 방식: 커밋-리빌 단계 또는 머클 기반 얼로우리스트/무작위 할당 방식을 통해 최종 확정 전까지 의도를 은폐함으로써 게임화 및 시빌 공격을 감소시킵니다.
  • 지갑당 한도 및 시빌 저항: 주소당 참여 한도를 엄격히 설정하고, 고위험 발행의 경우 경량 신원 확인 또는 proof-of-personhood를 선택적으로 결합할 수 있습니다.
  • 프로토콜 레벨 공정성 통제: 공개 멤풀 환경에서 완전한 온체인 실행, 이상 징후 기반 트랜잭션 정렬, MEV 악용을 방지하기 위한 시퀀서 레벨 가드를 포함합니다.

Plume의 오픈소스 Arc 플랫폼과 같은 사례는 배치 메커니즘, 한도 집행, 검증 가능한 온체인 로직을 자동화함으로써 중앙화된 통제 없이도 발행자를 규제 준수 도구와 연결하며 공정한 배포 워크플로우를 구현합니다.

Q54b: DLT 투명성이 봇에 의해 악용되는 것을 방지하기 위해 리테일 참여자를 보호할 추가 조치가 필요합니까?

예, 블록체인 투명성(예: 프런트러닝, 샌드위치 공격, 스나이퍼 봇)이 봇에 의해 악용되는 것을 방지하기 위해 표적화된 조치는 필요합니다. 다만 이러한 조치는 무허가 접근성 및 온체인 검증성과 같은 디파이의 핵심 장점을 훼손하지 않아야 합니다. 이러한 조치는 일률적으로 강제되기보다는 원칙 기반 및 비례적인 방식으로 장려되어야 하며, 발행자가 위험 프로파일에 맞게 통제를 조정할 수 있어야 합니다.

효과적인 메커니즘은 다음을 포함합니다.

  • 시퀀서 레벨 트랜잭션 정렬 공정성: Arbitrum Timeboost 또는 이에 준하는 우선순위 경매 방식을 통해 MEV 우위를 무력화합니다.
  • 선택적 프라이버시 확장 또는 암호화된 멤풀: 포함 시점까지 트랜잭션 세부 정보를 은폐합니다.
  • 온체인 속도 제한 또는 주소당 한도: 런치나 대규모 민트와 같은 고위험 활동에 적용합니다.
  • 이상 징후 기반 지연: 전면적 검열 없이 의심스러운 패턴에 대해 지연을 적용합니다.

Plume은 리테일 보호와 시스템 생존성을 균형 있게 유지하기 위해 이러한 도구를 시퀀서 레벨에서 평가하고 선택적으로 적용하고 있습니다.

Q55a: 토큰 런치 과정에서 발생하는 사용자 손실이 피싱 및 소셜 엔지니어링 공격에서 기인하는 경우가 많은데, 사용자 보호를 강화하기 위해 어떤 보호장치가 마련되어야 합니까?

피싱 및 소셜 엔지니어링은 토큰 런치에서 가장 주요한 손실 경로 중 하나이므로, 보호장치는 발행자에게 과도한 부담을 주지 않으면서도 검증 가능한 커뮤니케이션 무결성, 공식 채널 인증, 사용자 교육을 우선시해야 합니다.

  • 공식 도메인 보호: DNSSEC, CAA 레코드, 레지스트리 락, HSTS 프리로딩, 피싱 사이트에 대한 지속적인 모니터링 및 차단을 포함합니다.
  • 디지털 서명된 공지: EIP-712 또는 이에 준하는 방식으로 지갑에서 서명자의 진위를 기본적으로 검증할 수 있도록 합니다.
  • 검증된 컨트랙트 레지스트리: 서명된 채널을 통해서만 고정 주소를 게시합니다.
  • 지갑 레벨 경고 및 트랜잭션 시뮬레이션: Kerberus Sentinel 등 지갑별 탐지 도구를 활용하여 검증되지 않은 컨트랙트와의 상호작용을 경고합니다.
  • 일관된 브랜딩 가이드라인 및 문서 URL 고정: 모든 공식 채널에서 동일하게 유지합니다.
  • 신속하고 조직적인 대응: 사칭 사례가 발생할 경우 즉각적인 대응 체계를 가동합니다.

Q55b: 디지털 서명된 공지 및 사용자 교육 캠페인은 이러한 위험을 완화하는 데 얼마나 효과적입니까?

디지털 서명된 공지는 지갑이 서명을 기본적으로 검증할 경우 매우 효과적이며, 대규모 사칭을 방지하고 사용자에게 즉각적인 신뢰를 제공합니다. 사용자 교육 캠페인은 보조적인 가치를 제공할 수 있으나(예: 서명 확인 및 도메인 검증 교육), 의도적인 피싱 피해자에 대해서는 효과가 제한적입니다. 기술적 통제 수단(서명 메시지, 도메인 보호, 지갑 경고)이 여전히 가장 핵심적이고 신뢰할 수 있는 방어 수단이며, 교육은 이를 보완할 수는 있지만 대체할 수는 없습니다.

Q56a: 도메인 하이재킹을 방지하고 대규모 이벤트 중 사용자가 악성 사이트로 리디렉션되는 것을 막기 위해 토큰화 프로젝트가 구현해야 할 기술적 통제 수단은 무엇입니까?
도메인 하이재킹 및 피싱 사이트는 대형 토큰 런치 및 제품 발표 시 가장 빈번하게 발생하는 공격 벡터 중 하나로, 상당한 리테일 사용자 손실을 초래합니다. 토큰화 프로젝트는 예방, 탐지, 신속 대응에 중점을 둔 방어 심층 전략을 구현해야 합니다.

권장되는 기술적 통제 수단은 다음과 같습니다.

  • DNSSEC 배포: DNS 레코드를 암호학적으로 서명하여 DNS 스푸핑을 방지하고 사용자가 정당한 서버로 연결되도록 합니다.
  • CAA 레코드: 특정 인증기관만 인증서를 발급할 수 있도록 제한하여 손상되거나 악의적인 CA로 인한 위험을 줄입니다.
  • 레지스트라 레벨 레지스트리 락: 도메인 이전이나 네임서버 변경 시 다자 승인 절차를 요구합니다.
  • HSTS 프리로딩: 브라우저가 HTTPS만 사용하도록 강제하여 다운그레이드 공격을 차단합니다.
  • 고급 속도 제한 및 WAF 규칙: Cloudflare 또는 이에 준하는 서비스를 활용하여 DDoS 및 무차별 대입 공격을 완화합니다.
  • 도메인 등록 자동 모니터링: 타이포스쿼팅 및 피싱 변형 도메인을 지속적으로 탐지하고, 주요 레지스트라 및 호스팅 제공자와 사전 정의된 차단 절차를 운영합니다.
  • 이벤트 한정 단기 서브도메인: launch.nest.credit과 같은 서브도메인을 서명된 채널을 통해 사전 공지하고, 이벤트 종료 후 폐기하여 공격 표면을 최소화합니다.

