호랑이 연구: AI 지능체도 신분증을 확인해야 한다

이 보고서는 Tiger Research가 작성했습니다. AI 지능체는 이제 스스로 계약을 체결하고, 스스로 결제하며, 스스로 거래를 할 수 있습니다. 하지만 해결되지 않은 문제가 있습니다: 상대방 지능체가 도대체 누구인지 어떻게 알 수 있을까요? 이 글에서는 KYA 표준 논쟁에서 네 명의 플레이어가 각기 다른 접근 방식을 취한 것과 규제가 어느 단계에 이르렀는지를 정리합니다.

핵심 요점

1. AI 지능체는 자율적으로 계약을 실행하고, 결제하며, 거래하는 시대에 접어들었지만, 시장에는 신원을 검증할 통일된 기준이 없습니다. A2A(지능체 대 지능체) 환경에서는 KYA가 KYC보다 더 주목받기 시작했습니다.
2. KYA는 모든 곳에서 필요하지 않습니다. Google, OpenAI, Coinbase와 같은 중앙화된 플랫폼 내부에서는 기존의 KYC로 충분합니다. 진정으로 KYA가 필요한 것은 독립적으로 배치된 지능체가 DEX, A2A 결제, 상인 결제에 접속할 때입니다.
3. 표준 논쟁이 이미 시작되었습니다. ERC-8004, Visa TAP, Trulioo, Sumsub은 각각 체인, 결제 네트워크, 규제 인증, 위험 탐지의 네 가지 방향에서 접근하고 있으며, 경로는 완전히 다릅니다.
4. 규제가 이미 움직이고 있습니다. 유럽연합 AI 법안, 미국 NIST, 싱가포르 국가적 프레임워크는 모두 지능체 신원 관리를 우선 사항으로 삼고 있습니다. 2019년 FATF 여행 규칙은 어떤 암호화 거래소가 살아남을지를 결정했으며, KYA는 이번에 높은 확률로 같은 시나리오가 반복될 것입니다.

1. 왜 지금인가

KYC가 금융의 그 층을 재구성하다

1989년 이전, 전 세계 금융에는 통일된 신원 기준이 없었습니다. 이 공백은 불법 자금과 돈세탁을 추적하기 어렵게 만들었습니다. 그 해 FATF가 설립되면서 KYC는 금융업계의 강제 요구사항이 되었고, 불법 자금을 차단했습니다.

그 후 30년 동안 KYC의 영향은 점차 확장되었습니다. 2001년 9.11 이후 반테러 자금 조달 조항이 추가되면서, 미국의 '애국자법'은 KYC를 법적 의무로 격상시켰습니다. 2010년대 유럽연합 AMLD, 바젤 협정 III, FATCA가 잇따라 시행되면서, 국경 간 KYC 정보가 자동으로 교환되기 시작했습니다. 2019년 FATF 여행 규칙은 KYC를 가상 자산 서비스 제공업체에까지 확장했습니다.

매번의 확장은 공백을 메우는 것입니다.

지능체 신원이 없으면 시스템은 후퇴한다

현재로 돌아가 봅시다. AI 지능체는 인간의 감시 없이도 스스로 계약을 체결하고, 결제하며, 거래를 할 수 있습니다. 하지만 아무도 그것이 누구인지 검증할 수 없습니다.

A2A 환경에서는 책임 소재가 불분명합니다. 문제가 발생했을 때 누가 책임을 질지 아무도 확실히 말할 수 없습니다. 사용자도 쉽게 돈세탁과 다양한 사기에 휘말릴 수 있습니다.

1989년 이전의 금융과 2026년의 지능체 시장을 나란히 놓고 보면, 구조가 놀라울 정도로 유사합니다. 당시에는 익명 계좌가 국경을 넘어 흐르고, 오늘날에는 검증되지 않은 지능체가 A2A 거래를 하고 있습니다. 당시에는 각 은행이 책임을 검증했지만, 오늘날에는 각 플랫폼이 책임을 지고 있습니다. 공통 기준이 없습니다.

