가상자산 이전 서비스 VASP 검토완료 사례

외부 지갑을 연결해 코인을 옮겨주는 기능을 만들었는데, 이 기능이 신고 대상 사업으로 보일 수 있어 고민 중이신가요?

의뢰인은 해외 이용자를 대상으로 멀티체인 지갑 연결, 전송 요청 생성, 수수료 정산, 거래 상태 알림을 제공하는 가상자산 이전 서비스를 준비하던 국내 Web3 사업자였습니다. 서비스 설명서에는 "이용자가 직접 지갑을 연결한다"는 문구가 있었지만, 실제 화면에서는 전송 경로 추천, 네트워크 수수료 자동 산정, 제휴 지갑과의 API 연동이 함께 작동했습니다.

문제는 이 구조가 단순한 기술도구인지, 아니면 가상자산의 이전 행위를 영업으로 수행하는 구조인지였습니다. 현행 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조(신고)는 가상자산사업자 신고를 전제로 하고, 가상자산사업자가 신고를 하지 아니하고 가상자산거래를 영업으로 하는 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있습니다. 특정금융거래정보의보고및이용등에관한법률제17조(벌칙) 또한 금융회사등은 가상자산사업자인 고객이 신고의무를 이행하지 아니한 사실이 확인되는 등 일정 사유가 있으면 신규 거래를 거절하고 기존 거래관계를 종료하여야 하므로, 은행계정(실명확인입출금계정 포함) 이용 등 사업 운영에 중대한 제약이 발생할 수 있습니다. 특정금융거래정보의보고및이용등에관한법률제5조의2(금융회사등의 고객 확인의무)

핵심 질문은 하나였습니다. 특금법 및 가상자산이용자보호법 체계에서 VASP 해당성은 '개인키 보관 여부'라는 명칭만으로 결정되기보다, 사업자가 가상자산과 관련하여 법정 유형(예: 이전, 보관·관리, 중개·대행 등)에 해당하는 행위를 '영업으로' 수행하는지에 따라 판단될 수 있습니다. 가상자산이용자보호등에관한법률제2조(정의), 특정금융거래정보의보고및이용등에관한법률제7조(신고) 특히 '이전'은 영업을 하기 위해 가상자산을 하나의 가상자산주소에서 다른 가상자산주소로 전송하는 행위를 포함하도록 규정되어 있어, 개인키를 직접 보관하지 않는 구조라도 서비스가 실질적으로 주소 간 전송(이전) 업무를 영업으로 수행하는 형태로 평가될 여지가 있습니다. 가상자산이용자보호등에관한법률시행령_제3조(가상자산 이전의 범위), 서면-2023-법규국조-0507

의뢰인은 출시 일정과 투자계약 일정이 맞물려 있어, 단순 의견보다 투자자와 제휴사에 설명 가능한 검토보고서가 필요했습니다. 이에 서비스 구조도, 이용자 약관, 지갑 권한표, API 명세, 장애 대응 절차, AML 운영계획을 한 번에 대조하는 방식으로 법률검토가 진행되었습니다.

이번 사건에서 먼저 확인한 사실관계

관련 법령 기준: 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조(신고), 같은 법 제7조 제6항(신고 유효기간의 법률 근거) 및 시행령 제10조의15(신고의 유효기간), 「가상자산 이용자 보호 등에 관한 법률」 제7조(가상자산의 보관)를 중심으로 검토했습니다. 신고 유효기간은 특금법 제7조 제6항에서 법률상 근거가 정해져 있고, 그 구체적 기간은 시행령에서 정하도록 되어 있습니다. 특정금융거래정보의보고및이용등에관한법률제7조(신고) 현행 시행령은 가상자산사업자 신고의 유효기간을 '신고 수리일로부터 3년'으로 정하고, 갱신신고서는 원칙적으로 유효기간 만료 45일 전까지 제출하도록 규정하고 있습니다. 특정금융거래정보의보고및이용등에관한법률시행령제10조의15(신고의 유효기간)

※ 이 사례는 의뢰인 동의 하에 공개되며, 개인정보 보호를 위해 특정이 가능한 정보는 모두 비식별화하였고, 일부 세부 사항은 간략화되었을 수 있습니다. 법률사무소 번화 핀테크·가상자산팀이 검토하였습니다.

이 사건의 방향을 바꾼 대응은 “기술 설명”을 “법률상 권한표”로 바꾼 점입니다. 서비스가 멋진 기능을 갖췄다는 설명만으로는 신고대상 여부를 판단하기 어렵기 때문에, 누가 어떤 순간에 가상자산을 옮길 수 있는지부터 분리했습니다.

지갑권한과 이전 관여 범위를 분리해 그리기

먼저 서비스 흐름도를 이용자 지시, 플랫폼 처리, 제휴 지갑 연동, 블록체인 전송 단계로 나누었습니다. 각 단계마다 개인키 보관자, 전송 승인자, 오류 수정권자, 수수료 수취자를 표시해 실질적 통제권이 어디에 있는지 확인했습니다.