Plume은 위의 모든 조치를 주요 도메인 및 런치 인프라 전반에 걸쳐 구현하고 있으며, 리테일 참여가 수반되는 모든 규제 대상 토큰화 활동에 있어 이를 기본 요건으로 강력히 권고합니다.

Q56b: 커뮤니케이션 채널을 보호하기 위해 추가적으로 고려해야 할 통제 수단이 있습니까?예, 커뮤니티 커뮤니케이션 채널, 특히 Discord와 Telegram과 같이 실시간 사용자 상호작용이 이루어지는 주요 채널은 사칭, 레이드 공격, 조직적 피싱의 주요 표적입니다. 도메인 및 API 보호 외에도 다음과 같은 통제 수단이 필수적입니다.

  • 공식 채널 인증: Discord 서버 인증, Telegram 인증 배지를 활용하여 핵심 팀원을 검증하고, 민감한 채널 접근을 자동화된 검증을 통해 제한하는 커스텀 봇을 배포합니다.
  • 자동 방어 봇: Drew Guard Bot, Dyno, Carl-bot 또는 커스텀 솔루션을 활용하여 대량 가입, 반복 링크, 멘션 폭주 등 이상 활동이 감지될 경우 자동으로 슬로 모드를 활성화하거나 게시 권한을 잠그고 신규 멤버를 일시적으로 음소거합니다.
  • 로그 보존 및 감사 가능성: Logger 봇 또는 Discord 내장 감사 로그를 활용하여 전체 메시지 로그를 불변 형태로 보존하고, 최소 12개월간 유지하여 사고 이후 포렌식 및 규제 보고를 지원합니다.
  • 24/7 모더레이션 체계: 전 세계 커버리지를 갖춘 전문 모더레이션 팀(또는 전문 업체 아웃소싱)을 운영하여 피싱 탐지, 사칭 차단, 긴급 대응 프로토콜을 수행합니다.
  • 고정·서명된 공지: 모든 공식 업데이트는 전용 공지 채널에만 게시하고, 오프플랫폼의 디지털 서명 메시지와 교차 참조되도록 합니다.

Q57a: 외부 DeFi 프로토콜과 토큰을 연동할 때 어떤 실사 기준과 리스크 관리 관행을 채택해야 합니까?

특히 RWA 토큰화 프로토콜의 경우, 외부 DeFi 프로토콜과의 연동은 기술적·운영적 리스크 및 불법 금융 노출을 포함한 중대한 제3자 리스크를 초래할 수 있습니다. Plume의 경우, 불법 금융 노출은 시퀀서 자체의 AML/ATF 기술을 통해 완화되므로, Plume 자체 블록체인에 배포되는 모든 프로토콜은 별도의 조치 없이도 이러한 보호를 즉시 적용받습니다.

다른 체인에서는 실사가 포괄적이고 지속적으로 이루어져야 하며, 다수의 DeFi 프로토콜이 규제된 보호 장치를 갖추고 있지 않다는 점을 고려하여 AML/ATF 및 제재 준수 여부를 명시적으로 포함해야 합니다.

핵심 실사 기준은 다음과 같습니다.

  • AML/ATF 및 제재 검토: 외부 프로토콜이 자체적인 컴플라이언스 통제(예: 토큰 레벨 전송 훅, 내장형 제재 스크리닝, 고위험 주소에 대한 트랜잭션 차단)를 유지하고 있는지 평가합니다. 이러한 통제가 없거나 불충분한 경우, 통합 구조가 제3자에 의존하지 않고도 규제 대상 주체가 자체 통제를 집행할 수 있도록 허용하는지(예: 프록시 컨트랙트 경유, 컴플라이언스 훅, 시퀀서 레벨 스크리닝)를 확인해야 합니다.
  • 범위 전체를 포괄하고 시정 조치가 검증된 다수의 독립적 보안 감사
  • 과거 사고 이력 검토, TVL 집중도 및 경제적 보안성 분석
  • 코드베이스 검증(바이트코드 매칭, 재현 가능한 빌드)
  • 거버넌스 평가(멀티시그 임계값, 타임락, 서명자 분산 구조)

리스크 관리 관행은 다음을 포함합니다.

  • 승인된 통합에 대해서만 온체인 얼로우리스트 적용
  • 엄격한 노출 한도 설정(일반적으로 외부 프로토콜당 볼트 TVL의 10~20% 이하)
  • 자동화된 서킷 브레이커를 포함한 실시간 상태 및 이상 징후 모니터링
  • 가능한 경우 계약적 또는 기술적 방식으로 컴플라이언스 패스스루 집행

이러한 조치들은 유의미한 컴포저빌리티를 차단하지 않으면서도 완전한 책임성을 보장합니다.

Q57b: 승인된 통합에 대한 온체인 얼로우리스트 유지 및 노출 한도 설정이 제3자 실패로 인한 전염 리스크를 실질적으로 완화할 수 있습니까?

온체인 얼로우리스트와 노출 한도는 검증된 프로토콜로의 상호작용을 제한하고 단일 통합에 대한 TVL 집중을 줄임으로써 전염 리스크를 완화할 수 있습니다. 그러나 경직된 글로벌 얼로우리스트는 중대한 중앙화 리스크를 초래합니다. 단일 거버넌스 프로세스(또는 관리자 키 세트)가 전체 컴포저빌리티의 관문이 되어 단일 장애 지점, 검열 벡터, 또는 규제 병목이 발생할 수 있으며, 이는 그 자체로 상업적 실패를 초래할 수 있습니다.

Uniswap v4에서 성공적으로 입증된 보다 균형 잡힌 접근 방식은 글로벌 중앙화를 강제하지 않으면서, 풀별 또는 볼트별로 권한화된 로직(통합 제한 및 노출 한도 포함)을 적용할 수 있는 모듈식 개별 훅(per-instance hooks) 구조입니다. 이는 핵심 프로토콜의 중립성과 개방형 컴포저빌리티를 유지하면서도, RWA 볼트와 같은 규제 대상 또는 보수적 배포에 필요한 맞춤형 보호 장치를 적용할 수 있도록 합니다.

Nest 볼트 역시 유사한 철학을 따르며, 리스크 통제를 글로벌 단위가 아닌 개별 볼트 수준에서 적용함으로써 생태계 전반의 탈중앙화 특성을 훼손하지 않으면서 전염을 차단합니다. 규제 당국은 포괄적 얼로우리스트 의무화보다 이러한 모듈식 패턴을 장려해야 하며, 이는 중앙화 트레이드오프를 최소화하면서 리스크 완화를 달성합니다.

