시리즈: XMoney 크립토 하이브리드 결제 실체 (총 7편) | 4회
“Fully Licensed”와 “MiCA compliant” — 규제 마케팅 문구, 진짜 의미는 뭘까
XMoney 홈페이지에는 “Fully Licensed”, “MiCA compliant” 같은 규제 관련 문구가 눈에 띄게 배치돼 있어. 이런 표현이 실제로 어디까지 의미하는 건지, 마케팅과 실체 사이의 간극을 파헤쳐 볼게.
Summary
- “Fully Licensed”는 EMI/VASP 등 기능별 등록을 의미하지, 하나의 라이선스가 모든 걸 커버하는 게 아니야
- “MiCA compliant”는 가장 주의해야 할 마케팅 문구 — 어떤 토큰, 어떤 서비스에 대한 준수인지 특정이 안 돼
- USDXM/EURXM 스테이블코인의 준비금·감사·상환 메커니즘 공개 수준이 충분하지 않아
- KYC/AML, PCI DSS 등 보안 인증도 “존재 vs 깊이” 구분이 필요해
이 글의 대상
- 크립토 결제 서비스의 규제 준수 주장을 제대로 검증하고 싶은 사람
- MiCA 규정이 실제로 뭘 요구하는지 궁금한 사람
- XMoney 가맹점 가입이나 스테이블코인 사용을 검토 중인 사업자
목차
- “Fully Licensed” 분해하기
- “MiCA compliant”가 위험한 이유
- 스테이블코인 백서의 빈칸들
- 국가 가용성과 “글로벌”의 한계
- KYC/AML — 존재는 확인, 깊이는 불투명
- PCI DSS와 보안 인증 주장
1. “Fully Licensed” 분해하기
“Fully Licensed”라는 말을 보면 “모든 허가를 다 받았구나”라고 느끼기 쉬워. 하지만 실제로는 그렇게 단순하지 않아.
기능별 라이선스의 실체
| 기능 영역 | 라이선스/등록 유형 | 관할 |
|---|---|---|
| 피아트 결제·카드 발급 | EMI (Electronic Money Institution) | EU 회원국 |
| 크립토 수취·전환 | VASP 등록 | 국가별 상이 |
| 전체 브랜드 | 단일 통합 라이선스 | 해당 없음 |
핵심은 이거야 — XMoney가 EMI 인가나 VASP 등록을 보유하고 있다는 건 근거가 있어. “인가 기반 운영”이라는 주장 자체는 거짓이 아니지. 그런데 문제는 하나의 브랜드가 전 영역을 커버하는 것처럼 보이게 만드는 인상이야.
실제로는 카드/피아트 쪽과 크립토 쪽이 법인도 다르고, 관할도 다르고, 인가 근거도 달라. “Fully”라는 수식어가 붙는 순간 소비자는 “하나의 통합 인가”를 떠올리게 되는데, 현실은 기능별로 쪼개진 인가의 합산이거든.
그래서 “어떤 기능에 대해, 어떤 법인이, 어디서 인가받았는지”를 분해해서 봐야 해.
2. “MiCA compliant”가 위험한 이유
MiCA(Markets in Crypto-Assets Regulation)는 EU의 크립토 자산 규제 프레임워크야. 2024년 말부터 단계적으로 시행됐는데, 이 규정의 특성을 이해하면 왜 “MiCA compliant”가 위험한 마케팅 문구인지 바로 보여.
MiCA 준수의 실제 요건
MiCA는 적용 대상에 따라 요구사항이 완전히 달라:
| 구분 | 적용 대상 | 핵심 요건 |
|---|---|---|
| 타이틀 III | ART (자산준거토큰) 발행자 | 준비금, 상환권, 백서 공시, 지배구조 |
| 타이틀 IV | EMT (전자화폐토큰) 발행자 | 액면가 상환, 준비금 분리, 감사 |
| 타이틀 V | CASP (크립토자산서비스제공자) | 인가, 행위규칙, 이해충돌 관리 |
XMoney 홈페이지와 스테이블코인 관련 문서에서 “MiCA” 관련 메시지를 사용하고 있지만, 정작 “어떤 토큰에 대해, 어떤 서비스에 대해, 어떤 시점 기준으로” 준수하는지가 특정되지 않아.
