로그인/ 가입하기

홍콩 금융관리국의 디지털 자산 수탁 활동 가이드라인 한눈에 보기

2024/02/22 14:29

따르다

보웬 편집, 바이루 팔러

디지털 자산의 보안은 업계에서 가장 오랫동안 논의되어 온 주제 중 하나로, 점점 더 많은 전통적인 조직이 이 분야에 뛰어들면서 해커로 가득한 웹3의 세계에서 사용자의 디지털 자산을 안전하게 지키는 방법은 업계가 계속 확장함에 따라 반드시 해결해야 할 문제가 되었습니다.

2024년 미국 증권거래위원회는 비트코인 현물 ETF를 승인했고, 코인베이스는 이 중 8개 ETF 발행사의 비트코인 수탁기관이 되어 수익 성장을 크게 강화했습니다. <강력>디지털 자산 수탁은 더 이상 기술적인 문제가 아니라 강력한 조직에게 필수적인 비즈니스가 되었습니다. 홍콩이 미국을 빠르게 따라잡으려면 디지털 자산 커스터디 규제 개선에도 박차를 가해야 합니다.

2024년 2월 20일 홍콩 금융관리국(HKMA)은 디지털 자산 수탁 활동에 대한 가이드라인을 발표했으며, 여기에는 거버넌스와 리스크 관리, 고객의 디지털 자산 분리, 고객 디지털 자산 보호, 위임 및 아웃소싱 등 관련 기준이 나열되어 있습니다. <홍콩에서 디지털 자산 수탁 활동을 수행하는 조직과 그 자회사를 위한 지침을 제공합니다.

다음은 가이드라인의 원문 내용을 정리한 것입니다.

디지털 자산 수탁 서비스에 대해 승인 기관에 기대하는 표준에 대한 지침

이 지침은 고객을 대신하여 승인 기관(AI) 및 현지에 설립된 AI 자회사가 보유한 디지털 자산(즉, 주로 암호화 및 분산 원장 또는 유사한 기술에 의존하는 자산)에 적용되지만 특정 용도에 대해서는 다루지 않습니다. 자산), 그러나 특정 목적의 디지털 토큰은 제외됩니다. 예를 들어, 적용 대상 자산에는 가상 자산(VA), 토큰화된 증권 및 기타 토큰화된 자산이 포함됩니다. 이 지침은 고객을 대신하여 보유하지 않는 AI 또는 그룹사 자체 자산의 커스터디에는 적용되지 않습니다.

(가) 거버넌스 및 위험 관리

1. 인가된 기관은 디지털 자산 수탁 서비스를 시작하기 전에 관련 위험을 식별하고 이해하기 위해 종합적인 위험 평가를 수행해야 합니다. 인가된 기관은 해당 법률 및 규제 요건을 고려하여 식별된 위험을 관리하고 완화하기 위한 적절한 정책, 절차 및 통제를 수립해야 합니다. 기관의 이사회와 고위 경영진은 위험 관리 프로세스를 효과적으로 감독하여 디지털 자산 수탁 활동을 시작하기 전과 수탁 활동 수행 중에 수탁 활동과 관련된 위험을 식별, 평가, 관리 및 완화할 수 있도록 해야 합니다.

2. 승인된 기관은 적절한 거버넌스, 운영 및 효과적인 위험 관리를 보장하기 위해 필요한 인적 및 전문적 전문성을 포함하여 수탁 활동에 충분한 자원을 할당해야 합니다. 기관의 디지털 자산 수탁 활동 및 관련 통제 기능에 관여하는 고위 경영진과 직원은 책임을 다하는 데 필요한 지식, 기술, 전문성을 갖춰야 합니다.

3. 디지털 자산 분야의 급속한 발전을 고려할 때, 승인된 기관은 수탁 활동에 관여하는 고위 경영진과 직원들이 지속적인 운영 역량을 유지할 수 있도록 충분한 교육을 제공해야 합니다.

