a16z: 암호 자산 수탁의 5가지 원칙

원문 제목：미래를 잡다: 토큰화된 세계를 위한 수탁 원칙

원문 저자：Scott Walker、Kate Dellolio、David Sverdlov，a16z

원문 번역：Luffy，Foresight News

암호 자산에 투자하는 등록 투자 자문사(RIAs)는 불확실한 규제와 제한된 자산 수탁 선택의 딜레마에 직면해 있습니다. 더욱 복잡한 것은 암호 자산이 RIAs가 이전에 책임졌던 자산과는 다른 소유권 및 이전 위험을 동반한다는 점입니다. RIAs의 내부 팀(운영, 준수, 법무 등)은 기대에 부합하는 제3자 수탁인을 찾기 위해 최선을 다하고 있지만, 많은 노력을 기울여도 적격한 수탁인을 찾기 어려운 상황입니다. 그 결과 RIAs는 이러한 자산을 스스로 보유해야만 합니다. 따라서 현재 암호 자산 수탁은 독특한 법적 및 운영적 위험에 직면해 있습니다.

암호 산업이 필요로 하는 것은 고객이 암호 자산을 보호할 수 있도록 돕는 전문 투자자를 위한 원칙적인 접근 방식입니다. 미국 증권 거래 위원회(SEC)의 최근 정보 요청에 응답하여, 우리는 이러한 원칙을 수립했습니다. 이 원칙이 시행된다면, 투자 자문법의 수탁 규칙의 목표를 새로운 암호 자산 범주로 확장할 수 있습니다.

암호 자산 수탁의 차이점

전통 자산의 소유자는 자산에 대한 통제권을 가지므로 다른 사람은 통제권이 없습니다. 그러나 암호 자산은 그렇지 않으며, 여러 개체가 특정 암호 자산과 관련된 개인 키에 접근할 수 있습니다.

암호 자산은 또한 자산에 필수적인 다양한 내재적 경제 및 거버넌스 권리를 동반하는 경우가 많습니다. 전통적인 채무나 증권은 「수동적으로」 수익을 얻을 수 있지만(예: 배당금이나 이자), 소유자는 자산을 취득한 후 자산을 이전하거나 추가 조치를 취할 필요가 없습니다. 반면에 암호 자산 소유자는 자산과 관련된 특정 수익 또는 거버넌스 권리를 잠금 해제하기 위해 조치를 취해야 할 수 있습니다. 제3자 수탁인의 능력에 따라 RIAs는 이러한 권리를 잠금 해제하기 위해 일시적으로 자산을 수탁에서 이전해야 할 수 있습니다. 예를 들어, 특정 암호 자산은 스테이킹이나 수익 농사를 통해 수익을 얻거나 프로토콜 또는 네트워크 업그레이드에 대한 거버넌스 제안에 투표할 수 있는 권리를 가질 수 있습니다. 이러한 전통 자산과의 차이는 암호 자산 수탁에 새로운 도전을 가져옵니다.

자체 수탁이 적합한 시점을 추적하기 위해 우리는 이 프로세스 다이어그램을 작성했습니다.

원칙

우리가 제안하는 원칙은 RIAs가 수탁의 신비를 벗기면서 고객 자산 보호의 책임을 유지하는 것을 목표로 합니다. 현재 암호 자산에 집중하는 적격 수탁인(예: 은행 또는 중개 자영업자) 시장은 극히 제한적입니다. 따라서 우리의 주요 초점은 수탁 기관이 암호 자산 수탁에 필요한 실질적인 보호 조치를 제공할 수 있는지 여부에 있습니다. 단순히 해당 기관이 투자 자문법 하의 적격 수탁인으로서의 법적 지위만으로는 부족합니다.

우리는 실질적인 보호 조치를 충족하는 제3자 수탁 솔루션이 없거나 경제 및 거버넌스 권리를 지원하지 않을 때, 실질적인 보호 요구를 충족할 수 있는 RIAs가 자체 수탁을 하나의 경로로 삼을 수 있도록 제안합니다.

