일상적인 일반 사업장들 - 식료품점, 식당, 미용실 - 은 고객의 신원을 확인하지 않고도 자유롭게 서비스를 제공할 수 있습니다. 계산원은 빵 한 덩어리를 팔기 위해 신분증을 보여 달라고 요구하지 않으며, 이발비를 지불하는 자금의 출처를 묻지도 않습니다. 게다가 대부분의 선진국에서는 이름, 나이, 시민권, 거주지를 밝히기 꺼리는 고객에게 서비스를 거부하는 것이 노골적인 차별로 간주됩니다.
하지만 우리가 고유동성 자산, 예를 들어 암호화폐와 같은 영역으로 들어서는 순간 상황은 바뀝니다. 이 분야의 규범은 다릅니다: 기업들은 고객을 알아야 한다(Know Your Customer, KYC)는 요구를 받습니다. 사용자들은 문서, 여권과 함께 찍은 셀카, 주소 증명서, 때로는 은행 명세서까지 제출하라는 요청을 받습니다.
엄격한 규제를 지지하는 사람들은 이를 간단히 설명합니다: 식당 음식은 재판매할 수 없지만 암호화폐는 쉽게 재판매할 수 있다. 따라서 식당은 범죄 활동을 은닉하는 체인의 일부가 될 수 없지만, 암호화폐 사업체는 그럴 수 있다. 높은 유동성 때문에 디지털 자산이 범죄자에게 이상적인 도구가 된다고 보는 것입니다.
그러나 현실은 이와 크게 다릅니다. 블록체인 거래 데이터는 영구적으로 저장됩니다. 오늘날 특정 개인으로 거래 흐름을 추적하기 어렵더라도, 내일 새로운 분석 도구가 등장하지 않는다는 보장은 없습니다. 사실 이미 등장하고 있습니다: 법집행 기관들은 블록체인 분석을 성공적으로 활용하고 있습니다(비트파이넥스 해킹으로 도난당한 비트코인 36억 달러 넘는 자산이 미 법무부에 의해 압류된 사례만 떠올려도 충분합니다).
하지만 핵심 질문은 다른 곳에 있습니다: 사용자 식별과 자금 출처 확인 책임을 정말로 기업에 지워야 할까요? 저는 그렇지 않다고 생각합니다. 그 이유는 다음과 같습니다.
경쟁에 대한 타격: KYC가 스타트업에 끼치는 해악
새로운 암호화폐 사업을 시작한다고 상상해 보십시오. 개발에 투자하고, 마케팅에 엄청난 노력을 기울여 첫 고객을 유치했습니다. 고객이 도착하면 당신은 이렇게 요구합니다: "신분증을 보여 주세요, 셀카를 찍어 주세요, 자금 출처를 설명해 주세요." 고객의 반응은 어떨까요?
고객은 그냥 떠날 것입니다. 숨길 것이 있어서가 아니라, 당신이 시장에서 무명이라는 이유 때문입니다. 수년간 영업해 왔고 수백만 명의 신뢰를 받은 대기업과 거래할 때는 사람들이 기꺼이 정보를 제공하지만, 당신과 같은 신생업체에는 그런 신뢰가 없습니다. 이는 합리적인 행동입니다: 만약 당신의 서비스가 사라지거나 파산하고 데이터 보호를 더 이상 보장하지 못하면, 사기나 신원 도용의 위험은 고객의 몫으로 남고 당신의 사업이 사라진다고 해서 해결되지 않습니다.
결과는 예측 가능합니다: 가격을 낮추고 서비스를 개선하는 건전한 경쟁 대신 시장은 거대 기업들에 의해 독점화됩니다. 더 나은 조건과 혁신적 제품을 제공할 수 있는 신생 기업들은 기회를 얻지 못합니다. KYC는 규제 포획의 전형적인 장벽이 되어 기존 강자들을 효과적으로 보호합니다. 개방 경쟁의 모델이 될 수 있었던 암호화폐 시장은 과점으로 변합니다.
사생활에 대한 환상, 혹은 강요된 동의
많은 국가에는 엄격한 개인정보 보호법이 있습니다. 그 기본 원칙은 간단합니다: 개인에 관한 정보는 그들의 자발적 동의 없이 수집될 수 없습니다. 개인은 프라이버시를 가질 권리가 있고, 어떤 서비스를 이용하는지 전 세계에 공개하지 않을 권리가 있습니다.
그러나 실제로는 KYC를 통과하지 못하면 사람은 사실상 특정 카테고리의 서비스, 주로 금융 서비스를 이용할 수 없게 됩니다. 잠재 고객의 개인 정보 공개 거부는 기업이 자동으로 서비스를 거부하도록 만듭니다.
