FATF 트래블룰과 2026년 노(no)-KYC 암호화폐 임계값

2026년 4월 국제자금세탁방지기구(FATF)는 권고 16번 — 일명 암호자산 트래블룰(Travel Rule) — 에 관한 여섯 번째 이행 보고서를 발표했고, 그 결론은 컴플라이언스 담당자들에게 결코 편안하지 않았습니다. 보고에 응한 138개 관할권 가운데 73%가 여전히 서로 다른 거래 임계값, 서로 다른 "가상자산사업자(VASP)" 정의, 자가수탁 지갑에 대한 서로 다른 규정을 적용하고 있다는 것입니다. 일상적인 이용자에게 이 규제의 누더기는 매우 실용적인 한 가지 결론을 던집니다. 전 세계 어디서나 통하는 단일한 "이 금액 아래에서는 신원확인이 면제된다"는 천장은 존재하지 않으며, 여러분이 마주하게 될 임계값은 싱가포르 거래소를 거치느냐, 독일 은행을 거치느냐, 미국 송금업자를 거치느냐, 아니면 P2P 스왑을 이용하느냐에 따라 달라진다는 사실입니다. MoneroSwapper는 신규 이용자로부터 "신원확인(KYC) 절차에 걸리기 전까지 모네로를 얼마까지 사고팔 수 있나요?"라는 질문을 매일 받으면서 이 혼란을 가까이서 지켜보고 있습니다.

이 가이드는 FATF 트래블룰이 정확히 무엇을 요구하는지, 2026년 주요 지역에서 소액 면제(de minimis) 임계값이 실제로 어떻게 작동하는지, 모네로의 대체가능성(fungibility)이 왜 임계값 논의를 비트코인과 근본적으로 다른 차원으로 끌어올리는지, 그리고 컴플라이언스를 지키면서도 프라이버시를 중시하는 이용자가 송금 버튼을 누르기 전에 반드시 알아야 할 사항들을 차근차근 짚어봅니다.

FATF 트래블룰이 실제로 요구하는 것

트래블룰은 2019년 6월 FATF 권고 16번에 추가된 해석주(interpretive note)에 붙은 별명이며, 그 이후 네 차례 — 가장 최근에는 2025년 2월에 — 갱신되었습니다. 이 규칙은 1990년부터 전신환에 적용되어 온 환거래 은행(correspondent banking) 의무를 가상자산으로 확장합니다. 규제 대상 기관이 고객을 대신해 가치를 이전할 때, 송금인과 수취인에 관한 특정 정보가 그 결제와 함께 "여행해야(travel)" 한다는 것입니다.

구체적으로, VASP가 적용 임계값 이상의 가상자산 이전을 처리할 때에는 다음 데이터를 수집·검증·보관하고, 체인상 다음 VASP에게 전송해야 합니다.

• 송금인 성명: 송금인의 법적 정식 이름.
• 송금인 계좌 또는 지갑 참조: 송금인의 계좌번호, 또는 거래를 추적할 수 있는 고유 거래 식별자.
• 송금인 실제 주소, 주민등록번호 또는 국가 신분증 번호, 고객 식별번호, 또는 생년월일과 출생지: 이 중 최소 하나는 반드시 전송되어야 합니다.
• 수취인 성명: 송금인이 진술한 수취인의 법적 이름.
• 수취인 계좌 또는 지갑 참조: 온체인 거래에 사용된 목적지 주소.

마지막 요건 — 목적지 지갑 — 이 바로 암호화폐 맥락에서 트래블룰을 논란으로 만드는 지점입니다. 은행 환거래에서는 상대편 은행만 식별하면 충분하지만, VASP는 상대편 VASP와 그 배후의 고객까지 식별해야 합니다. 실무적으로 이는 목적지 주소를 제재 리스트에 대조하고, 그 주소가 규제 대상 거래상대방에 속하는지 확인하고, 더 엄격한 관할권에서는 이전이 플랫폼을 떠나기 전에 "지갑 검증(wallet verification)" 절차를 수행함을 뜻합니다.

소액 면제 임계값: 노-KYC는 어디서 시작되는가?

