a16z: 토큰화된 자산 수탁의 5가지 원칙

저자: 스콧 워커, 케이트 델롤리오, 데이비드 스베르드로프 출처: a16zcrypto
번역: 굿오바, 골든파이낸스

투자 대상 암호화폐 자산에 투자하는 등록 투자 자문사(RIA)는 규제 명확성이 부족하고 실행 가능한 수탁 옵션이 제한되어 있다는 두 가지 딜레마에 직면해 있습니다. 더 복잡한 문제는 암호화폐 자산은 과거에 RIA가 책임졌던 것과는 다른 소유권 및 이전 위험을 수반하며, 운영, 규정 준수, 법률 등 RIA의 내부 팀은 기대에 부응하는 제3자 커스터디 업체를 찾는 데 많은 노력을 기울여 왔습니다. 그럼에도 불구하고 RIA는 수탁사를 아예 찾지 못하거나 자산의 완전한 경제 및 거버넌스 권리를 실현할 수 있는 수탁사를 찾지 못해 RIA가 직접 자산을 보유하게 되는 경우도 있습니다. 결과적으로 현재 암호화폐 커스터디 공간의 현실은 상당한 법적, 운영적 위험과 불확실성을 내포하고 있습니다.

업계는 고객을 대신해 암호화폐 자산을 수탁하는 전문 투자자에게 서비스를 제공하기 위해 이 중요한 문제를 해결하기 위한 원칙에 기반한 접근 방식이 필요합니다. 최근 미국 증권거래위원회(SEC)의 정보 요청에 따라, 저희는 보안, 정기적인 공개, 독립적인 검증 등 투자자문업법 수탁 규칙의 목표를 새로운 토큰 자산 클래스로 확장할 수 있는 원칙을 개발했으며, 이 원칙이 시행될 경우 새로운 토큰 자산 클래스에도 적용될 수 있습니다. 새로운 토큰 자산 클래스에 적용될 수 있습니다.

암호자산: 차이점

전통 자산의 보유자 통제는 다른 누구도 통제할 수 없음을 의미합니다. 하지만 암호화 자산은 그렇지 않습니다. 여러 주체가 일련의 암호화 자산과 관련된 개인 키 액세스 권한을 가질 수 있으며, 계약상의 권리에 관계없이 여러 사람이 해당 암호화 자산을 전송할 수 있습니다.

암호자산에는 일반적으로 자산의 근간이 되는 다양한 고유한 경제적 권리 및 거버넌스 권리도 함께 제공됩니다. 전통적인 부채 또는 지분 증권은 "수동적으로"(즉, 보유자가 자산을 양도하거나 자산 취득 후 추가 조치를 취할 필요가 없음) 소득(예: 배당금 또는 이자)을 얻을 수 있습니다. 이와 반대로, 암호화폐 자산 보유자는 자산과 관련된 특정 수입원 또는 거버넌스 권한을 잠금 해제하기 위해 조치를 취해야 할 수도 있습니다. 제3자 수탁자의 능력에 따라 RIA는 해당 권리를 잠금 해제하기 위해 해당 자산을 일시적으로 수탁에서 제거해야 할 수도 있습니다. 예를 들어, 특정 암호화폐 자산은 서약이나 수익 농사를 통해 수익을 얻거나 계약 또는 네트워크 업그레이드를 위한 거버넌스 제안에서 투표권을 가질 수 있습니다. 이러한 기존 자산과의 차이점은 암호화폐 자산 에스크로링에 새로운 과제를 안겨줍니다.

자체 호스팅이 적절한 시기를 추적하기 위해 다음과 같은 순서도를 개발했습니다.

원칙

여기에서 제안하는 원칙은 고객 자산 보호에 대한 책임을 유지하면서 커스터디에 대한 RIA의 접근 방식을 이해하기 쉽게 설명하기 위한 것입니다. 현재 암호화폐 자산을 전문으로 하는 유자격 수탁업체(예: 은행 또는 브로커딜러)의 시장은 매우 취약하므로, 저희는 투자 자문업법에 따른 유자격 수탁업체로서의 자격뿐만 아니라 암호화폐 자산의 수탁에 필요한 실질적인 보호를 충족하는 수탁업체의 능력에 초점을 맞추고 있습니다. 법적 지위.

이러한 실질적 보호를 충족하는 제3자 수탁 솔루션을 이용할 수 없거나 해당 솔루션이 경제 및 거버넌스 권리를 지원하지 않는 경우, 실질적 보호를 충족할 수 있는 RIA가 자체 수탁을 고려하는 것도 권장합니다.