우리의 목표는 수탁 규칙의 범위를 증권 외의 자산으로 확장하는 것이 아닙니다. 이 원칙은 증권에 해당하는 암호 자산에 적용되며, 다른 자산 유형에 대해 RIAs의 수탁 책임을 충족하는 기준을 규정합니다. RIAs는 증권에 해당하지 않는 암호 자산을 유사한 조건에서 보유하고, 모든 자산의 수탁 관행을 기록해야 하며, 다양한 유형 자산에 대한 수탁 관행의 중대한 차이가 존재하는 이유를 포함해야 합니다.

원칙 1：법적 지위가 암호 자산 수탁인의 자격을 결정해서는 안 된다

법적 지위와 특정 법적 지위와 관련된 보호 조치는 수탁인의 고객에게 중요하지만, 암호 자산 수탁과 관련해서는 전부가 아닙니다. 예를 들어, 연방 특허 은행과 중개 자영업자는 수탁 규정에 따라 고객에게 엄격한 보호를 제공하지만, 주 특허 신탁 회사 및 기타 제3자 수탁인도 유사한 수준의 보호를 제공할 수 있습니다.

수탁인의 등록은 암호 자산 증권을 수탁할 자격이 있는지 여부를 결정하는 유일한 요소가 되어서는 안 됩니다. 암호 분야에서 「적격 수탁인」의 범위는 확장되어야 하며, 다음을 포함해야 합니다:

• 주 특허 신탁 회사(즉, 주 또는 연방 은행 규제 기관의 감독 및 검사를 받는 것 외에 투자 자문법에서 「은행」의 정의 기준을 충족할 필요가 없음);

• (제안된) 연방 암호 시장 구조 법안에 등록된 모든 개체;

• 등록 상태와 관계없이 엄격한 고객 보호 기준을 충족하는 것으로 입증할 수 있는 모든 기타 개체.

원칙 2：암호 자산 수탁인은 적절한 보호 조치를 마련해야 한다

어떤 기술 도구를 사용하든, 수탁인은 암호 자산 수탁에 대한 특정 보호 조치를 마련해야 합니다. 이러한 조치는 다음을 포함합니다:

1. 권한 분리: 암호 자산 수탁인은 RIAs의 협력 없이 암호 자산을 이전할 수 없어야 합니다.

2. 자산 분리: 암호 자산 수탁인은 RIAs가 보유한 자산과 다른 개체가 보유한 자산을 혼합해서는 안 됩니다. 그러나 등록된 중개 자영업자는 단일 통합 지갑을 사용할 수 있으며, 이 경우 항상 이러한 자산 소유권의 최신 기록을 유지하고 관련 RIAs에 적시에 공개해야 합니다.

3. 수탁 하드웨어: 암호 자산 수탁인은 보안 위험을 초래하거나 손상 위험이 있는 수탁 하드웨어 또는 기타 도구를 사용해서는 안 됩니다.

4. 감사: 암호 자산 수탁인은 최소한 매년 재무 및 기술 감사를 받아야 합니다. 이러한 감사에는 다음이 포함되어야 합니다:

PCAOB 등록 감사인이 수행하는 재무 감사:

• 서비스 조직 통제(SOC) 1 감사;

• SOC 2 감사; 및

• 소유자의 관점에서 암호 자산의 확인, 측정 및 보고;

기술 감사:

• ISO 27001 인증;

• 침투 테스트; 및

• 재해 복구 절차 및 비즈니스 연속성 계획 테스트.

1. 보험: 암호 자산 수탁인은 충분한 보험 보장을 가져야 하며, 보험을 받을 수 없는 경우 충분한 준비금을 마련해야 합니다.

2. 공개: 암호 자산 수탁인은 매년 RIAs에게 수탁 암호 자산과 관련된 주요 위험 목록을 제공해야 하며, 이러한 위험을 완화하기 위한 관련 서면 감독 절차 및 내부 통제 조치를 포함해야 합니다. 암호 자산 수탁인은 분기마다 이를 평가하여 공개 내용을 업데이트할 필요가 있는지 여부를 결정해야 합니다.