FATF 권고문 자체는 미화·유로화 기준 1,000달러/유로의 소액 면제 임계값을 제시합니다. 이 금액 미만에서는 관할권이 간소화된 실사(simplified due diligence)를 적용할 수 있는데, 이는 보통 VASP가 송금인·수취인 성명과 지갑 주소는 여전히 기록해야 하지만 문서로 검증할 필요까지는 없다는 뜻입니다. 임계값을 넘어서면 전체 KYC 문서 절차가 발동됩니다.

여기서 "노-KYC 암호화폐 임계값"이라는 개념이 출발하는데, 대부분의 이용자가 오해하는 지점도 바로 여기입니다. FATF 임계값은 천장이 아니라 바닥(floor)입니다. 관할권은 명시적으로 더 엄격한 규칙을 적용할 수 있으며, 실제로 많은 나라가 그렇게 하고 있습니다. 2026년의 실제 지형은 다음과 같이 펼쳐져 있습니다.

이 표에서 두 가지 패턴이 드러납니다. 첫째, 유럽연합은 2024년 말 MiCA와 함께 발효한 자금이전규정(Transfer of Funds Regulation, TFR) 아래에서 암호자산서비스제공자(CASP) 간 임계값을 사실상 폐지했습니다. 둘째, FATF의 1,000유로 바닥을 형식적으로 적용하는 관할권에서도 임계값은 어디까지나 VASP 간에 "이동하는" 데이터의 양을 규율할 뿐, 이용자가 보통 "노-KYC"라고 말할 때 실제로 의미하는 부분, 즉 계정 개설 단계에서의 신원확인 자체를 면제해 주지는 않습니다.

합산 규칙: 숨어 있는 곱셈기

거의 모든 관할권은 합산(aggregation) 조항을 두고 있습니다. 동일 송금인이 동일 수취인에게 정해진 기간(한국·싱가포르 24시간, 미국 7일, 일부 EU 회원국 30일) 내에 보낸 여러 이전을 합쳐 단일 거래로 보고 임계값에 적용한다는 것입니다. USD 5,000짜리 스왑을 USD 999짜리 다섯 건으로 쪼개 FATF 바닥 아래로 내려가려는 시도는 정의상 "분할거래(structuring)"에 해당하며, 대부분의 자금세탁방지(AML) 체계에서 별도 신고 대상이 되는 범죄입니다. 컴플라이언스 담당자는 이 패턴을 감시하고, 패턴 인식 휴리스틱이 사람이 검토하기도 전에 경보를 띄웁니다.

자가수탁 지갑과 "언호스티드 지갑(unhosted wallet)" 문제

2026년 트래블룰 지형에서 가장 까다로운 상호작용은 규제 대상 VASP와 자가수탁(즉 "언호스티드") 지갑 — 제3자 수탁자 없이 본인이 직접 통제하는 소프트웨어 — 사이에서 발생합니다. 2021년 10월 발간되고 2025년 2월 재확인된 FATF 지침은 임계값을 넘는 언호스티드 지갑과의 이전에 대해 VASP가 강화된 실사(EDD)를 적용해야 한다는 입장을 취하면서도, 언호스티드 지갑 자체를 규제 경계 안으로 끌어들여야 한다고는 요구하지 않습니다.

유럽연합의 자금이전규정은 한 걸음 더 나아갑니다. 12개월 누적 기준 1,000유로를 초과하면 CASP는 보통 서명 메시지 증명이나 기술적 증명을 통해 언호스티드 지갑 소유자의 "신원 검증"을 수행해야 합니다. 임계값 미만에서는 기본 출처/목적지 기록만으로 족합니다. 모든 언호스티드 지갑 상호작용 중 3,000달러 초과분에 전면 KYC를 요구하려던 미국 FinCEN의 제안은 업계의 지속적인 반대 의견을 거쳐 2025년 5월 철회되었지만, 일부 주(특히 BitLicense 체제하의 뉴욕)는 더 엄격한 지역 규칙을 부과합니다.

한국의 경우, 특정금융정보법 시행 이후 가상자산사업자는 자가수탁 지갑으로의 출금에 대해서도 자체 화이트리스트 등록, 트래블룰 시스템(CODE, VerifyVASP 등) 연동, 수취인 정보 확보 의무 등을 통해 사실상 검증된 지갑만 허용하는 보수적인 운영을 택해왔습니다. 업비트·빗썸·코인원·코빗 모두 자사 거래소가 발급하지 않은 외부 지갑에 대한 출금을 사전 등록 절차로 통제하고 있어, 임계값 자체보다 "내 지갑을 등록할 수 있는가"가 실무적 관문이 되곤 합니다.

