유럽의 암호화폐 산업은 이제까지 중 가장 엄격한 운영 스트레스 테스트에 직면하려 하고 있습니다. 2026년 7월 8일, 유럽 증권시장감독청(ESMA)은 암호화폐 수탁 업무를 겨냥한 공동 감독 조치(Common Supervisory Action)를 시작했습니다. 수탁은 기업이 고객 자산을 보호하는 방식의 핵심 기능으로, 이는 ESMA의 암호화폐 수탁 검토가 규제 이론 단계에서 실제 집행 단계로 결정적으로 전환되었음을 의미합니다.
Summary
핵심 요약
- ESMA는 2026년 7월 8일 암호화폐 수탁 서비스를 대상으로 하는 공동 감독 조치를 개시하여, EU 전역에서 해당 서비스에 직접적인 감독을 가하고 있습니다.
- 이번 검토는 2026년 하반기부터 2027년 상반기까지 진행되며, 통합 보고서는 2027년 하반기에 발표될 예정입니다.
- 각국 감독 당국은 현재 MiCA에 따라 등록된 280개 인가 제공업자 중 일부를 대상으로 위험 기반 검토를 수행합니다.
- 리플(Ripple)은 2026년 7월 6일 룩셈부르크 CSSF로부터 완전한 CASP 인가를 받아, 30개국으로 구성된 유럽경제지역(EEA) 전역에서 영업할 수 있게 되었습니다.
- 스페인 CNMV는 무허가 암호화폐 플랫폼에 대한 기한 연장을 인정하지 않겠다고 확인하며, 역내 전반에서 집행 기조가 강화되고 있음을 시사했습니다.
MiCA 하에서 ESMA, 암호화폐 수탁에 대한 공동 감독 조치 개시
시점은 의도적입니다. MiCA의 전환 기간이 종료되었고, 인가 제공업자 등록부는 280개 업체로 늘어났습니다. 이제 ESMA는 이러한 인가를 획득한 기업들이 실제로 그 인가가 전제하는 운영 통제 장치를 구축했는지 확인하고자 합니다. 수탁 검토는 바로 그 검증 작업으로, 구조화되고 조정된 방식으로 진행되며, 개별 국가 단위의 단편적인 스냅샷이 아니라 EU 차원의 결과를 도출하도록 설계되었습니다.
이번 조치를 의미 있게 만드는 것은 범위뿐 아니라 의도입니다. ESMA는 이를 디지털 운영 회복력과 암호화폐 서비스 제공업자를 자체 위험 기반 감독 의제의 쌍둥이 우선순위로 명시적으로 규정한 데 대한 대응으로 제시했습니다. 규제 당국은 특정 실패 사례를 조사하는 것이 아니라, 이제 막 전면적인 감독 대상이 된 전체 규제 부문을 선제적으로 점검하는 것입니다.
수탁 검토의 범위와 초점
공동 감독 조치는 실제로 수탁 리스크가 존재하는 기술 및 거버넌스 계층에 초점을 맞춥니다. 검토 범위에는 거버넌스 체계, 키 및 저장 관리, 거래 통제, 사고 탐지 및 대응, 스마트 컨트랙트 리스크, 제3자 제공업자에 대한 의존도가 포함됩니다. 이들 각 영역은 수탁 기관이 고객을 대신해 암호화폐 자산을 보유·이동·보호하는 방식과 직접적으로 연결됩니다.
개인 키가 어떻게 생성·저장·보호되는지를 의미하는 키 관리만 놓고 보더라도, 전체 암호화폐 기술 스택에서 가장 중대한 운영 리스크 중 하나를 구성합니다. 이 영역에서의 거버넌스 실패는 추상적인 컴플라이언스 문제가 아니라, 고객 자금 손실로 이어질 수 있는 잠재적 위험입니다. ESMA가 이러한 통제 장치를 구조화된 검토 대상에 포함시키기로 한 결정은, 이전의 보다 일반적인 규제 프레임워크와 달리, 규제 당국이 암호화폐 리스크의 기술적 특수성을 이해하고 있음을 보여줍니다.