4. 승인된 기관은 명확한 서면 역할과 책임, 보고 라인을 포함하여 수탁 활동에 대한 적절한 책임 체계를 수립해야 합니다. 또한 기관 또는 그 관계자가 수행하는 여러 활동 간에 발생할 수 있는 잠재적 및/또는 실제 이해 상충을 인식, 관리 및 완화하기 위한 적절한 정책과 프로세스를 마련해야 합니다.

5. 승인된 기관은 수탁 활동의 업무 연속성을 보장하기 위해 효과적인 대기 및 재해 복구 계획을 수립하고 유지해야 합니다.

(나) 고객 디지털 자산의 분리

6. 승인된 기관은 기관의 파산 또는 해산 시 고객 디지털 자산이 기관 채권자의 청구로부터 보호될 수 있도록 기관 자체 자산과 분리된 고객 전용 계좌에 고객 디지털 자산을 보관해야 합니다.

7. 승인된 기관은 (i) 거래 정산 및/또는 고객이 기관에 지불해야 하는 수수료 및 요금, (ii) 다음과 같은 목적을 제외하고는 고객의 디지털 자산에 대한 권리, 이익, 소유권, 법적/수익적 소유권을 양도하거나 대여, 담보, 재가설 또는 담보권을 생성하지 않으며, 고객의 디지털 자산을 다른 방식으로 대여, 담보, 재가설하거나 담보권을 생성해서는 안 됩니다. 고객의 사전 명시적 서면 동의를 얻는 경우, 또는 (iii) 법률에서 요구하는 경우. 기관은 고객의 디지털 자산이 자신의 계정 또는 고객과 합의한 목적 이외의 용도로 사용되는 것을 방지하기 위해 적절하고 효과적인 조치를 취해야 합니다.

(다) 고객 디지털 자산의 보호

8. 승인된 기관은 고객 디지털 자산이 적시에 적절한 방식으로 회계 처리되고 적절히 보호될 수 있도록 적절한 시스템과 통제 장치를 마련해야 합니다. 특히, 기관은 도난, 사기, 과실 또는 기타 오용으로 인한 고객의 디지털 자산 손실과 고객의 디지털 자산에 대한 접근 지연 또는 접근 불가로 인한 위험을 최소화하기 위한 효과적인 통제 장치를 마련해야 합니다.

9. 고객의 디지털 자산을 보호하기 위한 시스템 및 통제를 개발할 때, 공인 기관은 자신이 호스팅하는 디지털 자산의 성격, 특성 및 위험을 고려하여 위험 기반 접근 방식을 채택할 수 있습니다. 위험은 예를 들어 사용되는 분산원장기술(DLT) 네트워크 유형(예: 비공개 라이선스, 공개 라이선스, 공개 비인가)과 취한 완화 조치에 따라 달라질 수 있습니다. 예를 들어, 공개 비인가 DLT 네트워크에 보관된 고객 디지털 자산은 공개 라이선스 및 비공개 라이선스 DLT 네트워크에 적용되는 DLT 네트워크 액세스 제어 조치에 비해 사이버 보안 위험이 높을 수 있으며 도난, 해킹 또는 기타 사이버 공격이 발생할 경우 손실된 자산의 복구가 더 어려울 수 있습니다.

10.

고객의 디지털 자산을 보호하기 위해 사용되는 시스템 및 통제에는 다음과 같은 서면 정책 및 절차가 포함되며 이에 국한되지 않습니다:

- 시드 및 개인 키를 저장하는 장치에 대한 접근을 포함하여 고객의 디지털 자산의 입금, 출금 및 전송을 위한 접근 권한 부여 및 확인;

- 고객의 디지털 자산 관리 및 보안. 키 생성, 배포, 저장, 사용, 파기 및 백업을 포함한 고객의 디지털 자산을 관리하고 보호합니다.