트래블룰은 VASP를 구속하지 — 지갑을 구속하지 않습니다. 규제 대상 거래상대방에 닿지 않는 자가수탁 모네로 지갑은 권고 16번의 적용 범위 바깥에 있습니다. 그러나 그 지갑이 등록 VASP로 보내거나 받는 순간, VASP의 의무는 여러분의 거래에 그대로 들러붙습니다. 이 비대칭성은 트래블룰을 이해할 때 가장 먼저 머릿속에 새겨야 할 출발점입니다.

모네로가 임계값 계산을 어떻게 바꾸는가

대부분의 트래블룰 논의는 규제 당국이 온체인 거래 그래프를 들여다볼 수 있다는 가정 위에 서 있습니다. 비트코인·이더리움 등 다수의 퍼블릭 블록체인에서는 이 가정이 성립합니다. Chainalysis, Elliptic, TRM Labs 같은 체인 분석 업체는 VASP가 자금 출처 경로를 재구성하고 고객 계정에 입금이 반영되기 전 스크리닝 규칙을 적용할 수 있게 해주는 도구를 판매합니다.

모네로의 프라이버시 스택은 이 가정을 세 가지 방식으로 깨뜨립니다. RingCT는 거래 금액을 커밋먼트 안에 숨깁니다. 링서명 방식 — 현재 16-디코이 CLSAG, 2026년 Carrot/Jamtis 하드포크에 예정된 FCMP++ — 은 과거 출력 중 실제로 어떤 것이 지출되는지를 감춥니다. 스텔스 주소는 어떤 두 온체인 목적지도 동일 수취인에게 직접 연결되지 않도록 보장합니다. 결합된 효과는 모네로를 수신한 VASP가 일반적으로 체인만으로는 자금의 출처를 판단할 수 없다는 것입니다. 자사 고객 데이터베이스와 업계 제재 리스트에 등재된 주소에 대해 입금 주소를 대조하는 것만이 가능합니다.

이것이 모네로가 여전히 지원하는 대부분의 VASP에서 별도 카테고리로 다루어지는 이유입니다. 일부 거래소는 BTC보다 XMR 입금에 더 낮은 내부 임계값을 적용합니다. 또 다른 거래소는 MiCA 아래에서 프라이버시 코인을 다루기 위한 컴플라이언스 인프라를 구축하는 대신 모네로를 완전히 상장폐지하는 길을 택했습니다(바이낸스는 2024년 2월, 크라켄은 2024년 10월 EEA 고객에 한해, OKX는 2024년 1월에 그랬습니다). 한국 시장은 더 일찍 움직였습니다. 업비트는 2019년 9월에, 빗썸은 2020년대 초반에, 코인원·코빗도 같은 시기에 모네로(XMR)를 포함한 이른바 "다크코인"을 특정금융정보법 시행 흐름에 맞춰 거래지원을 종료했습니다. 그 결과 한국 이용자가 마주하는 실질적인 "노-KYC 임계값"은 FATF가 정하는 것이 아니라 어느 플랫폼이 여전히 계정 없이 모네로를 받아주느냐에 따라 결정됩니다.

단계별 가이드: 2026년 규제 아래에서 컴플라이언스를 유지하는 방법

트래블룰에 대한 여러분의 관심이 순전히 실용적이든(신분증 업로드 없이 얼마까지 스왑할 수 있는지 알고 싶을 뿐), 컴플라이언스 중심이든(소규모 사업체를 운영하면서 의무를 이해해야 하든) 2026년에는 다음 작업 흐름이 유효합니다.