MiCA 준수를 제대로 주장하려면 다음 다섯 가지가 검증 가능해야 해:
- 상환(리딤) 메커니즘 — 토큰 보유자가 언제든 액면가로 상환 가능한지
- 준비금 구성·분리 — 어디에, 어떤 자산으로, 얼마나 보유하는지
- 독립 감사 — 제3자 감사 결과가 공개되는지
- 공시 의무 — 백서와 운영 현황이 규정대로 공시되는지
- 지배구조 — 의사결정 구조와 이해충돌 관리 체계가 있는지
3. 스테이블코인 백서의 빈칸들
XMoney는 USDXM과 EURXM이라는 자체 스테이블코인을 발행하고 있어. 백서(White Paper)는 존재하지만, MiCA가 요구하는 수준의 정보를 담고 있는지가 관건이야.
현재 공개된 수준을 정리하면:
| 항목 | 공개 여부 | 상세 수준 |
|---|---|---|
| 백서 존재 | O | 기본 구조 설명 포함 |
| 준비금 구성 | 제한적 | 자산 유형 언급, 세부 비중·보관처 불명확 |
| 독립 감사 | 미확인 | 감사 기관명·보고서 비공개 |
| 상환 절차 | 제한적 | 일반적 설명만, 구체적 기한·수수료 불명확 |
| 실시간 준비금 증명 | X | Proof of Reserves 미제공 |
“Cryptoassets payment services offered under the xMoney brand are provided by two authorized and licensed entities…”
— xMoney About Us (https://www.xmoney.com/about-us)
4. 국가 가용성과 “글로벌”의 한계
XMoney는 “글로벌 결제”를 강조하지만, 실제로는 상당수 국가에서 서비스를 제공하지 않아. 대표적으로 미국이 서비스 불가 지역에 포함돼 있지.
이건 규제 마케팅과도 직결되는 문제야. 미국에서 서비스를 못 한다는 건 FinCEN의 MSB 등록이나 주별 MTL(Money Transmitter License)을 갖추지 못했거나, 규제 비용 대비 진입을 선택하지 않았다는 뜻이거든.
“글로벌”이라는 단어가 실제로는 “EU 중심 + 일부 지역”을 의미할 수 있어. 서비스 가용 국가 목록을 직접 확인하는 게 중요해.
5. KYC/AML — 존재는 확인, 깊이는 불투명
XMoney가 KYC(Know Your Customer)와 AML(Anti-Money Laundering) 정책을 운영하고 있다는 건 확인돼. 가입 시 신원확인 절차가 있고, 거래 모니터링을 한다는 설명도 있지.
그런데 “존재”와 “깊이”는 다른 문제야:
| 확인 가능한 것 | 확인 곤란한 것 |
|---|---|
| KYC 정책 존재 | EDD(강화된 고객확인) 기준과 트리거 |
| 거래 모니터링 언급 | 구체적 룰셋과 임계값 |
| 계정 거절/정지 권한 | 거절 사유별 통계 |
| AML 정책 페이지 | 외부 감사·인증 결과 |
| SAR/STR 보고 의무 언급 | 실제 보고 프로세스와 실적 |
규제 기관에 대한 보고 의무가 있다는 건 당연한 법적 요건이야. 중요한 건 그 시스템이 얼마나 정교하게 작동하는지, 외부에서 검증할 방법이 있는지인데, 이 부분은 불투명해.
6. PCI DSS와 보안 인증 주장
XMoney는 PCI DSS Level 1 인증과 SCA(Strong Customer Authentication), 3DS2 지원을 마케팅에 활용하고 있어.
PCI DSS Level 1은 카드 결제 보안의 최고 수준이니까 사실이라면 긍정적이지. 하지만 여기서도 마케팅 문구 vs 공적 인증의 차이를 봐야 해:
- PCI DSS 인증은 QSA(Qualified Security Assessor)가 발행하는 ROC(Report on Compliance)로 확인할 수 있어
- 카드 브랜드(Visa, Mastercard)의 공인 서비스 제공자 목록에서 조회 가능한지가 객관적 검증 수단이야
- SCA/3DS2는 EU 규정상 필수 사항이라 “우리가 지원해”라고 말하는 건 법적 의무를 이행한다는 것과 같아
마케팅에서 이걸 특별한 장점처럼 내세우는 건, 사실 “법을 지키고 있어”라고 말하는 것과 비슷한 맥락이야.