당사는 에스크로 규정의 범위를 유가증권 이상으로 확대하지 않습니다. 이러한 원칙은 유가증권인 암호화폐 자산에 적용되며 다른 자산 유형에 대한 RIA의 신탁 의무를 이행하기 위한 명확한 기준을 제시합니다. RIA는 유가증권이 아닌 암호화폐 자산을 유사한 조건으로 유지하기 위해 노력해야 하며 자산 유형에 따라 신탁 관행에 상당한 차이가 있는 이유를 포함해 모든 자산에 대한 신탁 관행을 문서화해야 합니다.

원칙 1: 법적 지위가 암호화폐 수탁자의 자격을 결정해서는 안 됨

법적 지위와 특정 법적 지위와 관련된 보호는 수탁자의 고객들에게 중요합니다. 중요하지만 암호화폐 자산 수탁에 있어서 전부는 아닙니다. 예를 들어, 연방 공인 은행과 브로커 딜러는 고객에게 중요한 보호를 제공하는 수탁 법령의 적용을 받지만, 주정부 공인 신탁 회사 및 기타 제3자 수탁자도 비슷한 수준의 보호를 제공할 수 있습니다(원칙 2에서 자세히 설명합니다).

수탁업체의 등록 여부가 암호화폐 자산 증권을 수탁할 자격을 결정하는 유일한 기준이 되어서는 안 됩니다. 수탁 규칙의 "적격 수탁자" 범주는 암호화폐 영역에서 다음을 포함하도록 확장되어야 합니다.

• 국가 공인 신탁(국가가 지정한 신탁으로 투자 자문업법에 따른 "은행"의 정의 기준을 충족할 필요는 없으며, 은행에 대한 규제 권한을 가진 주 또는 연방 기관의 감독 및 검사만 받는 것을 의미함).

• (제안된) 연방 암호화폐 시장 구조 법안에 따라 등록된 모든 법인.

• 등록 여부와 관계없이 고객 보호를 위한 엄격한 기준을 충족한다는 것을 입증할 수 있는 기타 모든 법인.

원칙 2: 암호화폐 수탁업체는 적절한 보호 조치를 수립해야 합니다

사용하는 특정 기술 도구가 무엇이든, 암호화폐 수탁업체는 는 암호화폐 자산의 보관과 관련하여 특정 보호 조치를 취해야 합니다. 여기에는 다음이 포함됩니다.

• 권한 분리: 암호화폐 수탁자는 RIA의 협력(예: 거래 서명 및/또는 장치 기반 인증) 없이는 암호화폐 자산을 에스크로 외부로 이전할 수 없습니다. 암호화 자산을 에스크로 밖으로 전송할 수 없습니다.

• 권한 분리: 암호화폐 수탁자는 RIA를 위해 보유한 자산을 다른 법인을 위해 보유한 자산과 혼동해서는 안 됩니다. 그러나 등록 브로커-딜러는 해당 자산의 소유권에 대한 최신 기록을 항상 유지하고 그러한 혼동 사실을 관련 RIA에 즉시 공개하는 경우 단일 통합 월렛을 사용할 수 있습니다.

• 호스팅 하드웨어의 출처: 암호화폐 수탁자는 보안 위험이나 침해 위험을 높이는 호스팅 하드웨어 또는 기타 도구를 사용해서는 안 됩니다.

• 감사: 암호화폐 수탁자는 적어도 매년 재무 관리 및 기술 감사를 받아야 합니다. 이러한 감사에는 다음이 포함됩니다.

• ISO 27001 인증;

< li>

침투 테스트("펜 테스트"); 및

• 재해 복구 절차 및 비즈니스 연속성 계획 테스트.

• 서비스 조직 통제(SOC) 1 감사;

• SOC 2 감사; 및

• 보유자 관점에서의 암호화 자산의 인식, 측정 및 표시;

• 미국 상장회사 회계감독위원회(PCAOB)에 등록된 감사인이 수행하는 재무 통제 감사 :

• 기술 감사:

• 보험: 암호화 수탁자는 적절한 보험("우산" 보험 포함)에 가입해야 합니다. " 보험)에 가입하거나, 가입할 수 없는 경우 충분한 준비금을 쌓거나 두 가지를 조합하여 선택해야 합니다.

• 공시: 암호화폐 수탁자는 암호화폐 자산의 수탁과 관련된 주요 위험 목록과 해당 위험을 완화하기 위한 관련 서면 감독 절차 및 내부 통제 사항을 매년 RIA에 제공해야 합니다. 암호화폐 수탁기관은 분기별로 이를 평가하고 업데이트된 공시가 필요한지 여부를 결정합니다.