이러한 유사성은 우연이 아니라 규칙입니다. 기술이 먼저 나왔지만, 신원 층은 따라오지 못했습니다.

KYA란 무엇인가

KYA(지능체를 알아라)는 신뢰 메커니즘의 한 층으로, 지능체의 출처, 권한 및 책임 소재를 사전에 검증합니다.

이 단계를 건너뛰면 세 가지 위험이 동시에 발생할 수 있습니다. 첫 번째는 권한 초과 거래입니다: 사용자가 결제만 허가했는데, 지능체가 자산을 이동시키거나 범위를 벗어난 계약을 체결하는 경우입니다. 두 번째는 신원 위조입니다: 악의적인 지능체가 합법적인 것처럼 가장하여 결제를 가로채고, 응답을 위조하며, 신뢰를 도용하는 경우입니다. 세 번째는 책임 공백입니다: 사건이 발생한 후, 지능체, 개발자, 위임자가 서로 책임을 전가하며, 보상을 추적할 수 없는 경우입니다.

KYA는 이 세 가지를 사전에 잠급니다. 권한 범위를 사전에 등록하고 검증하여, 권한 초과 행동을 즉시 차단합니다. 신원과 출처를 검증하여 합법적인 지능체만 들어오도록 합니다. 각 지능체의 출처와 위임자는 기록에 바인딩되어 있어, 사건 발생 시 추적할 수 있습니다.

2. KYA는 어디에서 작동해야 하는가

어디서나 필요한 것은 아니다

중앙화된 플랫폼 내부에서는 KYA가 그리 필요하지 않습니다. 사용자가 KYC를 수행하고, 플랫폼이 스스로 보증하기 때문에 전체 경로는 폐쇄 루프입니다.

KYA가 필요한 것은 플랫폼을 벗어난 개방 환경입니다. 지능체가 DEX에 연결하고, A2A 결제를 하며, 상인에게 결제할 때입니다. 이때는 아무도 보증하지 않으며, 아무도 대신 책임질 수 없습니다.

예를 들어, 한 국가 내부에서 이동할 때는 신분증(KYC)으로 충분합니다. 하지만 국경을 넘어가면(플랫폼을 벗어나면) 환경이 변하며, 입국 심사를 받아야 합니다(KYA), 목적과 신뢰도를 명확히 해야 합니다.

네 단계 프로세스

KYA의 작동은 네 단계로 나눌 수 있습니다. 처음 두 단계는 "여권 발급": 먼저 지능체의 신원과 권한을 등록하고, 검증 후 디지털 여권을 발급합니다. 다음 두 단계는 "입국 심사": 거래가 발생할 때 상대방의 신원을 확인하고, 거래 결과에 따라 기록을 업데이트합니다.

신원은 한 번 발급된다고 해서 영구적으로 유효한 것이 아니라, 매 거래마다 다시 확인해야 합니다.

3. 네 명의 플레이어가 표준을 쟁탈하고 있다

표준 논쟁에는 현재 네 명의 플레이어가 있으며, 경로는 완전히 다릅니다.

ERC-8004: 신원을 NFT로 만들다

ERC-8004는 순수 체인 상의 경로를 따릅니다. ERC-721 위에 신원 층을 추가하여, 각 지능체가 고유 ID로서 NFT를 발급받습니다.

세 개의 체인 상 등록부가 지원됩니다. Identity는 "이 지능체가 누구인지"를 담당하며, ERC-721의 고유 AgentID를 기반으로 합니다. Reputation은 "이와 거래할 수 있는지"를 담당하며, 거래 완료 후 체인에 평가, 태그, 증거를 남깁니다. Validation은 "그것이 실제로 그 일을 했는지"를 담당하며, 제3자 검증자가 zkML, TEE 등의 플러그인을 통해 확인합니다.