핵심 정리
1. "Fully Licensed" = 기능별 인가의 합산이지, 단일 통합 라이선스가 아니야
2. "MiCA compliant" = 어떤 토큰·서비스·시점 기준인지 특정 안 되면 무의미해
3. 스테이블코인 백서는 있지만 준비금 감사·상환 메커니즘 공개가 부족해
4. KYC/AML 정책의 "존재"와 "운영 깊이"는 별개 문제야
5. PCI DSS, SCA/3DS2 주장은 독립 검증 수단으로 확인해야 해
FAQ
Q. “Fully Licensed”라고 쓰면 불법 아니야?
A. EMI나 VASP 등록이 실제로 있으면 거짓은 아니야. 문제는 “Fully”라는 수식어가 소비자에게 “모든 걸 다 허가받았다”는 인상을 줄 수 있다는 거지. 법적으로 사기라기보다는 마케팅의 회색 지대에 가까워.
Q. MiCA는 이미 시행 중인 거 아니야?
A. 맞아, 2024년 말부터 단계적으로 시행됐어. 그런데 전환 기간(Transitional Period)이 있어서 회원국마다 적용 시점이 달라. “compliant”라고 주장할 때 어떤 조항에 대해, 어떤 시점 기준인지가 중요한 이유야.
Q. USDXM/EURXM은 USDC나 USDT처럼 검증된 스테이블코인이야?
A. 아직은 같은 수준이라고 보기 어려워. USDC는 매월 독립 회계법인 증명을 공개하고, USDT도 분기별 보고를 해. USDXM/EURXM은 그 수준의 정기적·독립적 검증 결과가 공개되지 않았어.
Q. 미국에서 서비스 안 되는 건 큰 문제야?
A. 서비스 전략의 문제이지 그 자체가 “나쁜 징후”는 아니야. 미국 라이선스 취득은 비용과 시간이 많이 들거든. 다만 “글로벌” 마케팅과의 괴리는 인지해야 해.
Q. KYC가 있으면 안전한 거 아니야?
A. KYC “정책이 존재한다”와 “그 정책이 제대로 작동한다”는 완전히 다른 문제야. EDD 기준, 트랜잭션 모니터링 룰셋, 외부 감사 결과 같은 운영 깊이를 봐야 실질적인 안전성을 판단할 수 있어.
Q. PCI DSS Level 1은 어디서 확인해?
A. Visa Global Registry나 Mastercard의 공인 서비스 제공자 목록에서 검색할 수 있어. 홈페이지에 “Level 1”이라고만 쓰여 있으면 직접 이 목록에서 확인해 보는 게 좋아.
참고 자료 (References)
데이터 출처
| 출처 | 설명 | 링크 |
|---|---|---|
| EUR-Lex | MiCA 규정 원문 | Regulation (EU) 2023/1114 |
| EBA | EMT/ART 관련 MiCA 기술표준 | EBA MiCA |
| PCI SSC | PCI DSS 인증 기준 및 QSA 목록 | PCI SSC |
| XMoney | 공식 홈페이지 라이선스/규제 관련 페이지 | xmoney.com |
| Visa | Global Registry of Service Providers | Visa Registry |
핵심 인용
“Card payment services under the xMoney brand are provided by Capital Financial Services S.A., an electronic money institution licensed by the National Bank of Romania under authorization number IEME-RO-0001, issued on 25 April 2013.”
— xMoney About Us (https://www.xmoney.com/about-us)
다음 편 예고
[5편] XMoney vs X Money — 이름 혼동과 2026년 최근 동향
- 머스크의 X Money와 xmoney.com은 어떻게 다른지
- 2026년 1~3월 주요 업데이트 타임라인
- 이름 혼동이 만드는 피싱·사칭 위험