제3자 의존도 역시 중요한 초점 영역입니다. 많은 수탁 기관은 핵심 수탁 인프라를 위해 외부 기술 제공업자에 의존하며, 이러한 아웃소싱 체인은 인가받은 회사의 직접적인 통제 범위를 벗어난 취약성을 초래할 수 있습니다. 이를 검토 범위에 포함시키는 것은, 그렇지 않을 경우 규제의 사각지대가 될 수 있는 부분을 메우는 조치입니다.
일정 및 보고 계획
이번 검토는 2026년 하반기부터 2027년 상반기까지 진행됩니다. 이후 통합 보고서는 2027년 하반기에 ESMA 감독위원회(Board of Supervisors)에 제출됩니다. 이러한 순서는 중요합니다. 검토 결과는 EU 차원의 감독 수렴(supervisory convergence)에 반영되어, 한 회원국에서 인가를 받은 수탁 기관이 다른 회원국에서 인가를 받은 기관과 동일한 수준의 회복력 기준을 적용받도록 하는 데 기여할 것입니다.
각국 규제 당국의 위험 기반 감독 및 MiCA 집행 동향
각국 감독 당국은 자국 관할 내에서 검토를 수행하며, 전체 인가업자 집단이 아닌 위험 기반 표본을 대상으로 합니다. 이러한 설계는 실질적인 감독 권한을 회원국 규제 당국에 유지시키면서도, 결과를 EU 차원으로 환류시키는 구조로, 애초부터 MiCA 도입을 특징지어 온 분담형 책임 구조와 동일합니다.
검토에서 각국 감독 당국의 역할
등록된 모든 회사를 대상으로 하기보다 위험 기반 표본에 감독 역량을 집중하는 것은 실무적이면서도 전략적인 선택입니다. 이를 통해 각국 규제 당국은 회복력 격차가 가장 큰 피해를 초래할 수 있는 영역에 자원을 집중할 수 있고, 공통된 방법론을 통해 산출된 데이터는 국경을 넘어 비교 가능해집니다. 이러한 비교 가능성이 있어야만, ESMA가 사실상 30개 이상의 개별 국가 단위 점검 결과로부터 신뢰할 수 있는 EU 전체의 그림을 그릴 수 있습니다.
이번 조치는 MiCA 집행이 눈에 띄게 강화되는 시점에 이루어졌습니다. 스페인 CNMV는 무허가 암호화폐 플랫폼에 대한 기한 연장 가능성을 일축했으며, 카를로스 산 바실리오 의장은 기한에 예외가 없을 것임을 분명히 했습니다. 이러한 입장과 ESMA의 수탁 검토가 결합되면서, 규제 당국들이 같은 방향으로 동시에 움직이고 있음을 보여줍니다. 이는 우연한 공조가 아니라, 애초부터 수렴된 결과를 도출하도록 설계된 프레임워크의 예측 가능한 귀결입니다.
인가된 암호화폐 서비스 제공업자의 현재 현황
MiCA 등록부는 전환 기간 이후 243개에서 280개 인가 제공업자로 확대되었으며, 다양한 수탁 기관, 거래소, 토큰 발행사를 단일 EU 감독 구조 아래로 포괄하고 있습니다. 스탠다드차타드(Standard Chartered), 팔콘엑스(FalconX), 시그넘 유럽(Sygnum Europe)이 새로 등재된 업체에 포함되며, 키프로스는 최근 승인된 6건의 신규 인가로 최신 승인 물량을 주도하고 있습니다.