이러한 구조는 이더리움 역사상 처음 나타나는 것이 아닙니다. ERC-20은 토큰 발행을 표준화하였고, USDT, USDC, UNI, AAVE가 그 위에서 성장했습니다. ERC-721은 NFT 발행을 표준화하였고, CryptoPunks, BAYC, ENS가 전체 NFT 시장을 지탱했습니다. ERC-8004가 맡아야 할 것은 동일한 위치의 세 번째 표준입니다.

Visa TAP: 결제 네트워크로 패키징하다

Visa의 접근 방식은 완전히 다릅니다. 그것은 지능체에 신원 증명서(Agent Intent)를 발급하며, 이는 카드에 해당합니다. 이 열쇠가 없으면 지능체는 거래를 시작할 수 없습니다. Visa는 사전에 승인을 한 후에만 열쇠를 발급하며, 각 거래는 상인에게 서명을 가져가야 합니다.

상인이 받는 것은 하나의 서명이 아니라 세 개입니다. Agent Intent는 지능체가 합법적임을 증명하며, VIC의 승인을 받은 키가 보증합니다. Consumer Recognition은 그것이 누구를 위해 일하는지를 설명하며, 사용자 식별자를 상인에게 전달합니다. Payment Information은 결제 보증을 제공하며, 결제 토큰이나 해시된 카드 정보를 사용하여 인증을 완료합니다.

Visa는 이 모든 것을 더 큰 패키지인 Visa Intelligent Commerce(VIC)에 포함시켰습니다. 그 안에는 TAP 외에도 Agent APIs(비자 카드 사용 시 실행되는 자체 기술), Tokenization(AI 전용 토큰), Intelligent Commerce Connect(AP2, ACP, x402 등 경쟁 프로토콜과 호환됨)가 포함되어 있습니다.

논리는 매우 명확합니다. Visa는 과거에 결제 네트워크의 진입점을 잡았고, 이제는 지능체 시대도 자신의 궤도로 패키징하고자 합니다. 만약 지능체 결제가 카드 네트워크를 계속 따라간다면, 이 패키지가 기본 옵션이 되어 Visa의 점유율이 안정될 것입니다.

Trulioo: SSL 방식을 가져오다

Trulioo는 전 세계 KYC, KYB 규제 분야의 플레이어로, 이제 검증 스택을 KYA로 확장했습니다.

그것은 웹사이트 SSL 인증서의 모델을 차용했습니다. SSL은 CA(인증 기관)가 웹사이트에 TLS 인증서를 발급하여 도메인만 검증합니다. Trulioo가 제안한 DPA(디지털 여권 기관)는 지능체에 DAP(디지털 지능체 여권)를 발급하여 개발자 KYB와 사용자 KYC를 검증합니다.

DAP는 정적 인증서가 아닙니다. 그것은 매번 거래 시 재검증되는 활성 토큰입니다. 위임이 철회되거나 이상이 감지되면 DAP는 즉시 무효화됩니다.

다섯 개의 검사 지점이 있습니다: Provenance(어떤 개발자가 만들었는지), User Binding(누가 허가했는지), Permission Scope(무엇을 할 수 있는지), Behavior Telemetry(현재 무엇을 하고 있는지), Risk Scoring(위험 평가).

은행과 핀테크는 법적으로 사람과 회사의 신원을 검증해야 합니다. 지능체가 금융 분야에 진입하면, Trulioo의 KYC, KYB 위치가 오히려 더 안정적이 됩니다.

Sumsub: 이상 징후를 감시하고 증명서를 발급하지 않다

Sumsub의 접근 방식은 앞의 세 회사와 다릅니다. 그것은 표준이나 증명서를 발급하지 않고, 지능체가 이상 거래를 할 때 그 뒤에 있는 사람을 재검증합니다.

Sumsub는 2015년부터 규제 비즈니스를 하고 있으며, 그 검증 시스템은 현재 지능체의 이상 행동을 탐지하는 데 사용되고 있습니다. 프로세스는 세 단계로 나뉩니다. 먼저 자동화된 탐지를 수행하여 장치와 지능체의 특성을 통해 사람과 기계를 구분합니다. 다음으로 위험 점수를 매기며, 맥락, 금액, 역사 데이터를 결합하여 위험 점수를 제공합니다. 마지막으로 Liveness 검증을 수행하며, 이는 고위험, 대금액, 중요한 변경 시에만 시작되어 등록된 실제 인물을 재확인합니다.