11. 특히, 승인된 조직은 보유 자산의 성격, 특성 및 위험에 따라 관련 업계 모범 사례를 채택하고 적용 가능한 국제 보안 표준을 준수해야 합니다. 아래에 명시된 절차와 통제는 규범적이거나 일률적인 것은 아니지만, 일반적으로 고객 VA를 보유한 인증 기관에 요구되는 사항입니다. 다른 디지털 자산의 경우, 승인된 기관은 직면한 위험에 상응하는 위험 기반 접근 방식을 채택하여 다음 절차 및 통제를 구현할 수 있지만, 이러한 디지털 자산이 비인가 공개 DLT 네트워크에서 비인가 토큰 형태인 경우, 승인된 기관은 더욱 주의를 기울이고 신중한 평가를 수행해야 합니다.

- 안전하고 변조 방지 환경 및 장치에서( 예: 하드웨어 보안 모듈 HSM)을 사용하여 시드와 개인 키(백업 포함)를 생성하고 저장합니다. 가능한 경우, 시드와 개인 키는 적절한 수명 주기 제한을 두고 오프라인으로 생성해야 합니다.

- 시드와 개인 키를 홍콩 현지에서 안전하게 생성, 저장 및 백업합니다.

- 암호화된 장치 또는 애플리케이션에 대한 액세스는 적절한 심사와 교육을 받은 승인된 직원으로만 제한하고 액세스 방법을 최신 상태로 유지합니다. 교육, 액세스 방법 및 할당된 액세스 권한에 대한 최신 문서 유지, 다단계 인증과 같은 강력한 인증 방법을 사용하여 시드 및 개인 키에 대한 액세스를 인증, 암호화된 장치 또는 애플리케이션에 대한 액세스 감사 추적 유지, 암호화된 장치 또는 애플리케이션을 보호하기 위해 개인 키를 사용하는 등 키 슬라이싱 또는 유사한 기술을 사용하여 "단일 장애 지점"으로부터 보호.

- 암호화된 장치 또는 애플리케이션을 보호하는 등 모든 "단일 장애 지점"으로부터 보호합니다. 키 분할 또는 이와 유사한 기법(예: 분산 저장을 위해 권한 있는 기관에서 개인 키를 여러 명의 승인된 사람에게 분할 및 배포)을 사용하여 한 당사자가 모든 키를 보유하지 않도록 함으로써 "단일 실패 지점"을 방지합니다. 일반적으로 특정 수의 키 슬라이스 보유자가 공동으로 거래에 서명하여 한 사람이 모든 권한을 갖지 않도록 하고, 하나의 슬라이스를 분실하거나 사용할 수 없거나 도난당한 경우 혼란을 방지하기 위해 필요합니다. '단일 장애 지점'을 방지하기 위해 고객의 디지털 자산을 보관할 때 하나의 지갑이 아닌 여러 개의 지갑을 사용하는 것도 고려할 수 있습니다.

- 보조 단어와 개인 키에 액세스할 수 있는 권한이 있는 사람 간의 담합 위험을 방지하고 완화하는 조치 수립;

- 보조 단어와 개인 키 모두에 대해 적절한 오프사이트 백업 및 비상 대책을 마련해야 하며, 이러한 대책은 원본 보조 단어 및 개인 키와 동일한 보안 제어를 적용해야 합니다. 보조 단어와 개인키의 백업은 원본 보조 단어와 개인키가 저장된 기본 위치와 무관하고 어떠한 이벤트에도 영향을 받지 않는 안전한 물리적 위치에 오프라인으로 보관해야 하며,

- 달리 입증되지 않는 한, 고객의 디지털 자산 대부분은 인터넷에 연결되지 않은 콜드 스토리지에 보관해야 하며,

- 고객 소유의 지갑 주소를 통해서만( 예를 들어, 메시지 서명 또는 소액 결제 테스트와 같은 소유권 테스트를 통해) 고객 디지털 자산의 입출금을 허용하기 위해 화이트리스트에 오른 지갑 주소;

- 에스크로 프로세스에 사용되는 모든 스마트 계약이 계약상의 취약성이나 보안 결함으로부터 크게 영향을 받지 않도록 조치를 취하고,

- 다음과 같은 결과로 발생할 수 있는 위험을 적절히 커버하기 위해 적절한 보험 또는 보상 조치를 마련합니다. 해킹 사고, 도난 또는 사기(공인 기관의 행위, 오류, 누락 또는 중대한 과실로 인한 것인지 여부에 관계없이), 고객의 디지털 자산 손실.