1. 거래상대방의 규제 본거지를 확인하라. 리투아니아 등록 CASP, 싱가포르 MAS 라이선스 거래소, 세이셸 등록 역외 플랫폼은 매우 다른 임계값에 놓여 있습니다. KYC 선이 어디에 그어질지 가늠하기 전에 법인 푸터나 관련 규제 당국의 라이선스 데이터베이스를 확인하십시오.
2. 규제 바닥이 아니라 이용자 등급 한도를 확인하라. 대부분의 거래소는 법적 임계값 위에 자체적인 상업적 KYC 등급을 얹습니다. 법적으로는 EUR 1,000 거래를 최소한의 검증만으로 수용할 수 있는 플랫폼도 상업적으로는 입금 전에 이메일 + 전화 검증을 요구할 수 있습니다.
3. 합산을 염두에 두라. 24시간, 7일, 30일 같은 회전 기간의 누적 한도는 예외가 아니라 원칙입니다. 다음 거래가 선을 넘는지 결정하기 전에 해당 기간 내 활동을 합산하십시오.
4. 자가수탁→VASP 이전에서는 증명을 미리 준비하라. EU 임계값 위에서는 송금 지갑에서 서명 메시지를 보내거나 미사용 출력의 스크린샷을 제공하라는 요청을 받게 됩니다. 이전을 시작하기 전에 증명 자료를 손에 들고 있으십시오.
5. 소액·간헐적 이전에는 계정 없는 스왑 서비스를 활용하라. MoneroSwapper 같은 플랫폼은 계정 생성 없이 인스턴트 스왑 제공자의 유동성을 모읍니다. FATF 소액 면제 임계값 미만 거래에서는 이 방식이 규칙 안에 머물면서도 가장 간단한 이용자 경험을 제공하는 경우가 많습니다.
6. 자금 출처를 기록하라. 임계값을 넘는 금액에 대해서는 VASP가 반드시 물을 것입니다. 구입 영수증, 채굴 보상 기록, 거래 플랫폼 명세서를 보관해 두십시오. 사후에 자금 출처를 재구성하는 일은 그때그때 포착해 두는 것보다 훨씬 어렵습니다.
7. 6개월마다 가정을 재점검하라. MiCA 레벨 3에 대한 2026년 개정, 미국 CLARITY Act의 시행 규칙, 곧 다가올 영국 FCA의 규칙 개정 모두 임계값을 움직입니다. 1월에는 선 아래였던 것이 7월에는 선 위가 될 수 있습니다.

구체적 사례: 서울에서 KRW 600만 원 스왑하기

2026년 5월 서울에 거주하는 한 이용자가 보유 비트코인 약 600만 원어치를 모네로로 전환하려는 상황을 생각해 봅시다. 임계값 규칙이 실무에서 어떻게 작용하는지 세 가지 경로가 잘 보여줍니다. 같은 금액이 같은 사람의 손에서 출발해도, 어느 경로를 택하느냐에 따라 마주치는 신원확인 요구, 정산 속도, 사후 세무 부담이 완전히 달라지므로 단순 비교가 어렵습니다.

경로 A — 국내 중앙화 거래소. 이 경로는 사실상 닫혀 있습니다. 업비트·빗썸·코인원·코빗 어느 곳도 더 이상 모네로를 거래 지원하지 않으므로, 원화→비트코인→모네로의 직접 경로는 국내 거래소 안에서 완결될 수 없습니다. 이용자는 우선 비트코인 등 지원 자산으로 환전한 뒤 외부 단계가 필요합니다.

경로 B — 해외 거래소를 경유한 우회. 이용자는 국내 거래소에서 비트코인을 매수해, 트래블룰 연동이 가능한 해외 거래소(여전히 XMR을 지원하는 지역 라이선스 거래소)로 출금합니다. 그러나 한국의 트래블룰은 KRW 100만 원을 초과하는 가상자산사업자 간 이전에 대해 송수신인 정보를 요구하며, 화이트리스트 미등록 지갑으로의 출금은 사실상 불가능합니다. 추가로 해외 거래소가 한국 트래블룰 솔루션(CODE, VerifyVASP)에 연결되어 있지 않다면 출금 자체가 거부될 수 있습니다.

경로 C — 인스턴트 비수탁 스왑. 이용자는 보유한 비트코인을 자신의 자가수탁 지갑으로 먼저 옮긴 뒤, MoneroSwapper 같은 서비스를 통해 거래를 라우팅합니다. 이 서비스는 여러 인스턴트 거래소 제공자 중 한 곳으로 스왑을 분배합니다. 각 제공자는 자체 내부 임계값을 적용하며, 600만 원 규모의 거래에 대해 대부분은 MiCA 제18조에 따라 기본 출처 정보(이메일 + 경우에 따라 셀카)를 요구하지만 전체 신원 문서까지는 요구하지 않습니다. 정산은 보통 30분 이내에 완료됩니다. 이 규모에서 KYC가 필요한지 여부는 어느 기초 제공자에 주문이 라우팅되느냐에 따라 다르며, 애그리게이터는 사용자가 확정하기 전에 이 세부 사항을 노출합니다.