Q58: 브리지 익스플로잇으로 인해 상당한 재무적 손실이 발생한 점을 고려할 때, 안전한 크로스체인 브리지를 평가·선정하기 위해 어떤 기준이 적용되어야 합니까? 장기간의 운영 이력, 다수의 독립적 감사, 투명한 팀만으로 충분합니까, 아니면 추가적인 보완 통제가 필요합니까?

선정 기준은 마케팅 주장보다 입증된 암호학적·경제적 보안성을 우선시해야 합니다.

핵심 평가 기준은 다음과 같습니다.

  • 보안 모델의 견고성: 멀티시그 위주의 또는 연합형 모델(키 탈취에 취약)을 피하고, 라이트 클라이언트 또는 영지식 검증을 선호합니다. 예를 들어 LayerZero의 옴니체인 메시징 프로토콜은 탈중앙화된 검증자 네트워크와 울트라 라이트 노드를 결합하여 체인 독립성과 구성 가능한 보안 스택을 제공합니다.
  • 범위 전체(엣지 케이스 및 경제적 공격 포함)를 포괄하고, 공개 보고서 및 시정 조치가 검증된 고품질 독립 감사 3건 이상
  • 의미 있는 TVL과 공격 표면 하에서 입증된 운영 이력(불·호황기 전반에서의 무사고 기록)
  • 식별 가능한 기여자와 명확한 업그레이드 경로를 갖춘 투명한 팀 및 거버넌스
  • 경제적 보안성: 유효성 보장을 뒷받침하는 충분한 담보 또는 슬래시 가능한 자본

장기간의 이력, 감사, 투명성은 필요 조건이지만 충분 조건은 아니며, 다수의 브리지가 이러한 요건을 충족하고도 단일 의존성 또는 불충분한 경제적 억제력으로 실패한 사례가 존재합니다.

필요한 추가 보완 통제는 다음과 같습니다.

  • 유입·유출에 대한 속도 제한 및 서킷 브레이커
  • 강력한 거버넌스 하의 비상 일시중지 기능
  • 자동 대응과 연계된 실시간 이상 징후 모니터링
  • 가능한 경우 다수의 브리지 제공자에 대한 분산

Plume은 이러한 기준에 대한 엄격한 평가와 함께, 볼트 레벨의 속도 제한 및 모니터링을 결합하여 LayerZero를 옴니체인 RWA 연결 솔루션으로 선택하였으며, 커스터디 노출 없이 안전한 크로스체인 수익 접근을 구현하였습니다. 규제 당국은 과거 이력이나 감사 결과에만 의존하기보다 이러한 계층적 접근을 장려해야 합니다.

Q59: 토큰 관리 과정에서 데이터 조작이나 부정확성과 같은 오라클 리스크를 완화하기 위한 모범 관행은 무엇입니까? 탈중앙화 오라클 네트워크, TWAP 메커니즘, 서킷 브레이커를 표준 통제로 간주해야 합니까, 아니면 업계가 우선시해야 할 다른 조치가 있습니까?

모범 관행은 단일 통제 수단에 의존하기보다는 심층 방어(defence-in-depth)를 요구합니다. 권장되는 통제 수단(모두 Nest 볼트 가격 로직에 구현됨)은 다음과 같습니다.

  • 다중 소스 탈중앙화 오라클 네트워크를 1차 피드로 활용(예: Chainlink, RedStone)
  • 중앙값화 및 편차 임계값 설정: 다수 소스를 집계하고 개별 피드가 허용 범위(예: 중앙값 대비 1~2% 초과)를 벗어날 경우 리버트 또는 경고
  • 단기 조작 시도를 완화하기 위한 TWAP 폴백
  • 극단적 편차 발생 시 서킷 브레이커 작동, 비핵심 경로는 유지한 채 민감 기능(예: 상환, 리밸런싱) 일시중지
  • 데이터 신선도 리스크를 줄이기 위한 푸시 모델 오라클(풀 모델 대비 우선)
  • 자동 알림 및 거버넌스 에스컬레이션과 연계된 온체인 이상 징후 모니터링

탈중앙화 네트워크, TWAP, 서킷 브레이커는 특히 규제 대상 RWA 토큰화에서 중요한 가격 의존성이 존재하는 경우 기본 표준으로 간주되어야 합니다. 다만, 업계는 발행자가 추가 소스와 임계값을 계층적으로 구성할 수 있는 모듈식·구성 가능한 설계를 우선시해야 하며, 과도한 표준화는 비최적 구성 강제를 초래할 수 있습니다. 결과 중심의 원칙 기반 감독이 혁신과 견고성을 동시에 지원합니다.

Q60a: 서비스 거부(DoS) 공격에 대한 보호를 포함하여, 상환 메커니즘의 신뢰성과 견고성을 보장하기 위해 어떤 조치가 채택되어야 합니까?

DDoS 공격은 서버가 기능을 통제하는 중앙화 시스템에 더 적합한 위협입니다. 비수탁형 RWA 볼트의 상환 메커니즘은 패닉 런이나 조직적 남용을 포함한 모든 상황에서 생존성과 공정성을 보장해야 합니다. 완전 온체인 설계는 궁극적으로 높은(이상적으로는 즉각적인) 유동성을 지원해야 하며, 대규모 급격한 유출을 준비금 깊이, 시장 회복력, 2차 유동성에 대한 실시간 스트레스 테스트로 간주해야 합니다.

현재 Nest 볼트가 실제 운영에서 구현하고 있는 모범 관행은, 2차 시장이 성숙할 때까지의 간극을 메우기 위한 계층적·전환적 통제를 활용합니다.

  • 즉각적인 규모의 상환을 지원하는 온체인 유동성 준비금 및 자동 버퍼, 동적 리밸런싱 및 초과담보 수익 전략으로 뒷받침
  • 이상 징후 탐지, 빈도 제한, 남용 트랜잭션의 우선순위 하향/배제를 통한 시퀀서·프로토콜 레벨 저항

이러한 통제는 영구적 마찰 없이도 모의 또는 실제 스트레스 상황에서 질서 있는 출구를 보장합니다. RWA 생태계가 성숙함에 따라(표준화된 풀과 유동성 인센티브를 통해) 제한과 캡은 단계적으로 완화될 수 있으며, 궁극적으로 대규모 즉시 상환이 기본 상태가 됩니다. 규제는 게이트를 의무화하기보다, 회복력 있고 고유동성 설계를 보상하는 원칙 기반 접근을 유지해야 합니다.