이 방식은 VASP 해당성 판단에서 유효했습니다. “비수탁”이라는 표현만 반복하지 않고, 실제 권한 배분을 도식화해 신고대상 가능성과 비신고 구조의 한계를 함께 보여줄 수 있었기 때문입니다.

다만 사업자가 전송 대상을 임의로 변경하거나 장애 상황에서 이용자 승인 없이 재전송할 수 있다면 같은 전략은 제한됩니다. 그 경우에는 명칭보다 실제 운영권한이 더 강한 판단자료가 됩니다.

고객자산 보관 여부를 증거로 재구성하기

다음으로 증거 수집은 계약서보다 시스템 자료에서 시작했습니다. 지갑 생성 방식, 개인키 저장 위치, 서명 요청 로그, 전송 승인 화면, 제휴 API 문서를 모아 고객자산 보관 여부를 시간순으로 정리했습니다.

사실관계는 “고객이 승인하지 않으면 전송이 완료되지 않는 구조”와 “플랫폼이 단독으로 가상자산을 처분할 수 없는 구조”를 중심으로 재구성했습니다. 이 재구성은 「가상자산 이용자 보호 등에 관한 법률」 제7조(가상자산의 보관) 적용 가능성을 검토하는 데 중요한 기준이 되었습니다.

반대로 플랫폼이 고객의 출금 제한, 전송 보류, 지갑 복구를 독자적으로 결정할 수 있으면 보관·관리 요소가 강해질 수 있습니다. 그 경우에는 가상자산이용자보호법상 '이용자로부터 위탁을 받아 가상자산을 보관'하는 경우에는 이용자명부(주소·성명, 위탁 가상자산의 종류·수량, 이용자 가상자산주소)를 작성·비치하고, 자기 가상자산과 이용자 가상자산을 분리 보관하며, 위탁받은 가상자산과 동일한 종류·수량의 가상자산을 실질적으로 보유하여야 합니다. 가상자산이용자보호등에관한법률제7조(가상자산의 보관) 또한 이용자 가상자산 중 일정 비율 이상을 인터넷과 분리하여 안전하게 보관(콜드 보관)하여야 하는데, 시행령은 그 비율을 '70% 이상 범위에서 고시로 정하는 비율 이상'으로 규정하고 있습니다. 가상자산이용자보호등에관한법률시행령제11조(가상자산의 보관)

특금법 신고요건과 내부통제를 함께 정리하기

법리 정리는 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조(신고)를 중심으로 진행했습니다. 가상자산의 매매·교환·이전·보관·관리 행위를 영업으로 하는지 차례로 대조했습니다. 특금법상 신고 수리 심사에서 명시적으로 문제되는 요건은 정보보호관리체계(ISMS) 인증 및 실명확인이 가능한 입출금계정 관련 요건 등입니다. 특정금융거래정보의보고및이용등에관한법률제7조(신고) 다만 자금세탁방지 및 이용자보호 등 관련 법령 준수를 위한 조직·인력·전산설비·내부통제체계 마련·운영에 관한 사항은 신고서 기재사항 및 제출자료로 요구될 수 있으므로(고시 기준), 서비스 출시 전부터 문서화하여 정리할 실익이 큽니다. 특정금융거래정보보고및감독규정제27조(가상자산사업자의 신고)

검토보고서에는 FIU 신고 절차, 신고 수리 전 출시 가능 범위, 이용자 고지문, 의심거래 모니터링, 트래블룰 적용 가능성을 함께 담았습니다. 이는 제휴사 협상과 투자자 실사 대응에서 “규제 검토가 진행 중”이라는 추상 표현을 구체 자료로 바꾸는 데 유효했습니다.

다만 법률검토만으로 사업모델의 모든 위험이 줄어드는 것은 아닙니다. 실제 서비스가 검토 당시 구조와 다르게 운영되면, 사후 검사에서는 운영 로그와 고객 안내 내용이 더 크게 작용할 수 있습니다.

의견서와 사업구조 수정안으로 실행 경로를 남기기

마지막 전략은 결론을 한 문장으로 끝내지 않고, VASP 해당성 의견서와 사업구조 수정안을 함께 제시한 점입니다. 의견서에는 현재 구조에서 낮게 보이는 요소와 보완해야 할 요소를 분리했고, 수정안에는 약관 문구, 승인 화면, 장애 대응 절차, AML 체크리스트를 연결했습니다.

수사·소송 단계 사건은 아니었지만, 감독기관 질의, 금융기관 제휴 심사, 투자자 실사에서 같은 자료가 방어 논리로 쓰일 수 있도록 구성했습니다. 특히 “이용자 승인 없는 전송 불가”, “플랫폼 단독 처분권 없음”, “수수료·정산 구조 분리”를 문서와 화면에 같은 표현으로 맞췄습니다.

이 전략은 사업팀, 개발팀, 준법팀이 같은 기준으로 움직이게 만드는 데 효과적이었습니다. 다만 해외법인, 원화 정산, 국내 이용자 모집이 결합되면 외국환·국내영업성·광고 규제까지 별도로 검토해야 합니다.