12. 공인 기관이 고객이 공인 기관이 보유한 디지털 자산을 관리할 수 있도록 사용자 인터페이스 또는 포털을 제공하는 경우, 홍콩 금융관리국(HKMA)이 수시로 정한 관련 지침에 따라 효과적인 고객 인증 및 알림 통제를 마련해야 합니다.

13. 승인 기관은 새로운 보안 위협, 취약성, 공격 및 사기 위험과 기술 솔루션의 동향 및 발전을 면밀히 모니터링하고, 새로운 위협과 기술 발전을 고려하여 보안 위험 통제의 적절성과 견고성을 정기적으로 평가하며, 관련 업계 모범 사례 및 해당 국제 표준에 따라 고객 디지털 자산의 수탁 기술을 채택하는 조치를 취해야 합니다. 고객 디지털 자산을 안전하게 보관하는 데 사용되는 지갑 보관 기술은 배포하기 전에 신뢰성 테스트를 거쳐야 합니다.

(라) 위임 및 아웃소싱

14. 일반 원칙적으로 가상자산의 경우, 인가 기관은 (i) 다른 인가 기관(또는 현지에 설립된 인가 기관의 자회사)에만 수탁 기능을 위임할 수 있습니다. 또는 (ii) SFC가 허가한 가상자산 거래 플랫폼. 비인가 분산원장 네트워크에 있는 비인가 토큰 형태의 기타 디지털 자산의 경우, 승인 기관은 특히 주의해야 하며 수탁 기능을 위임 또는 위탁하는 것이 적절한지 심층적인 평가를 수행해야 합니다.

15. 승인 기관이 디지털 자산 수탁 서비스 제공과 관련하여 수탁자 또는 서비스 제공자와 위임 또는 아웃소싱 계약을 체결하는 경우, 승인 기관은 수탁자 또는 서비스 제공자를 선정하고 임명하기 전에 적절한 실사를 수행해야 합니다. 승인 기관은 수탁자 또는 서비스 제공자의 재무 건전성, 평판, 관리 능력, 기술 및 운영 능력, 본 부속서 및 기타 해당 법률 및 규제 요건을 준수하고 디지털 자산 분야의 기술 발전을 따라잡을 수 있는 능력과 역량을 포함하되 이에 국한되지 않는 만족도를 평가하고 보장해야 합니다. 실사 평가와 그 결과는 적절한 기록으로 보관해야 합니다. 승인 기관은 대표 또는 서비스 제공자의 성과를 지속적으로 모니터링할 수 있는 효과적인 통제 장치를 마련해야 합니다.

16. 디지털 자산 수탁 서비스를 제공하기 위해 대표기관 또는 서비스 제공자와 협력할 때, 승인된 기관은 배포된 솔루션의 고객 디지털 자산 보호 효과와 단일 장애 지점 발생 여부를 평가할 기술적 전문성을 보유해야 합니다. 또한 공인 기관은 본인 또는 서비스 제공업체가 고객의 디지털 자산을 보유하는 약관을 잘 이해하고 본인 또는 서비스 제공업체의 파산 시 고객의 법적 권리에 중대한 영향을 미칠 수 있는지 평가해야 합니다. 본 부록의 6항 및 7항에 따라 본인 또는 서비스 제공자가 고객 디지털 자산을 적절히 분리하도록 하는 것은 승인 기관의 책임입니다.

17. 승인 기관의 비상 및 재해 복구 준비는 위탁 또는 아웃소싱 디지털 자산 수탁 서비스의 중단 시나리오를 포함해야 합니다. 또한 승인 기관은 호스팅 서비스의 가용성을 보장하기 위해 비상 계획 및 절차를 포함하여 위탁 또는 서비스 제공업체의 복원 능력을 평가해야 합니다.