Q60b: 큐 스로틀링이나 주소당 한도와 같은 기능이 이러한 리스크를 해결하는 데 효과적일 수 있습니까?

예, 일부 큐 스로틀링과 주소당 한도는 중앙화 개입 없이도 공정성을 유지하면서 패닉 런, 조직적 남용, 유동성 충격에 대한 전환적 보호 수단으로 효과적일 수 있습니다. 다만 이는 마찰을 도입하므로 완전 온체인 비수탁형 시스템에서는 영구적이어서는 안 됩니다.

온체인 비수탁형 프로토콜은 최종 상태로 즉각적이고 제한 없는 상환을 지향해야 하며, 대규모 급격한 유출은 준비금 구성, 2차 시장 깊이, 시스템 전반의 회복력을 검증하는 건강한 실시간 스트레스 테스트로 기능합니다. 이를 달성하기 위해서는 표준화된 유동성 풀의 심화, 인센티브 제공, 온체인·오프체인 결제 정합성 강화 등 생태계 성숙이 필요합니다.

Q61a: 오프체인 자산의 해제를 확인하는 암호학적 어테스테이션이 온체인 상환 프로세스와 통합될 때 효과적인 완화 수단으로 기능할 수 있다고 보십니까?

암호학적 어테스테이션(오프체인 커스터디언/검증자로부터의 서명된 메시지 또는 증명)은 오프체인 자산/유동성 해제와 온체인 상환 트리거 사이에 감사 가능한 연결 고리를 만들어 하이브리드 모델에서 부분적인 완화를 제공할 수 있습니다. 그러나 지속적인 상대방 리스크가 존재하기 때문에 한계가 있습니다. 즉, 시스템은 여전히 주장자(asserter)의 무결성과 운영 적시성에 의존합니다. 데이터를 온체인으로 “푸시”하는 모델이 “풀”하는 모델보다 더 낫습니다.

완전 온체인 비수탁 모델에서는 충분히 긴 시간 축에서는 어테스테이션이 불필요해질 것입니다. 자산이 감사된 스마트 컨트랙트에 직접 보관되고, 상환이 즉시적이며 원자적으로 이루어질 때, 투명성은 실시간이 되고 누구나 검증할 수 있게 됩니다. 최대의 견고성과 최소의 시스템 리스크를 위해, 프레임워크는 어테스트된 하이브리드보다 네이티브 온체인 담보화를 우선시해야 합니다. 원칙 기반 가이던스는 이러한 전환을 장려할 수 있습니다.

Q61b: 토큰화 프레임워크에서 상대방 지급불능 리스크를 해결하기 위해 어떤 추가 통제나 대안적 접근이 고려되어야 합니까?

상대방 지급불능 리스크는 담보 자산이 커스터디언 또는 발행자와 함께 오프체인에 존재하는 하이브리드/디지털 트윈 모델에 내재되어 있습니다. 가장 효과적인 장기적 완화책은, Nest와 같은 볼트 프로토콜을 통해 완전 온체인 비수탁 담보화를 구현하여 구조적으로 상대방을 제거하는 것입니다. 이때 사용되는 언더라이는 자체적으로 완전 온체인이며 자산에 대한 직접 소유권을 나타냅니다(오프체인 자산에 대한 토큰화된 청구권과는 대비됩니다).

하이브리드 셋업을 위한 추가 통제(효과가 큰 순서대로 나열)는 다음과 같습니다.

  • 법적 링펜싱 및 파산 절연성: 버뮤다 ISA 구조를 활용해 발행자/일반 계정의 지급불능으로부터 볼트 자산/부채를 법적으로 분리합니다(ISAC Act). 이는 온체인 볼트 분리와 깔끔하게 매핑되며, 이용 가능한 가장 강력한 오프체인 보호 장치입니다.
  • 실시간 온체인 증명을 동반한 초과담보화: 투명한 회계, 머클 증명, 또는 공개 대시보드를 통해 검증 가능한 초과 준비금을 두어 손실 심각도를 줄입니다.
  • 독립적인 제3자 자산 감사 및 어테스테이션: 평판 있는 기관(예: 전문 크립토 자산 감사기관 및 자산 검증 서비스 제공자)에 의해 오프체인 보유분을 정기적으로 감사하고, 공개된 잔액 확인과 결합하여 존재 및 분리를 검증합니다.
  • 상대방 노출의 분산: 다수의 고등급 커스터디언에 대한 엄격한 집중도 한도를 둡니다.

프레임워크는 원칙 기반을 유지해야 하며, 네이티브 온체인 설계(상대방 리스크 0)를 강하게 인센티브하는 동시에, 하이브리드에는 명확한 리스크 라벨링과 함께 비례적인 법적·감사·공시 보호장치를 구현하도록 요구해야 합니다.

Q62a: 결함 있는 소각 로직 또는 되돌릴 수 없는 오소각과 같이 토큰 소각과 관련된 리스크를 최소화하기 위해 어떤 실무(practices)를 채택해야 합니까? RWA 시스템에서 토큰 소각은 두 가지 상이한 기능을 수행합니다: (1) 표준 사용자 상환(자산 이탈)과 (2) 컴플라이언스 기반 자산 압류(“강제 소각(Forced Burns)”)입니다. 각 경우에 대한 리스크와 기술적 구현은 근본적으로 다릅니다.

1. 표준 사용자 상환(“deposit-and-burn” 패턴)
 사용자는 오프체인 자산을 청구하기 위해 토큰을 수동으로 소각해서는 안 됩니다. 이는 “되돌릴 수 없는 오소각(irreversible mis-burns)”의 리스크(예: 잘못된 널 주소로 전송)를 초래하기 때문입니다. 이를 방지하기 위해 다음을 적용해야 합니다:

  • 0x0으로의 직접 전송 차단: 스마트 컨트랙트는 수신자가 제로 주소인 경우 revert되도록 표준 전송 로직을 오버라이드해야 합니다.
  • 프로그램 기반 상환: 사용자는 특정한 requestRedemption/redeem(amount) 함수를 호출해야 합니다. 이 함수는 먼저 오프체인 뱅킹 적격성을 검증한 뒤, 토큰을 프로그램적으로 소각합니다. 이는 온체인 지분의 소각과 오프체인 자금의 해제가 원자적으로 정렬되도록 보장합니다.