Sumsub의 네 가지 특징은 다른 플레이어와 뚜렷한 대조를 이룹니다. 그것의 출발점은 표준 제정자가 아닌 규제 운영자입니다. 검증 시점은 위험 거래가 발생할 때이며, 사전 등록이 아닙니다. 검증 방법은 데이터나 토큰이 아닌 실제 인물의 재확인입니다. 철학은 지능체와 책임자를 묶는 것이지, 지능체를 직접 차단하는 것이 아닙니다.

다른 플레이어들은 사전 한 번의 신원 인증을 하고 있지만, Sumsub은 발급 이후의 실시간 검증을 수행합니다. 지능체의 권한이 확장될수록 이상 탐지가 더욱 중요해집니다. 사기 수법이 기술과 함께 발전하고 있으며, Sumsub의 실시간 스택은 주목할 만합니다.

4. 규제가 시행되기 전에

FATF 여행 규칙의 시나리오

2019년 FATF 여행 규칙이 발표되자, VASP 산업은 즉시 분열되었습니다. KYC, AML 인프라 비용을 감당할 수 있는 기업만 살아남았고, 감당할 수 없는 기업은 문을 닫거나 규제가 느슨한 곳으로 이전했습니다. CryptoBridge, Deribit은 그 파동 속에서 강제로 조정되었습니다.

규제는 끝이 아니라 분수령입니다.

KYA의 이번 시나리오도 비슷할 수 있습니다. 유럽연합, 싱가포르, 미국은 이미 선두 자리를 쟁탈하고 있습니다.

유럽연합 AI 법안 제12조는 고위험 AI 시스템의 행동 로그에 운영자의 신원이 포함되어야 한다고 명시하고 있습니다. 싱가포르는 세계 최초의 국가적 지능체 AI 거버넌스 프레임워크를 발표하여, 신원 관리를 지능체에까지 확장하고, 각 지능체가 책임을 질 수 있는 주체를 가져야 한다고 요구합니다. 미국 NIST는 지능체 신원 관리를 우선 표준 분야로 설정했습니다.

시간 창이 점점 좁아지고 있습니다.

단일 승자는 없을 것이다

표준 논쟁의 진정한 변수는 기술이 아니라 조합입니다. 주요 플레이어들은 이미 협력 및 조합 단계에 들어섰습니다. 앞으로 누가 어떤 상인, 결제 네트워크, KYC 고객군과 조합하느냐가 각 세분 시장의 소속을 결정합니다.

이 시장에는 단일 승자가 없을 것입니다.

체인 상 자율 거래 분야에서는 이더리움이 높은 확률로 선두를 차지할 것입니다. 결제와 결합된 거래 장면에서는 Visa의 우위가 뚜렷합니다. 규제를 받는 금융 산업에서는 Trulioo의 KYC, KYB 축적이 대체하기 어렵습니다. 사기 위험이 있는 거래 장면에서는 Sumsub의 실시간 탐지가 더 적합합니다.

네 회사는 직접적인 경쟁자가 아니며, 각자 한 구역을 차지하고 있습니다. 진정한 경쟁은 어떤 장면이 어느 구역에 포함되는가에서 발생합니다.

KYC는 1989년부터 오늘날까지 30년이 걸려 전 세계 금융의 신원 층을 보완했습니다.

KYA 이번 라운드는 훨씬 더 빠른 속도로 진행될 것으로 보입니다. 규제가 이미 움직이고 있으며, 표준 플레이어들이 이미 배치되어 있습니다. 대규모 배치의 시간 창은 아마도 앞으로 몇 년이 될 것입니다.

그때 살아남는 것은 반드시 기술이 가장 강한 것이 아니라, 신원 인프라가 가장 빨리 접속된 것입니다.