18. 인가기관은 디지털 자산 수탁 서비스에 대한 위임 또는 위탁 계약에서도 전통적인 금융 활동에 대한 위임 또는 위탁 계약에 상응하는 관련 시스템과 통제를 유지해야 합니다.

19. 위임 또는 위탁 활동에 대한 궁극적인 책임과 책임은 승인된 기관에 있습니다.

(E) 위험 공개

20.인가 기관은 다음을 포함하여 고객에게 수탁 계약을 명확하고 이해하기 쉬운 방식으로 완전하고 공정하게 공개해야 합니다.

- 각 권리 및 공인 기관이 파산 또는 청산에 들어가는 경우 자산에 대한 고객의 소유권을 포함한 공인 기관의 의무,

- 고객의 디지털 자산을 보관 및 분리하는 방식, 고객의 디지털 자산에 접근하는 절차 및 시기, 해당 수수료 및 비용을 포함한 에스크로 계약,

- 특히 보안 사고 또는 도용의 결과로 발생할 수 있는 고객의 디지털 자산 손실에 대한 보상 약정, 그리고

- 보안 사고 또는 도용의 결과로서 발생할 수 있는 고객의 디지털 자산 손실에 대한 면책 계약. 고객 디지털 자산의 손실 가능성,

- 고객의 디지털 자산이 다른 고객 자산과 혼합되는 상황 및 이와 관련된 위험,

- 공인 기관이 고객 디지털 자산의 법적 및/또는 수익적 소유권을 취득하거나 기타 양도, 대여, 저당, 재저당 또는 배치하는 상황 및 약정. 상황 및 약정, 관련된 위험, 투표, 하드포크 및 에어드랍과 같은 이벤트에서 고객 디지털 자산의 처리 및 그에 상응하는 권리 및 자격,

- 공인 기관은 다음과 관련하여 수탁 활동과 관련된 잠재적/실제 이해 상충을 포함하여 수탁 약정을 고객에게 완전하고 공정하게 공개해야 하며, 수탁 기관은 다음과 관련하여 수탁 약정을 고객에게 공개해야 합니다. 존재 및 성격.

(F) 고객 디지털 자산의 기록 보관 및 조정

21. 공인 기관은 고객에게 빚진 자산의 금액과 유형, 고객 계정 간의 자산 이동을 포함하여 고객 디지털 자산의 소유권을 추적하고 문서화하기 위한 목적으로 각 고객에 대해 적절한 장부와 기록을 유지해야 합니다. 고객 계정 간의 이동. 고객 디지털 자산의 정기적이고 빈번한 조정은 관련 오프체인 및 온체인 기록을 고려하여 고객별로 수행되어야 합니다. 불일치가 발생하면 즉시 해결하고 적절한 경우 고위 경영진에게 보고해야 합니다.

22. 승인된 기관은 수탁 활동과 관련된 모든 기록을 안전하게 보관하고 보호하기 위한 시스템과 통제 장치를 갖추어야 하며, 요청 시 홍콩 금융관리국이 적시에 이러한 기록을 이용할 수 있도록 제공해야 합니다.

(G) 자금세탁방지 및 테러자금조달방지

23. 승인기관은 자금세탁방지 및 테러자금조달방지(AML/CFT) 정책, 절차 및 통제가 자금세탁 및 테러자금조달 위험을 관리하고 완화하는 데 효과적임을 보장해야 합니다. 테러 자금 조달 위험을 효과적으로 관리해야 합니다. 승인된 기관은 자금 세탁 및 테러 자금 조달 방지 가이드라인(승인된 기관용) 및 홍콩 금융관리국의 디지털 자산 수탁 활동에 관한 AML/CFT 지침 문서를 준수해야 합니다.

(H) 지속적인 모니터링을 위한 요건

24. 승인 기관은 정책과 절차를 정기적으로 검토하고 시스템과 통제, 고객의 디지털 자산 보관과 관련하여 해당 요건을 준수하는지에 대한 독립적인 감사를 수행해야 합니다.