2. 자산 압류 및 회수(“atomic bypass” 패턴)
 “강제 소각(Forced Burn)” 로직에서의 주요 리스크는, 전송 훅(transfer hook)이 소각 트랜잭션을 차단하기 때문에 제재 대상(동결) 지갑으로부터 자산을 압류할 수 없게 되는 점입니다. 이를 보안성을 훼손하지 않고 해결하기 위해, 저희는 원자적 unblock-seize-reblock 패턴(저희 NestShareSeizer 모듈에서 확인되는 바와 같은)을 구현합니다:

  • 역설: 동결된 지갑은 토큰을 전송하거나 소각할 수 없지만, 법 집행기관(Law Enforcement)은 자산이 압류되기를 요구합니다.
  • 해결책: 압류 컨트랙트는 단일 원자적 트랜잭션을 실행하여 (1) 대상에 대한 블랙리스트를 일시적으로 해제하고, (2) 소각을 실행합니다(또는 seizeAndRedeem를 통해 자산을 직접 배상 지갑(restitution wallet)으로 이탈시키는 방식), 그리고 (3) 블랙리스트를 즉시 복구합니다.
  • 안전성: 트랜잭션이 원자적이기 때문에, 악의적 행위자가 자금을 이동시킬 수 있는 창(window)이 존재하지 않습니다. 이는 순진한 컨트랙트 로직 때문에 법적으로 회수될 수 없는 “고착(stuck)” 자산이 발생하는 것을 방지합니다.

3. 거버넌스 및 로직 하드닝

  • 불변 산술(Immutable arithmetic): 저희는 소각이 언더플로우를 유발하지 않도록, 기본 산술을 위해 감사된 비업그레이더블 라이브러리(예: OpenZeppelin)를 사용합니다.
  • 멀티시그 가드: 모든 강제 소각/압류 함수는 행정적 남용을 방지하기 위해, 의무적인 타임락을 포함한 높은 임계치(예: 4-of-6) 멀티시그 뒤에서만 실행되도록 게이팅됩니다.

Q62b: 충분히 테스트되고, 감사되며, 표준화된 소각 가능한 컨트랙트 코드(burnable contract code)를 사용하는 것만으로 토큰 소각과 관련된 리스크를 해결하기에 충분하다고 보십니까? 그렇지 않다면, 토큰 소각 메커니즘의 보안성과 신뢰성을 강화하기 위해 어떤 대안 또는 추가 통제, 프로세스, 실무를 고려해야 합니까?

아닙니다. 충분히 테스트되고, 감사되며, 표준화된 소각 가능한 코드(예: OpenZeppelin ERC-20 확장)는 필요하고 대부분의 로직 결함을 제거하지만, 그것만으로는 충분하지 않습니다. 배포 오류, 거버넌스 남용, 업그레이드 회귀, 또는 예기치 못한 상호작용이 여전히 되돌릴 수 없는 오소각 또는 공급 조작을 초래할 수 있습니다.

추가 통제:

  • 불변성을 위해 핵심 공급/소각 로직을 비업그레이더블 컨트랙트에 배포합니다.
  • 관리자 소각을 높은 임계치의 멀티시그(≥4-of-6, 크로스-엔터티) 뒤에 두고, 48시간 타임락, 공개 큐(public queue), 온체인 바운드(onchain bounds)를 적용합니다.
  • 0x0으로의 직접 전송을 차단하는 동시에, 프로그램 기반 사용자 상환(원자적 소각을 포함한 전용 redeem() 함수)을 강제합니다.
  • 사전 실행 드라이런(pre-execution dry-runs), 대규모 소각에 대한 UI 경고, 이상 패턴에 대한 실시간 모니터링(예: Forta 디텍터)을 구현합니다.
    Plume의 Nest 및 pUSD 볼트는 이러한 계층형 통제를 사용하며, 완전한 온체인 투명성과 함께 드문 오류 정정을 위한 경우에만 관리자 소각을 유보합니다.

Q63a: 사람 관련 리스크 및 일반적인 토큰 보안 공격 벡터에 대한 초점을 포함하여, 당국이 식별한 주요 리스크의 필요성에 동의하십니까?

예, 동의합니다—당국은 사람 관련 리스크(내부자 위협, 키 탈취, 소셜 엔지니어링)와 일반적인 기술적 공격 벡터를 토큰화 시스템의 주요 우려 사항으로 정확히 식별하고 있습니다. 과거의 익스플로잇 사례는 순수 코드 버그만으로 발생한 손실보다 인간 요인과 특권 접근 남용이 더 큰 손실을 유발한다는 점을 보여줍니다.
저희는 특히 다음에 대한 강조를 지지합니다:

  • 키홀더/내부자 리스크: 관리자 키의 탈취 또는 공모는 거버넌스 기능의 지배적인 실패 모드로 남아 있습니다.
  • 표준 공격 벡터: 리엔트런시, 오라클 조작, 플래시론 거버넌스 공격, 브리지/오라클 의존성은 여전히 사고에서 반복적으로 나타납니다.
    다만, 리스크 프로파일은 완전 온체인 비수탁 설계에서는 실질적으로 변합니다: 사람 리스크는 단일 커스터디언이 아니라 분산된 멀티시그/타임락 거버넌스를 통해 완화되며, 기술적 벡터는 불변 코어 로직, 감사된 표준, 실시간 모니터링으로 억제됩니다. 규제는 원칙 기반을 유지해야 하며, 이러한 핵심 리스크(거버넌스, 모니터링, 감사)에 대한 문서화된 완화를 요구하되, 토큰화 자산을 지원하는 온체인 기술과 프로세스가 여전히 빠르게 진화하고 있으므로, 상이한 아키텍처에 대한 유연성을 허용하고 특정 통제를 처방하지 않아야 합니다.

Q63b: 이 리스크 평가의 일부로 포착되어야 한다고 보시는 추가 리스크 또는 우려 영역이 있습니까?

예—논의문(Discussion Paper)의 리스크 평가는 비수탁, 스마트컨트랙트-네이티브 RWA 토큰화에 특화된 리스크를 명시적으로 다루는 것이 바람직합니다. 이는 전통적인 커스터디 기반 VASP 모델의 리스크와 구조적으로 구별되며 일반적으로 더 낮습니다.
추가 핵심 영역은 다음과 같습니다:

  • 오라클 의존성(가격/페그 안정성에 영향을 주는 조작 또는 스테일 데이터)
  • 상환 유동성 혼선(비유동 언더라이를 가진 상품의 온체인 거래 가능성에서 비롯됨: 예, 프라이빗 크레딧, 부동산)
  • 크로스체인 브리지 취약성
  • 레이어-2 환경에서의 시퀀서 운영 리스크(장악, 검열, 또는 다운타임)
    또한, 공시 및 유동성 리스크 관리와 관련하여 위에서 제안한 내용 외에도, 추가 리스크 완화 개념은 다음과 같습니다:
  • Digital Asset Business Act에 따른 비수탁 비례성(non-custodial proportionality)에 대한 명시적 인정을 포함합니다.
  • 원칙 기반 감독 하에서 이러한 리스크에 대해 문서화된 기술 특화 완화책(예: 시퀀서 레벨 모니터링, 온체인 바운드, 원자적 세이프가드)을 충분한 것으로 수용합니다.