3. 수탁 지역: 암호 자산 수탁인은 해당 지역 법률에 따라 수탁 자산이 파산 시 파산 재산의 일부가 되는 관할권에서 암호 자산을 수탁해서는 안 됩니다.

또한, 우리는 암호 자산 수탁인이 다음 프로세스와 관련된 보호 조치를 각 단계에서 시행할 것을 권장합니다:

• 준비 단계: 수탁할 암호 자산을 검토하고 평가하며, 키 생성 과정 및 거래 서명 프로세스가 오픈 소스 지갑 또는 소프트웨어에 의해 지원되는지, 키 관리 과정에서 사용되는 모든 하드웨어 및 소프트웨어의 출처를 확인합니다.

• 키 생성: 이 과정의 모든 단계에서 암호 기술을 사용해야 하며, 개인 키를 생성하기 위해 여러 개의 암호 키가 필요합니다. 키 생성 과정은 「수평적」(즉, 동일한 수준에 여러 암호 키 소유자가 있음) 및 「수직적」(즉, 여러 수준의 암호화가 있음)이어야 합니다. 마지막으로, 법정 인원 요건은 인증자의 실제 참석을 보장해야 합니다.

• 키 저장: 키를 평문으로 저장해서는 안 되며, 오직 암호화된 형태로만 저장해야 합니다. 키는 지리적 위치 또는 다른 접근자에 의해 물리적으로 분리되어야 합니다. 키 복사본을 저장하기 위해 하드웨어 보안 모듈을 사용하는 경우, 이는 미국 연방 정보 처리 표준(FIPS)의 보안 등급을 충족해야 합니다. 엄격한 물리적 분리 및 권한 부여 조치를 시행해야 합니다. 암호 자산 수탁인은 자연 재해, 정전 또는 자산 손실이 발생할 경우 운영을 유지할 수 있도록 최소 두 단계의 암호화 중복성을 유지해야 합니다.

• 키 사용: 지갑은 인증을 요구해야 하며, 즉 사용자의 신원을 확인하고 오직 권한이 있는 자만이 지갑에 접근할 수 있어야 합니다. 지갑은 성숙한 오픈 소스 암호화 라이브러리를 사용해야 합니다. 또 다른 모범 사례는 하나의 키를 여러 용도로 사용하는 것을 피하는 것입니다. 예를 들어, 암호화 및 서명을 위해 별도의 키를 보관해야 합니다. 「최소 권한」 원칙을 준수하여, 보안 취약점이 발생할 경우 자산, 정보 또는 작업에 대한 접근은 시스템 운영에 절대적으로 필요한 당사자에게만 제한되어야 합니다.

원칙 3：암호 자산 수탁 규칙은 등록 투자 자문사가 암호 자산 수탁과 관련된 경제적 또는 거버넌스 권리를 행사할 수 있도록 해야 한다

고객의 별도 지시가 없는 한, RIAs는 암호 자산 수탁과 관련된 경제적 또는 거버넌스 권리를 행사할 수 있어야 합니다. 이전 SEC 관리층 하에서, 토큰 분류의 불확실성으로 인해 많은 RIAs는 모든 암호 자산을 적격 수탁인에게 수탁하는 보수적인 전략을 취했습니다. 앞서 언급했듯이, 선택 가능한 수탁인 시장은 제한적이며, 이는 종종 특정 자산을 지원할 의사가 있는 적격 수탁인이 단 한 곳뿐인 상황을 초래합니다.

이러한 경우, RIAs는 경제적 또는 거버넌스 권리를 행사할 것을 요구할 수 있지만, 암호 자산 수탁인은 여러 이유로 이러한 권리를 제공하지 않기로 선택할 수 있습니다. 반대로, RIAs는 이러한 권리를 행사하기 위해 다른 제3자 수탁인을 선택하거나 자체 수탁을 할 권한이 없다고 느낍니다. 이러한 경제적 및 거버넌스 권리에는 스테이킹, 수익 농사 또는 투표가 포함됩니다.