• 보관 장소: 암호화폐 수탁자는 현지 법률에 따라 수탁자의 파산 시 해당 수탁 자산이 재산의 일부가 되도록 규정된 장소에서는 암호화폐 자산을 보관해서는 안 됩니다.

또한, 암호화폐 수탁자는 다음과 관련된 각 단계의 절차에서 보호 조치를 시행할 것을 권장합니다.

• 준비 단계: 키 생성 프로세스 및 거래 서명 절차, 오픈 소스 지갑 또는 소프트웨어의 지원 여부, 키 관리 프로세스에 사용되는 각 하드웨어 및 소프트웨어의 출처 등 호스팅할 암호화폐 자산을 검토하고 평가합니다.

• 키 생성: 이 프로세스의 모든 단계에서는 암호화를 사용해야 하며, 하나 이상의 개인 키를 생성하려면 여러 개의 암호화 키가 필요합니다. 키 생성 프로세스는 "수평적"(즉, 동일한 수준의 여러 암호화 키 보유자) 및 "수직적"(즉, 여러 암호화 수준)이어야 합니다. 마지막으로, 중재 요건은 간섭을 방지하기 위해 보호 및 모니터링되는 인증자의 물리적 존재를 요구해야 합니다.

• 키 저장: 키는 절대로 일반 텍스트로 저장해서는 안 되며, 암호화된 형태로만 저장해야 합니다. 키는 지리적 위치 또는 서로 다른 접근 권한을 가진 개인별로 물리적으로 분리해야 합니다. 하드웨어 보안 모듈(또는 이와 유사한 것)을 사용하여 키 사본을 보관하는 경우에는 미국 연방 정보 처리 표준("FIPS") 보안 등급을 준수해야 합니다. 공극 격리를 보장하기 위해 엄격한 물리적 분리 및 승인 조치를 취해야 합니다. (샘플 조치는 전체 답변 참조). 암호화 관리자는 자연재해, 정전 또는 재산 피해 발생 시에도 운영을 유지할 수 있도록 최소 2중 암호화 계층의 이중화를 유지해야 합니다.

• 키 사용법: 지갑은 인증을 요구해야 하며, 즉 사용자가 본인이 맞는지, 권한이 있는 당사자만 지갑의 콘텐츠에 접근할 수 있는지 확인해야 합니다. (인증의 예시 양식은 전체 답변을 참조하세요). 지갑은 검증된 오픈 소스 암호화 라이브러리를 사용해야 합니다. 또 다른 모범 사례는 하나의 키를 여러 용도로 사용하지 않는 것입니다. 예를 들어 암호화와 서명은 서로 다른 키를 사용해야 합니다. 이는 침입 시 최소 권한 원칙에 따른 것으로, 자산, 정보 또는 운영에 대한 접근 권한은 시스템 작동에 꼭 필요한 당사자 또는 코드로 제한되어야 한다는 의미입니다.

원칙 3: 암호화 에스크로 규칙은 RIA가 암호화 자산 에스크로와 관련된 경제적 또는 거버넌스 권리를 행사할 수 있어야 합니다

고객이 달리 지시하지 않는 한 RIA는 자산 보호를 위해 암호화 에스크로를 사용할 수 있어야 합니다. 고객이 달리 지시하지 않는 한, RIA는 보관 중인 암호화 자산과 관련하여 경제적 또는 거버넌스 권한을 행사할 수 있어야 합니다. 이전 SEC 관리 하에서 많은 RIA는 토큰 분류의 불확실성을 고려하여 모든 암호화폐 자산을 적격 수탁자에게 에스크로에 보관하는 보수적인 전략을 채택했습니다(적격 수탁자가 없는 경우 제외). 앞서 언급했듯이 이용 가능한 수탁업체 시장이 제한되어 있어 특정 자산을 수탁할 자격을 갖춘 수탁업체가 한 곳만 있는 경우가 많습니다.

이 경우 RIA는 경제적 또는 거버넌스 권한을 행사할 수 있도록 요청할 수 있지만 암호화폐 수탁기관은 내부 자원이나 기타 요인에 따라 이러한 권한을 제공하지 않을 수 있습니다. 결과적으로 RIA는 이러한 권리를 행사하기 위해 다른 제3자 수탁자를 선택하거나 자체 수탁에 참여할 권리가 없다고 생각합니다. 이러한 경제 및 거버넌스 권한의 예로는 담보, 수익 파밍 또는 투표 등이 있습니다.