Q64a: 브리지 익스플로잇, 오라클 조작, 키 탈취와 같은 고충격 시나리오에 대비하기 위해 정기적인 테이블탑 연습과 레드팀 시뮬레이션이 얼마나 중요하다고 보십니까?

정기적인 테이블탑 연습은 복잡한 협업이 필요한 크고 성숙한 조직에 대해서도 가치가 제한적입니다. 이는 이론적 위협의 영역에 존재하는 이러한 종류의 예방조치를 누구나 취하기에는 비현실적입니다. 이론적 연습은 준비태세를 어느 정도까지는 높일 수 있지만, 그 이상은 어렵습니다.

현실 세계의 회복탄력성은 주로 의미 있는 TVL 하에서 라이브 시스템을 운영하는 것에서 나옵니다: 실제 이상 징후, 특권 호출 패턴, 니어미스 사건을 기반으로 한 신속한 탐지, 패치, 반복 개선입니다. 이러한 방식으로 리스크는 의도적으로 그리고 자동화를 활용하여 완화됩니다.

Plume은 예정된 시뮬레이션보다, 지속적인 프로덕션 하드닝(즉, 실시간 모니터링, 자동화된 이상 대응, 사고 이후 즉각적인 레트로스펙티브)을 우선시합니다. 이 접근은 빠른 성장과 높은 TVL에도 불구하고 중대한 사고 0건을 달성했습니다.

두 접근 모두 성숙도에 따라 타당하며, 공식적인 연습 빈도를 의무화하기보다는, 팀이 자신의 운영 현실에 맞추어 조정할 수 있도록 해야 합니다.

Q64b: 준비도를 향상시킬 수 있는 다른 테스트 방법론이 있습니까?

예. 테이블탑 연습은 인간 간 협업을 시험하는 데에는 유용하지만, 기술적 준비도는 결정론적 상태 시뮬레이션과 지속적인 불변식(invariant) 테스트를 통해 가장 효과적으로 향상됩니다. 다음과 같은 고충실도 방법론을 권고합니다.

  1. 메인넷 섀도 포킹(Mainnet shadow forking):
     무균적인 “스테이징” 환경에 의존하는 대신, 성숙한 프로토콜은 라이브 메인넷 상태의 비공개 읽기 전용 사본인 “섀도 포크(Shadow Fork)”에서 업그레이드 및 사고 대응을 테스트해야 합니다. 이를 통해 실제 자금을 위험에 노출시키지 않고도, 실제 사용자 잔액과 컨트랙트 상태를 기준으로 익스플로잇 또는 패치의 정확한 영향을 시뮬레이션할 수 있습니다.
  2. 지속적 불변식 퍼징(Continuous invariant fuzzing):
     정적 감사에 그치지 않고, 팀은 연중무휴 24/7로 프로토콜에 무작위 입력을 가하는 지속적 “퍼저(fuzzer)”(예: Echidna, Medusa)를 실행하여, 핵심 불변식(예: “지급능력 > 0”, “사용자 잔액 ≤ 총 공급량”)이 극단적인 엣지 케이스에서도 절대 깨지지 않는지를 검증해야 합니다.
  3. 경쟁형 감사 콘테스트(Competitive audit contests):
     전통적인 버그 바운티를 시간 제한형·게임화된 감사 콘테스트(예: Code4rena, Sherlock)로 보완합니다. 이는 수백 명의 보안 연구자가 짧은 기간 내 특정 업데이트에서 취약점을 경쟁적으로 찾도록 유도하여, 표준 침투 테스트보다 더 높은 강도의 검증을 제공합니다.
  4. 검증자/시퀀서 “게임 데이(Game days)”:
     특히 L2 네트워크의 경우, 비핵심 인프라를 의도적으로 오프라인 상태로 만드는(예: 시퀀서 정지, 검증자 노드 분할) 라이브 훈련을 테스트 네트워크에서 수행하여, 자동화된 페일오버 시스템과 중복성 프로토콜이 프로덕션 환경에서 올바르게 트리거되는지 검증합니다.
  5. 사전 거버넌스 시뮬레이션(Pre-Flight governance simulation):
     모든 멀티시그 트랜잭션 또는 거버넌스 제안은 서명 전에 현재 블록 상태를 기준으로(예: Tenderly와 같은 도구 사용) 시뮬레이션하도록 의무화합니다. 이를 통해 실제 상태 변화와 이벤트 로그가 의도와 정확히 일치하는지 검증하고, 실행 전에 “침묵 실패(silent failures)” 또는 악의적 페이로드를 포착할 수 있습니다.


Q65: 서킷 브레이커 및 킬 스위치와 같은 사전 승인된 비상 도구가 사고를 효과적으로 억제하는 데 필요하다고 보십니까? 그렇다면, 그 안전하고 책임 있는 사용을 보장하기 위해 어떤 거버넌스, 기술적 또는 활성화 통제가 마련되어야 합니까?

부분적으로 동의합니다. 범위가 좁게 설계된 서킷 브레이커와 같은 사전 승인된 비상 도구는 진행 중인 익스플로잇에서 피해 억제에 유용할 수 있으나, 광범위한 “킬 스위치”는 과도한 중앙화 리스크를 도입하며, 잘 설계된 비수탁 시스템에서는 필요하다고 보지 않습니다.

효과적인 억제는 인간 개입이나 전면 중단 없이 작동하는 계층형 자동 방어(실시간 모니터링, 이상 탐지, 온체인 바운드)를 통해 더 잘 달성됩니다. 전체 시스템 킬 스위치는 권력을 집중시키고 검열 벡터를 만들며 라이브니스를 훼손하여 DeFi 원칙에 반합니다.

프로덕션 시스템은 강력한 모니터링 + 불변 로직 + 필요 시 표적화된 일시중지가 전면 오프 스위치 없이도 사고를 억제함을 보여줍니다. 프레임워크는 광범위한 비상 권한을 의무화하기보다, 이러한 비례적이고 최소 개입적 접근을 장려해야 합니다.

Q66a: 실시간 위협 모니터링의 일부로 온체인 이상 모니터링, 멤풀 분석, 외부 위협 인텔리전스를 구현하는 것에 대해 어떻게 보십니까?

이러한 탐지 도구의 구현을 강력히 지지합니다. 이는 필수적이며, 토큰화 시스템에서 실시간 위협 모니터링에 가장 효과적인 접근입니다.