이 원칙에 따라, 우리는 RIAs가 관련 보호 조치를 충족하는 제3자 암호 자산 수탁인을 선택해야 하며, 이를 통해 RIAs가 암호 자산 수탁과 관련된 경제적 또는 거버넌스 권리를 행사할 수 있도록 해야 한다고 주장합니다. 제3자가 이 두 가지 요구를 동시에 충족할 수 없는 경우, RIAs가 경제적 또는 거버넌스 권리를 행사하기 위해 자산을 일시적으로 수탁에서 이전하여 자체 수탁하는 행위는 수탁에서 벗어난 것으로 간주되어서는 안 됩니다.

모든 제3자 수탁인은 자산이 여전히 그들에 의해 수탁되고 있는 동안 RIAs가 이러한 권리를 행사할 수 있도록 최선을 다해야 하며, RIAs의 권한이 있을 때, 체인 상 자산과 관련된 모든 권리를 행사하기 위해 상업적으로 합리적인 조치를 취해야 합니다.

어떤 암호 자산과 관련된 권리를 행사하기 위해 자산을 수탁에서 이전하기 전에, RIAs 또는 수탁인은 먼저 서면으로 해당 권리를 수탁에서 이전하지 않고 행사할 수 있는지 여부를 확인해야 합니다.

원칙 4：암호 자산 수탁 규칙은 최적의 실행을 달성하기 위해 유연성을 가져야 한다

RIAs는 자산 거래에 대한 최적의 실행 의무를 가지고 있습니다. 이를 위해 RIAs는 자산의 최적 실행을 보장하기 위해 암호 거래 플랫폼으로 자산을 이전할 수 있으며, 자산이나 수탁인의 상태와 관계없이, RIAs가 거래소의 안전성을 보장하기 위해 필요한 조치를 취했거나, RIAs가 암호 시장 구조 법안이 최종 확정된 후 암호 자산을 해당 법안의 규제를 받는 개체로 이전했을 경우에 해당합니다.

RIAs가 암호 자산을 거래소로 이전하여 최적의 실행을 달성하는 것이 현명하다고 판단하는 한, 이러한 이전은 수탁에서 벗어난 것으로 간주되어서는 안 됩니다. 이는 RIAs가 해당 장소가 최적의 실행을 달성하는 데 적합하다고 합리적으로 판단해야 함을 요구합니다. 거래가 해당 장소에서 적절하게 실행되지 않을 경우, 자산은 즉시 암호 자산 수탁인에게 반환되어야 합니다.

원칙 5：특정 상황에서는 RIAs가 자체 수탁을 할 수 있도록 허용해야 한다

제3자 수탁을 사용하는 것이 여전히 암호 자산의 주요 선택이어야 하지만, 다음과 같은 경우에는 RIAs가 암호 자산을 자체 수탁할 수 있도록 허용해야 합니다:

• RIAs가 필요한 보호 조치를 충족할 수 있는 제3자 수탁인을 찾을 수 없다고 판단할 경우;

• RIAs의 자체 수탁 방식이 최소한 이용 가능한 제3자 수탁인의 보호 조치만큼 효과적일 경우;

• 자체 수탁이 암호 자산과 관련된 경제적 또는 거버넌스 권리를 행사하는 데 필요할 경우.

RIAs가 이러한 이유로 암호 자산을 자체 수탁하기로 결정할 경우, RIAs는 매년 자체 수탁의 정당성을 확인하고, 고객에게 자체 수탁 상황을 공개하며, 이러한 암호 자산이 수탁 규칙의 감사 요구를 받도록 해야 합니다.

이러한 원칙에 기반한 암호 자산 수탁 방법은 RIAs가 수탁 책임을 이행하면서 암호 자산의 독특한 특성에 적응할 수 있도록 보장합니다. 실질적인 보호에 초점을 맞추고 경직된 분류를 피함으로써, 이러한 원칙은 고객 자산 보호 및 자산 기능 잠금 해제를 위한 실용적인 경로를 제공합니다. 규제 환경이 진화함에 따라, 이러한 보호 조치에 기반한 명확한 기준은 RIAs가 책임감 있게 암호 자산을 관리할 수 있도록 할 것입니다.