핵심은 어느 하나의 경로가 보편적으로 우월하다는 것이 아닙니다. 규제 임계값은 여러 입력값 가운데 하나일 뿐이며, 정산 속도, 거래상대방 위험, 수탁 선호, 세무 신고가 모두 그것과 상호작용한다는 것입니다. "노-KYC 임계값이 얼마예요?"만 묻는 이용자는 사후에 가서야 임계값 아래에 머무르는 실제 경험이 헤드라인 숫자가 시사한 것보다 훨씬 쉬웠거나 훨씬 어려웠음을 깨닫는 경우가 많습니다.

한국 이용자가 자주 놓치는 세 가지 디테일

같은 글로벌 규칙을 해석하더라도 국내 환경 때문에 한국 이용자가 특히 자주 놓치는 지점들이 있습니다. 첫째, "내 외부 지갑이 등록 가능한가"가 임계값 숫자보다 먼저 부딪히는 벽입니다. 트래블룰 솔루션 연동 여부에 따라 국내 거래소에서 자가수탁 지갑으로 직접 출금이 막힐 수 있으며, 이때 실무적으로 가능한 경로는 본인 명의의 다른 거래소 지갑을 거치는 우회뿐입니다. 둘째, 합산 기간을 24시간으로 가정하는 습관이 위험합니다. 국내 가상자산사업자는 자체 위험기반 절차에 따라 더 긴 회전 기간을 적용해 분할거래 의심 거래를 가려내며, 짧은 시간 안의 반복 출금은 자동 보류 사유가 됩니다. 셋째, 해외 비수탁 서비스 이용도 세무상 면제는 아닙니다. 2025년 시행 예정에서 다시 연기된 가상자산 과세 일정과 무관하게, 자금 출처와 거래 내역은 향후 신고 대상이 될 수 있으므로 거래 시점에 영수증과 트랜잭션 ID를 보관해 두는 습관이 결과적으로 비용을 줄입니다.

자주 묻는 질문(FAQ)

FATF 규칙 아래에 정말로 노-KYC 암호화폐 임계값이 존재합니까?

그렇기도 하고 아니기도 합니다. FATF 권고 16번은 미화·유로화 기준 1,000달러/유로의 소액 면제 임계값을 두고 있으며, 그 미만에서는 VASP 간 이전에 간소 데이터로 충분합니다. 그러나 이는 규제 대상 기관 사이에 "이동하는" 데이터만 규율할 뿐, 계정 개설 단계의 고객 신원확인을 면제해 주지 않으며, 많은 관할권(특히 자금이전규정 아래의 EU)은 임계값 자체를 완전히 제거했습니다. 1,000유로 미만 거래는 모두 "노-KYC"라는 통념은 규칙의 작동 방식을 잘못 읽은 결과입니다.

FATF 트래블룰은 모네로 거래에 적용됩니까?

VASP가 처리하는 모든 가상자산 이전에 적용됩니다. 자산의 종류는 상관없습니다. 다만 실무적으로는 RingCT와 스텔스 주소의 프라이버시 속성 때문에 자금 출처 스크리닝이 훨씬 어렵다는 이유로, 많은 거래소가 모네로를 상장폐지했거나 XMR 입금에 더 낮은 내부 임계값을 적용해 왔습니다. 두 자가수탁 모네로 지갑 사이의 거래는, 체인에 VASP가 끼지 않는 한, 정의상 권고 16번의 적용 범위 바깥에 있습니다.

한국에서는 트래블룰이 어떻게 적용되나요?

대한민국은 2022년 3월 25일부터 가상자산사업자 간 KRW 100만 원 초과 이전에 대해 트래블룰을 시행하고 있습니다. 송신·수신 가상자산사업자는 송수신인 성명과 가상자산 주소를 포함한 정보를 상호 제공해야 하며, 국내 주요 거래소는 CODE 또는 VerifyVASP 같은 솔루션을 통해 정보를 교환합니다. 트래블룰 도입과 함께 시행된 실명확인 입출금 계좌 제도는 사실상 계정 개설 단계에서 본인 인증을 강제하므로, "노-KYC 거래소"가 국내 라이선스로는 사실상 존재하지 않는 환경이 만들어졌습니다.