온체인 이상 모니터링, 멤풀 분석, 외부 위협 인텔리전스와의 연계는 특권 호출 남용, 플래시론 준비, 브리지 드레인, 불법 자금 흐름과 같은 의심 패턴을 거의 지연 없이 사전적·자동으로 식별할 수 있게 합니다. 이는 실질적 피해가 발생하기 전에 차단, 경보, 또는 에스컬레이션을 가능하게 합니다.

특히 향후 RWA 프로토콜의 경우, 프로토콜 및 시퀀서 레벨의 지속적 행위 모니터링은 KYC나 디지털 신원(DID)과 같은 정적 사전 통제보다 훨씬 우수합니다. KYC/DID는 마찰을 추가하고 금융 소외 계층을 배제하며, 시점 기반 보증만 제공할 뿐 온보딩 이후에 발생하는 정교한 온체인 위협을 탐지할 수 없습니다. 실시간 모니터링은 글로벌로 확장 가능하며, 적절한 경우 가명성/프라이버시를 보존하고, 접근을 게이트키핑하지 않으면서 진화하는 공격 벡터에 적응합니다.

프로덕션 시스템은 이를 입증합니다. 시퀀서 통합 이상 탐지와 온체인 분석의 결합은 신원 레이어에 의존하지 않고도 대규모 사고를 예방해 왔습니다. 프레임워크는 이러한 동적 도구를 RWA 생태계의 1차 방어선으로 우선시하고 인센티브를 제공해야 합니다.

Q66b: 추가로, 패치된 컨트랙트로의 마이그레이션과 정기 감사에 대한 구조화된 프로세스만으로 회복 탄력적인 복구 운영을 보장하기에 충분합니까, 아니면 기업이 고려해야 할 다른 복구 실무가 있습니까?

필요하지만 그것만으로는 충분하지 않습니다. 복구를 실질적으로 개선하는 실무는 실시간 모니터링과 자동화된 억제입니다. 혼돈 공학(chaos engineering)과 결함 주입(fault injection), 그리고 라이브 이상 기반 탐지 및 대응이 필요합니다.

Q68: 프로그래머블하고 컴포저블한 스마트 컨트랙트로 인해 발생하는 ‘의존성 리스크’를 해결하기 위해 어떤 세이프가드를 구현할 수 있습니까? 여기에는 연쇄적 취약성 방지, 무한한 컴포저빌리티 리스크(예: 복잡한 파생상품) 관리, 토큰화 자산의 재담보화를 통한 과도한 레버리지 축적 완화가 포함됩니다.

의존성 리스크는 실제로 존재하며 실패를 전파할 수 있지만, 프로그래머블 RWA의 핵심 혁신을 저해하지 않고도 관리 가능합니다. 영향도 기준으로 우선순위화된 효과적인 세이프가드는 다음과 같습니다.

  • 모듈형 볼트 레벨 격리: 전역이 아닌 볼트별로 컴포저빌리티 통제를 적용합니다(예: Uniswap v4 훅 패턴). 이는 베이스 레이어의 개방형 혁신을 허용하면서, 규제 대상 볼트가 엄격한 허용 목록과 상호작용 한계를 집행할 수 있게 합니다.
  • 노출 상한 및 집중도 제한: 단일 외부 의존성에 배분 가능한 TVL을 동적으로 제한합니다(일반적으로 10–20%, 리스크 조정). 이는 단일 실패로 인한 연쇄를 방지합니다.
  • 온체인 파라미터 바운드 및 가드: 과도한 레버리지 비율, 재담보화 깊이, 파생상품 복잡성에 대해 하드코딩된 revert를 적용합니다(예: 최대 LTV, 재귀 한계).
  • 실시간 모니터링 및 자동 억제: 시퀀서/멤풀 이상 탐지가 의심스러운 의존성 상호작용에 대해 속도 제한 또는 표적 일시중지를 트리거합니다.
  • 불변 코어 로직 + 정형 검증: 고가치 볼트 회계는 비업그레이더블로 유지하고 수학적으로 검증하여 핵심 경로의 회귀 리스크를 제거합니다.

이러한 통제는 컴포저빌리티의 이점을 유지하면서 전염과 레버리지 축적을 억제합니다. 선진 RWA 시스템은 이미 수십억 달러 TVL 규모에서 이를 적용하고 있습니다.

Q69: 토큰화 자산의 유동성과 기초 참조 자산의 유동성 간 정합성을 개선하고, 24/7 토큰 시장과 전통적 시장 시간 간 타이밍 불일치를 완화하기 위해 어떤 조치가 필요합니까?

특히 온체인 토큰은 자유롭게 거래되지만 오프체인 언더라이(예: 부동산, 프라이빗 크레딧)는 비유동적인 디지털 트윈의 경우를 고려하여, 발행자와 플랫폼에 맞춤형 유동성 리스크 관리 프로그램을 의무화하는 DABA 하의 원칙 기반 규제 프레임워크를 권고합니다. 이는 토큰 거래 가능성 대비 기초 자산의 유동성 프로파일을 평가·공시하고, 상환 시 강제 매각이나 NAV 왜곡을 초래할 수 있는 불일치를 방지하는 메커니즘을 요구합니다.

미국 1940년 투자회사법 하의 SEC Rule 22e-4(본 답변의 Q15b 및 Q15d에서 논의)에서 차용하여, 핵심 조치로는 (i) 현금 전환 소요 시간과 가치 영향에 따라 토큰화 자산을 유동성 버킷으로 분류하고 월별로 검토하는 것, (ii) 유동성 준비금 유지 또는 비유동 언더라이에 대한 단계적 상환 게이트 등 이사회 차원의 감독·보고를 구현하는 것, (iii) 불일치 발생 시 토큰 발행 또는 거래를 동적으로 제한하는 스마트 컨트랙트 기반 유동성 임계치 또는 오라클 연동 가격 조정과 같은 자동화된 온체인 도구가 포함될 수 있습니다.

주말·공휴일 등 오프체인 시장이 닫혀 있는 시간대의 불일치를 완화하기 위해, 기초 시장 가용성과 정렬되는 타임락 상환 또는 장외 변동성 시 온체인 거래를 일시중지하는 “서킷 브레이커”와 같은 하이브리드 결제 프로토콜을 포함해야 합니다. Plume의 Nest와 같은 플랫폼은 유동성 준비금과 단계적 상환을 갖춘 자동 리밸런싱 볼트를 통해 이러한 접근을 실증합니다.

Q70a: 토큰화가 더 위험하거나 덜 유동적인 참조 자산을 안전하고 쉽게 거래 가능한 수단으로 보이게 하여, 더 큰 레버리지와 위험 추구를 조장할 수 있습니까?