2025년, FATF 자체가 - 이러한 규제의 주요 글로벌 동인인 기구가 - 과도한 요구가 의도치 않은 결과를 낳았다고 인정했습니다: 많은 법 준수 시민들이 단지 필요한 서류가 없거나 신원을 밝히기를 원치 않는다는 이유로 합법적 금융 시스템에서 배제되었다는 것입니다. FATF에 따르면 이는 특히 난민, 이주민, 금융 서비스에 접근하지 못하는 사람들에게 큰 영향을 미칩니다 - 국가가 보호해야 할 사람들입니다.
유럽연합 사법재판소의 입장도 시사하는 바가 큽니다: 2022년 재판소는 회사의 실소유자 정보가 일반 대중에 접근 가능하도록 한 규정을 무효화했는데, 이는 사생활에 대한 불균형한 간섭이라는 이유에서였습니다. 재판소는 그러한 간섭은 추구하는 목표에 대해 필요하고 비례적이어야 한다고 강조했습니다. 그럼에도 불구하고, 어째서인지 이러한 원칙은 유럽 내에서도 KYC 요구에는 적용되지 않는 것처럼 보입니다.
미끼로서의 데이터: KYC가 막으려는 것을 만들어낸다
의무적 KYC에 대한 가장 중요한 반대 논거 중 하나는 순수하게 실용적입니다. 기업들이 수백만 건의 여권과 셀카를 수집하도록 강제될 때, 그들의 서버는 사이버범죄자들에게 매력적인 표적이 됩니다. 그리고 이 위협은 이론적인 것이 아닙니다.
이미 2019년, ExploitDOT라는 해커가 Dread라는 다크넷 플랫폼에서 약 10만 건의 신원 문서를 판매하고 있다는 보도가 있었습니다. 해당 문서들은 바이낸스, 폴로닉스, 비트파이넥스, 비트렉스 같은 주요 암호화폐 거래소들이 KYC 절차의 일환으로 수집한 자료라고 주장되었으나, 데이터의 출처는 논쟁의 대상이었습니다: 거래소들은 해킹을 부인했고, 데이터는 제3의 KYC 제공업체에서 유출되었을 가능성도 있습니다. 그러나 이는 사건을 더욱 시사적으로 만듭니다: 개인 데이터의 관리 고리는 당신이 생각하는 것보다 훨씬 길고, 그 고리의 어느 지점이든 취약할 수 있습니다.
2025년 5월에는 출처에 대한 불확실성으로 돌릴 수 없는 사건이 발생했습니다: 코인베이스는 사이버범죄자들이 해외 지원 계약자 그룹에 뇌물을 주었고, 그들이 고객의 개인 데이터(이름, 주소, 전화번호, 부분적인 사회보장번호, KYC 검증 중 제출된 신분증 스캔 등)를 넘겨주었다고 공개적으로 인정했습니다. 총 69,461명의 사용자가 영향을 받았습니다. 거래소는 2천만 달러의 몸값을 지불하지는 않았지만, 이번 사건으로 인한 잠재적 손실을 1억8천만 달러에서 4억 달러로 추정했습니다.
2025년 가을, 사이버보안 연구자들은 암호화폐 플랫폼 NCX의 보안이 취약한 데이터베이스를 발견했는데, 500만 개가 넘는 레코드와 사용자들의 KYC 문서로 직접 연결되는 링크들이 포함되어 있었습니다. 이 모든 것은 MongoDB 설정 오류로 인해 공개적으로 접근 가능했습니다. 해킹은 필요하지 않았습니다 - 데이터베이스가 단순히 열려 있었을 뿐입니다.
요컨대, 개인 데이터를 보호하는 최선의 방법은 애초에 저장하지 않는 것입니다. 여권 데이터를 수집하는 새로운 운영자는 곧 새로운 위험을 뜻합니다. KYC는 단순한 고객 명부를 만들뿐만 아니라 범죄자들의 표적을 만들어냅니다. 개인의 이름, 주소, 생체 정보, 자산 내역에 접근할 수 있는 사람은 그를 사칭하는 데 필요한 모든 것을 갖게 됩니다.
범죄자를 잡아야 할 사람은 누구인가: 경찰인가 기업인가?