가장 영향력 있는 개별 인가 중 하나는 ESMA 발표 이틀 전에 나왔습니다. 리플은 2026년 7월 6일 룩셈부르크 CSSF로부터 완전한 CASP 인가를 획득해, 30개국으로 구성된 유럽경제지역 전체에서 영업할 수 있게 되었습니다. 리플 규모의 기업에게 이 인가는 단순한 컴플라이언스 체크리스트 항목이 아니라, 세계 최대 단일 규제 암호화폐 시장으로 진입할 수 있는 여권과도 같습니다.
수탁 검토는, 기업들이 국가별 전환 등록에서 공동 EU 등록부로 이동한 이후 ESMA가 회복력 통제를 구조적으로 파악하는 첫 기회입니다. 이제 MiCA 규제 범위 안에 들어온 280개 인가 제공업자에게 남은 질문은 더 이상 “규제를 받는가”가 아닙니다. “수탁 운영의 실제 모습이 그 인가가 전제하는 기준과 실제로 부합하는가”입니다.
FAQ
ESMA의 암호화폐 수탁 검토는 무엇에 초점을 두고 있나요?
이번 검토는 인가된 암호화폐 서비스 제공업자의 디지털 운영 회복력을 평가하는 데 초점을 두고 있으며, 그 중심에는 수탁 서비스가 있습니다. 검토 범위에는 거버넌스 체계, 키 및 저장 관리, 거래 통제, 사고 탐지 및 대응, 스마트 컨트랙트 리스크, 제3자 제공업자에 대한 의존도가 포함됩니다.
각 EU 회원국에서 수탁 검토를 수행하는 책임 기관은 누구인가요?
각국 감독 당국이 자국 관할 내 인가된 암호화폐 서비스 제공업자를 대상으로 위험 기반 검토를 수행하며, ESMA가 조정하는 공통 방법론에 따라 작업합니다.
MiCA 하에서 몇 개의 인가된 암호화폐 서비스 제공업자가 등록되어 있나요?
전환 기간 이후 MiCA 등록부에는 280개의 인가된 암호화폐 서비스 제공업자가 포함되어 있으며, EU 전역의 수탁 기관, 거래소, 토큰 발행사를 포괄합니다.
MiCA 집행 하에서 리플은 영업 인가를 받았나요?
예. 리플은 2026년 7월 6일 룩셈부르크 CSSF로부터 완전한 CASP 인가를 받아, 30개국으로 구성된 유럽경제지역 전역에서 영업할 수 있게 되었습니다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ESMA의 암호화폐 수탁 검토는 무엇에 초점을 두고 있나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”이번 검토는 인가된 암호화폐 서비스 제공업자의 디지털 운영 회복력을 평가하는 데 초점을 두고 있으며, 그 중심에는 수탁 서비스가 있습니다. 검토 범위에는 거버넌스 체계, 키 및 저장 관리, 거래 통제, 사고 탐지 및 대응, 스마트 컨트랙트 리스크, 제3자 제공업자에 대한 의존도가 포함됩니다.”}},{“@type”:”Question”,”name”:”각 EU 회원국에서 수탁 검토를 수행하는 책임 기관은 누구인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”각국 감독 당국이 자국 관할 내 인가된 암호화폐 서비스 제공업자를 대상으로 위험 기반 검토를 수행하며, ESMA가 조정하는 공통 방법론에 따라 작업합니다.”}},{“@type”:”Question”,”name”:”MiCA 하에서 몇 개의 인가된 암호화폐 서비스 제공업자가 등록되어 있나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”전환 기간 이후 MiCA 등록부에는 280개의 인가된 암호화폐 서비스 제공업자가 포함되어 있으며, EU 전역의 수탁 기관, 거래소, 토큰 발행사를 포괄합니다.”}},{“@type”:”Question”,”name”:”MiCA 집행 하에서 리플은 영업 인가를 받았나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”예. 리플은 2026년 7월 6일 룩셈부르크 CSSF로부터 완전한 CASP 인가를 받아, 30개국으로 구성된 유럽경제지역 전역에서 영업할 수 있게 되었습니다.”}}]}
이 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.