토큰화는 24/7 온체인 거래를 통해 비유동적이거나 변동성이 큰 언더라이(예: 프라이빗 크레딧, 부동산)에 대해 더 높은 유동성과 낮은 리스크의 인식을 만들 수 있으며, 불일치가 공시·관리되지 않으면 과도한 레버리지를 조장할 수 있습니다. 이는 의도적 허위표시가 아니라, 온체인 토큰은 즉시 거래되지만 오프체인 결제는 지연되는 자연스러운 경제적 불일치입니다.

효과적인 완화는 금지가 아니라 투명성과 설계에 초점을 둡니다.

  • 명확하고 계층화된 공시: 제공 문서, UI, 온체인 메타데이터에 유동성 프로파일, 상환 지연, 불일치 리스크를 평이한 언어로 경고합니다.
  • 내장형 유동성 세이프가드: 온체인 준비금, 동적 속도 제한, 스트레스 테스트된 리밸런싱으로 토큰 행태를 언더라이 현실과 정렬합니다.
  • 비례적 공시: 문서화된 유동성 리스크 관리(예: 준비금 버퍼, 동적 속도 제한, SEC Rule 22e-4에서 영감받은 자산 분류).
    잘 설계된 시스템(가능한 경우 완전 온체인)은 이 리스크를 기능으로 전환하여, 실시간 가격 발견과 투명한 준비금이 정확한 리스크 가격 책정을 강제합니다. 또한, 온체인 2차 거래는 상환 프로세스에 대한 의존을 줄여 노출 이전을 가능하게 합니다. 규제는 원칙 기반으로 강력한 공시와 문서화된 유동성 관리를 요구하여, 정보에 기반한 참여를 촉진하면서 혁신과 자본 형성을 보존해야 합니다.

Q70b: 이러한 발생 가능성을 줄이기 위해 어떤 조치를 구현할 수 있습니까?

토큰화는 온체인 유동성 메커니즘을 통해 더 위험하거나 덜 유동적인 참조 자산을 안전하고 쉽게 거래 가능한 것처럼 보이게 할 수 있으며, 이는 기초 비유동성이나 변동성을 가려 더 큰 레버리지와 위험 추구를 조장할 수 있습니다. 그러나 규제의 목표는 이러한 자산에 대한 접근을 차단하는 것이 아니라, 규제자·발행자·투자자가 리스크를 충분히 인지하고 주로 강화된 공시와 유동성 리스크 관리를 통해 신중하게 완화하도록 하는 데 있습니다.

이를 위해 투명성과 완화에 초점을 둔 원칙 기반 조치를 구현해야 합니다: (i) 제공 문서와 온체인 메타데이터에 유동성 프로파일, 리스크 요인, 토큰 거래 가능성과 기초 자산 간 불일치를 명시하는 맞춤형 의무 공시(소매 투자자에 대한 평이한 경고 포함), (ii) SEC Rule 22e-4에서 영감받은 유동성 리스크 관리 프로그램을 채택하여 자산을 유동성 버킷으로 분류하고 비유동 언더라이에 대해 준비금 또는 상환 게이트를 유지하도록 요구합니다. 이는 혁신과 자본 형성 기회를 저해하지 않으면서 정보에 기반한 의사결정을 가능하게 합니다.

Q79: 물리적 자산 보관, 디지털 토큰 발행, 거래 활동, 고객 기반이 서로 다른 법·규제 체계를 가진 여러 관할권에 걸쳐 있는 경우, RWA와 관련된 국경 간 과제를 효과적으로 해결하기 위해 규제 프레임워크에 어떤 핵심 구성요소가 포함되어야 합니까?

물리적 보관, 토큰 발행, 거래, 고객 기반이 다관할에 걸친 RWA 토큰화의 국경 간 과제를 해결하기 위해, 글로벌 표준을 일률적으로 강제하여 혁신을 저해하지 않으면서 상호운용성, 상호인정, 리스크 완화를 우선하는 DABA 하의 원칙 기반 규제 프레임워크를 권고합니다. 핵심 구성요소는 다음을 포함해야 합니다.

  • 투명성과 책임성의 조화된 기준: BMA는 등록 사업자가 제공하는 자산과 언더라이의 충분한 투명성(예: 온체인 준비금의 실시간 증명, 스마트 컨트랙트 또는 영지식 증명을 통한 자산-부채 정합성, 오프체인 기록의 투명성과 신뢰성, 중대한 관할 리스크의 의무 공시)과 강력한 책임성(예: Q36에서 언급된 미국 GENIUS Act 모델에 따른 “동결 및 압류” 의무, 국경 간 분쟁에 대한 명확한 책임 체계)을 보장하는 데 초점을 맞춰야 합니다. 이는 형식보다 실질을 중시하는 결과 중심 접근으로, 국경을 넘는 AML/CFT 및 제재 집행을 자동화하는 컴플라이언스 도구 통합을 요구합니다.
  • 상호인정 및 동등성 메커니즘: EU MiCAR 또는 미국 SEC의 토큰화 증권 규칙 등 타 관할의 제도와의 동등성 평가를 포함하여, 핵심 원칙(투자자 보호, 시장 무결성)이 정렬되는 경우 BMA 라이선스 사업자가 서비스를 패스포팅할 수 있도록 합니다. 이는 IOSCO 권고를 기반으로 한 양자·다자 포럼 등을 통해 RWA 토큰의 원활한 컴포저빌리티와 이전성을 촉진하고, 상충되는 보관·자산·증권·세무 요건으로 인한 파편화를 줄입니다.
  • 리스크 기반 국경 간 감독: 다관할 운영에 대한 포괄적 실사를 의무화하고, 고위험 설정(예: 신흥국의 물리 자산)에 대해 강화된 보고를 요구합니다. 온체인 모니터링을 통해 상대방 노출이나 불법 자금 흐름을 신속히 식별하고, 데이터 현지화 법률과 같은 관할 충돌에 대비한 비상 계획을 요구합니다.
  • 글로벌 모범사례의 촉진: 투명성과 책임성을 선도함으로써, BMA는 다른 관할이 유사한 조치를 채택하도록 장려하고 온체인 자본시장에서 토큰화 RWA의 글로벌 분포를 확대할 수 있습니다.

Plume의 Nest와 같은 플랫폼은 온체인 투명성과 자동화된 책임성을 우선하는, 규제 준수형 다관할 RWA 배포 도구를 내장하여 이러한 원칙을 실무에서 구현하고 있습니다.

Plume
AboutNestpUSDPortal
Resources
BlogDocumentationBrand AssetsTeamCareers
Legal
Privacy PolicyTerms of ServiceMiCA Whitepaper