법집행 기관은 범죄 수사와 불법 자금 흐름과의 싸움을 포함한 서비스를 제공하기 위해 세금으로 자금을 지원받습니다. 기업 또한 서비스를 제공한 대가로 비용을 받습니다. 그러나 KYC 절차는 실질적으로 경찰 기능을 민간 부문에 떠넘깁니다: 기업들은 고객을 식별하고, 제재 목록을 조회하며, 자금 출처를 분석하고, 의심스러운 거래를 보고하도록 요구받습니다. 동시에 국가는 이러한 목적을 위해 이미 징수된 세금으로 그들에게 단 한 푼도 보상하지 않습니다. 기업이 실수를 하면 벌금을 물고, 실수를 피하더라도 엄밀히 말하면 국가 기능인 시스템을 유지하기 위해 막대한 비용을 부담합니다.
가장 해로운 것은 효과성에 관한 데이터입니다. 호주 라트로브 대학의 연구원 로널드 폴(Ronald Pol)은 학술지 Policy Design and Practice에 실린 널리 인용되는 논문에서, 준수 비용이 범죄자들로부터 실제로 회수된 자산의 액수보다 백 배 이상 크다는 사실을 발견했습니다.
기업들은 연간 수천억 달러를 지출합니다(전 세계 규제 준수 비용은 연간 2천억 달러를 넘습니다). 그럼에도 결과는 미미합니다. 누가 이렇게 무의미한 비용을 기꺼이 떠안고 싶어하겠습니까? 국가도 분명 원치 않으며 - 그래서 비용을 기업에 떠넘기고, 궁극적으로 소비자에게 전가합니다.
가끔 이 메커니즘은 명백히 정치적 성격을 띠기도 합니다. 2022년 2월 캐나다 트럭 운전자 시위 기간 동안 정부는 금융 및 암호화 관련 기관들이 시위 참가자들에 관한 데이터를 보유하고 있다는 사실을 이용해 비상사태법(Emergencies Act)을 적용해 입금된 자금을 동결하도록 지시했습니다. 기업들은 정치적 도구로 작동했고 시민들은 자신의 돈에 대한 접근을 잃었습니다. 2년 후 법원은 이러한 조치가 위헌이라고 판결했지만 - 그때까지 이미 자금은 동결되었고 시민들은 위협의 실체를 직접 경험했습니다.
시장 이미 판결을 내렸다
시장의 반응은 이미 명확합니다. 암호화폐 분야에는 KYC 없는 서비스를 향한 강한 지속적 수요가 있습니다: 사람들은 불편을 감수하고 우회 방법을 찾으며, 문서를 알지 못하는 회사에 제출하지 않기 위해 더 많은 비용을 지불하기도 합니다.
하지만 종종 더 많은 비용을 지불할 필요조차 없습니다. Rabbit.io는 부분적으로 고객 데이터 수집, 처리, 저장과 관련된 비용을 부담하지 않기 때문에 더 나은 환율을 제공할 수 있습니다. 소비자에게 선택권이 주어지면 비용이 더 낮은 서비스를 선호하는 것이 당연합니다. 그래서 우리 고객들은 우리를 선택합니다. 그리고 바로 그 이유 때문에 기업들에게 KYC를 강제하면 그들에게 실질적인 피해를 줍니다.
우리 사용자들은 범죄자도 음모론자도 아닙니다. 그들은 간단하고 이해 가능한 동기를 가진 사람들입니다: 신원을 불필요하게 밝히지 않고 최적의 환율로 거래를 완료하려는 것입니다. 시장에서 사과를 살 때 상점 주인이 여권을 요구하지 않습니다. 지폐를 소액권으로 바꿔 달라고 할 때 누군가 왜 다른 지폐가 필요한지 묻지 않습니다. 디지털 거래가 본질적으로 달라야 할 이유가 무엇입니까?
결론
KYC 요구는 비용이 불공평하게 분배되는 체계를 만듭니다. 기업들은 본질적으로 국가의 기능에 대해 비용을 부담합니다. 정직한 사용자들도 그 비용을 부담하고 추가로 개인정보 유출 위험을 감수합니다. 신규 기업들은 기존 대기업의 경쟁 우위 때문에 실패합니다. 한편 실제 범죄자들은 KYC 절차에 따라 기업들이 구축하도록 강제된 데이터 명부를 악용하는 등 제도를 우회할 방법을 찾습니다.
정부가 금융 흐름에 대한 감시가 필요하다고 믿는다면 정직한 논의가 필요합니다: 누가 비용을 지불할 것인지, 누가 책임을 질 것인지, 그리고 왜 민간 기업들이 자비로 치안 기능을 수행해야 하는지에 대한 논의입니다. 또한 의무적이고 보편적인 KYC가 정직한 시장 참여자들을 잠재적 용의자로 만들고 그들의 데이터를 범죄자들의 표적으로 만드는 비용 비효율적 도구임을 인정할 필요가 있습니다.