이 원칙에 따라, 당사는 RIA가 수탁 암호화폐 자산과 관련된 경제적 또는 거버넌스 권리를 행사할 수 있도록 관련 보호를 충족하는 제3자 암호화폐 수탁업체를 선택해야 한다고 생각합니다. 제3자가 두 가지 요건을 모두 충족할 수 없는 경우, 자산이 비수탁 프로토콜이나 스마트 컨트랙트에 배포되더라도 경제적 또는 거버넌스 권리를 행사하기 위해 RIA가 일시적으로 자산을 자기 수탁으로 이전하는 것은 수탁을 벗어난 이전으로 간주해서는 안 됩니다.

모든 제3자 수탁자는 자산이 수탁자에게 남아 있는 동안 이러한 권리를 행사할 수 있는 능력을 RIA에 제공하기 위해 최선을 다해야 하며, 체인 상의 자산과 관련된 권리를 집행하는 데 필요할 수 있는 상업적으로 합리적인 조치를 RIA의 승인 하에 취할 수 있도록 허용해야 합니다. 여기에는 해당 자산과 관련된 모든 권리를 집행하기 위해 암호화 자산을 RIA의 지갑에 명시적으로 위임할 수 있는 권한이 포함됩니다.

해당 자산과 관련된 권리를 행사하기 위해 에스크로에서 암호화 자산을 제거하기 전에, 경우에 따라 RIA 또는 수탁자는 먼저 해당 자산을 에스크로에서 제거하지 않고 해당 권리를 행사할 수 있는지 여부를 서면으로 합리적으로 결정해야 합니다.

원칙 4: 암호화폐 에스크로 규정은 최선의 실행을 위해 유연해야 합니다

RIA는 거래 자산에 대해 최선의 실행 의무가 있습니다. 이를 위해 자산 또는 수탁자의 지위와 관계없이 RIA는 거래소의 탄력성과 보안을 보장하는 데 필요한 조치를 취했거나 관련 법안이 확정된 후 암호화폐 시장 구조 법안에 따라 규제되는 기관에 암호화폐 자산을 이전한 경우 해당 자산의 최적 체결을 보장하기 위해 암호화폐 거래 플랫폼으로 자산을 이전할 수 있습니다.

암호자산을 거래 장소로 이전하는 것이 최상의 체결을 위해 바람직하다고 RIA가 판단하는 경우, 해당 장소로 암호화폐 자산을 이전하는 것은 위탁 철회로 간주되지 않습니다. 이를 위해서는 RIA가 해당 거래소가 최상의 체결을 위해 적합하다는 합리적인 판단을 내려야 합니다. 해당 장소에서 거래가 제대로 실행될 수 없는 경우, 자산은 즉시 에스크로를 위해 암호화폐 수탁자에게 반환되어야 합니다.

원칙 5: 특정 상황에서는 RIA의 자체 수탁이 허용되어야 합니다

제3자 수탁업체를 이용하는 것이 암호화폐 자산의 기본 옵션으로 유지되어야 하지만, 다음과 같은 상황에서는 RIA의 자체 수탁이 허용되어야 합니다.

• RIA가 암호화폐 자산을 호스팅할 수 있는 제3자 수탁업체가 없다고 판단하는 경우: RIA가 암호화폐 자산을 자체 호스팅하는 것이 허용되어야 합니다.

• RIA의 자체 수탁 계약이 최소한 합리적으로 이용 가능한 제3자 수탁자가 암호화 자산에 제공하는 보호 수준과 비슷합니다.

• 자체 수탁은 해당 암호화 자산과 관련된 모든 경제적 또는 거버넌스 권리를 최적으로 행사하기 위해 필요합니다.

앞의 이유 중 하나로 인해 암호화 자산을 자체 호스팅하기로 결정한 경우, RIA는 매년 자체 호스팅을 정당화하는 상황이 변하지 않았음을 확인하고, 고객에게 자체 호스팅을 공개하고, 해당 암호화 자산이 커스터디 규칙의 감사 요건을 준수하도록 해야 하며, 감사인은 다음을 수행할 수 있습니다. 해당 자산이 RIA의 다른 자산과 분리되어 적절히 보호되고 있는지 확인합니다.

암호자산 수탁에 대한 원칙 기반 접근 방식은 RIA가 암호화폐 자산의 고유한 특성을 수용하면서 수탁 의무를 이행할 수 있도록 보장합니다. 이러한 원칙은 엄격한 분류보다는 실질적인 보호에 중점을 두어 고객 자산을 보호하고 자산 기능을 활용할 수 있는 실용적인 경로를 제공합니다. 규제 환경이 진화함에 따라 이러한 보호 원칙에 기반한 명확한 표준을 통해 RIA는 책임감 있게 암호화폐 투자를 관리할 수 있을 것입니다.