결과적으로 의뢰인은 가상자산 이전 서비스의 VASP 해당성 검토를 완료하고, 출시 전 보완해야 할 사업구조 수정안을 확보했습니다.

VASP 해당성 검토의견서 및 사업구조 수정안을 기반으로, 의뢰인은 서비스 출시 전 투자자와 제휴사에 설명 가능한 자료를 갖추고, 고객자산 보관·이전 관여·AML 체계의 경계선을 내부 의사결정 기준으로 사용할 수 있게 되었습니다.

이 사안의 핵심은 “비수탁 지갑”이라는 표현보다 실제 권한, 고객 승인 절차, 시스템 로그, 약관 문구의 일치가 더 중요하다는 점입니다. 번화는 사업을 단순히 중단시키는 방식이 아니라, 신고대상 가능성과 비신고 구조의 한계를 나누어 실행 가능한 보완안을 제시하는 방식으로 접근했습니다.

유사 사건에서는 출시 직전 화면문구, 제휴계약서, 수수료 정산표가 법률검토 결과와 달라지는 경우를 놓치기 쉽습니다. 다음 단계에서는 개발 변경사항이 생길 때마다 권한표와 약관을 함께 갱신해야 규제 대응의 일관성을 유지할 수 있습니다.

가상자산 이전 서비스는 모두 VASP 신고 대상인가요?

모든 이전 서비스가 같은 결론으로 이어지지는 않습니다. 고객의 구체적 지시에 따라 단순 기술도구를 제공하는지, 사업자가 전송 과정에 실질적으로 개입하는지에 따라 달라집니다.

특히 전송 승인권, 개인키 보관 여부, 전송 대상 변경권, 장애 시 재전송 권한을 먼저 봐야 합니다. 이 자료가 정리되어야 신고 필요성을 현실적으로 판단할 수 있습니다.

비수탁 지갑이면 특금법 신고를 피할 수 있나요?

비수탁이라는 명칭만으로 결론이 정해지지는 않습니다. 사업자가 개인키를 보관하지 않아도 전송 지시, 승인, 장애 처리, 고객자산 이동에 깊게 관여하면 신고대상 검토가 필요합니다.

따라서 개인키 저장 위치, 서명 구조, 이용자 승인 화면, 플랫폼 운영자 권한을 문서와 로그로 나누어 준비하는 편이 안전합니다.

가상자산 이전 서비스 출시 전 어떤 자료가 필요한가요?

사업흐름도, 지갑권한표, API 명세, 이용약관, 수수료 구조, AML 정책, 장애 대응 절차가 기본 자료입니다. 자료는 기능 설명보다 누가 무엇을 결정할 수 있는지를 보여주도록 정리해야 합니다.

투자자 실사나 제휴사 검토에서는 법률의견서와 실제 화면이 맞는지도 확인합니다. 화면문구와 약관이 다르면 검토 결과의 설득력이 약해질 수 있습니다.

가상자산사업자 신고가 필요하면 바로 영업할 수 있나요?

신고가 필요한 구조라면 신고 수리 전 영업 범위를 신중하게 나누어야 합니다. 특히 고객을 모집하거나 실제 이전·보관 기능을 제공하는 단계는 법적 위험이 커질 수 있습니다.

서비스 소개 페이지, 베타테스트, 사전예약, 내부 테스트가 각각 어떤 의미인지 구분해야 합니다. 신고 전에는 이용자 자산 이동이 발생하지 않도록 기능을 제한하는 방식도 검토할 수 있습니다.

트래블룰과 AML 정책은 언제부터 준비해야 하나요?

서비스 구조가 이전행위와 연결된다면 출시 전부터 준비하는 것이 좋습니다. AML 정책은 신고 여부 판단과 별도로 금융기관 제휴, 투자자 실사, 거래소 연동 과정에서 자주 요구됩니다.

고객확인, 의심거래보고, 지갑주소 위험평가, 전송 기록 보존, 제재대상 필터링을 단계별로 정리해 두면 사업팀과 개발팀이 같은 기준으로 움직일 수 있습니다.

이미 개발을 마친 뒤에도 구조를 바꿀 수 있나요?

가능합니다. 다만 코드 수정만으로는 충분하지 않고 약관, 화면문구, 운영정책, 제휴계약서까지 함께 바꾸어야 합니다.

비슷한 상황이라면 초기 자료 보전과 사실관계 정리가 결과에 직접 영향을 줄 수 있습니다. 법률사무소 번화에 사건 경위와 보유 자료를 함께 전달해 상담을 요청할 수 있습니다.

✍️ 작성: 법률사무소 번화 서준범 변호사

전문 분야: 가상자산사업자 신고, VASP 해당성 검토, 핀테크·Web3 규제 자문

수행 경험: 가상자산 이전·보관 서비스 구조검토, AML·트래블룰 정책문서 및 사업구조 수정안 작성

최종 검토: 2026. 04 본 업무사례는 해당 카테고리에 맞는 가상자산·핀테크 분야 변호사가 직접 검토하였습니다.