KYC와 트래블룰의 차이는 무엇입니까?

KYC(고객확인)는 VASP가 고객을 온보딩할 때 — 신분증을 수집하고 주소를 검증하며 제재 리스트와 대조하는 — 절차입니다. 트래블룰은 이미 온보딩된 고객이 임계값 이상의 이전을 개시할 때 발동되는 별도의 의무로서, 가치가 기관 사이를 이동하는 동안 송금인·수취인 정보가 동반되도록 요구합니다. 기술적으로는 엄격한 KYC를 갖추고도 트래블룰 인프라가 없는 플랫폼, 또는 그 반대도 가능하지만, 규제 대상 VASP는 보통 두 가지를 모두 수행합니다.

비수탁 지갑을 쓰면 트래블룰의 적용을 받습니까?

지갑 자체는 규칙의 적용 대상이 아닙니다. 권고 16번은 VASP를 구속할 뿐 그 아래 소프트웨어를 구속하지 않습니다. 그러나 여러분의 언호스티드 지갑이 VASP로 보내거나 그곳에서 받는 순간, 해당 VASP의 의무는 여러분의 거래에 적용됩니다. EU 임계값 위에서는 보통 서명 메시지 검증을 통해 언호스티드 지갑을 본인이 통제하고 있음을 증명하라는 요구를 받게 됩니다. 임계값 아래에서는 기본 로깅만으로 보통 충분합니다.

2026년에 임계값이 바뀔까요?

여러 관할권이 자국 숫자를 검토 중입니다. 미국 CLARITY Act 시행 규칙은 2026년 3분기까지 FinCEN 트래블룰 범위를 명확히 할 것으로 예상되고, 영국은 EU의 무임계값 접근법과의 정합성을 두고 협의 중이며, 2026년 2월 FATF 총회는 전 세계 소액 면제 한도를 더 낮출지 여부를 다룰 것으로 보입니다. 현재 임계값을 전제로 계획을 세우는 이용자는 향후 18개월간 한도가 느슨해지기보다는 조여질 것으로 예상해야 합니다.

결론

FATF 트래블룰과 그에 부속된 "노-KYC 임계값"은 국제 자금세탁방지 표준, 지역별 이행, 그리고 각 암호화폐가 실제로 정산되는 기술적 현실이 교차하는 지점에 자리합니다. 헤드라인 숫자 — 미화 또는 유로화 1,000 — 은 유용한 참조점이지만 이용자가 실제로 겪을 일을 가늠하는 척도로는 빈약합니다. 임계값은 VASP 간 데이터 교환만 규율할 뿐 고객 온보딩을 면제해 주지 않으며, 합산 규칙은 여러 소액 이전을 하나의 임계값 사건으로 압축하고, EU는 모든 CASP 간 활동에 대해 바닥을 사실상 제거했기 때문입니다. 한국 이용자에게는 여기에 한 겹의 현실이 더해집니다. 국내 라이선스 거래소는 모네로를 상장폐지했고, 트래블룰은 KRW 100만 원이라는 비교적 낮은 선에서 발동되며, 실명확인 계좌 체계가 사실상 모든 거래소 이용을 KYC 게이트 뒤로 밀어 넣었다는 점입니다. 금융 프라이버시를 중시하는 이용자에게 실용적 질문은 좀처럼 "KYC 없이 얼마를 보낼 수 있을까"가 아니라 "내 상황에 가장 잘 맞는 규제 지형의 경로는 무엇일까"가 됩니다. 그 경로가 모네로 스왑으로 이어진다면, MoneroSwapper는 각 기초 제공자의 임계값 규칙을 확정 전에 노출하는 무계정 애그리게이터를 제공합니다. 우연이 아니라 설계로 컴플라이언스를 지킬 수 있도록 말입니다. 의미 있는 이전을 하기 전에 반드시 자국 규제 당국의 최신 지침을 확인하시고, 2026년의 임계값은 여전히 움직이고 있는 체제의 한 스냅숏일 뿐임을 기억하십시오.