목차
실물자산·인프라·모빌리티공개2026-07-10읽기 4

MiCA 다음 타깃은 코인 보관 금고: ESMA CASP 커스터디 DORA 공동점검

MiCA 다음 타깃은 코인 보관 금고: ESMA CASP 커스터디 DORA 공동점검의 산업 구조와 자본시장 시사점을 출처 기반으로 정리한 리서치입니다.

관찰 포인트

Source-backed최종 승인
이 글의 목차 보기

인가받은 코인 금고를 왜 다시 묻나요

대표 이미지
대표 이미지

2026년 7월 8일, ESMA CASP 커스터디 DORA CSA가 시작됐습니다. ESMA가 EU 국가감독당국과 인가 CASP의 커스터디 서비스를 들여다보겠다고 밝힌 사건입니다. 이상한 건, MiCA로 이미 "인가받은 금고"가 된 사업자에게 다시 묻는 질문이 "사고 나면 고객 코인을 복구하고 설명할 수 있나"라는 점입니다. 자물쇠가 튼튼한지는 이제 절반의 답입니다. CCTV, 출입대장, 소방훈련 기록을 사고 뒤 바로 꺼낼 수 있느냐가 다음 비용 항목입니다.

감독 질문은 허가증에서 운영 증거로 옮겨갑니다

  1. ESMA가 공개한 CSA 점검 축은 6개입니다. DLT 거버넌스, 키·스토리지, 거래통제, 사고 탐지·대응, 스마트컨트랙트 리스크, 외부 제공자 의존성입니다.

  2. 점검은 2026년 하반기부터 2027년 상반기까지 진행되고, 2027년 하반기 이후 최종 보고로 모입니다. 그래서 이 사건은 하루짜리 보도자료가 아니라, 감독당국과 CASP가 같은 체크리스트를 맞춰가는 관찰 창입니다.

  3. DORA는 2025년 1월 17일부터 적용 중입니다. 인가 CASP와 자산준거토큰 발행자는 금융 엔티티 범위에 들어가고, MiCA의 커스터디 조항은 고객별 포지션 장부·자산 분리·반환 절차·귀책 손실 책임을 요구합니다. 새 법이 튀어나온 게 아니라, 이미 있는 의무가 커스터디 운영 현장으로 내려온 겁니다.

ESMA CSA가 묻는 것은 인가보다 운영 증거입니다
ESMA CSA가 묻는 것은 인가보다 운영 증거입니다

키와 로그와 사고보고는 따로 놀지 않습니다

  1. 커스터디는 키만 보관하는 일이 아닙니다. 키가 만들어지고, 누가 접근했고, 어떤 거래가 승인됐고, 고객 장부와 맞았는지가 한 줄로 이어져야 합니다.

  2. DORA의 중대 ICT 사고 보고는 4시간/24시간/72시간/1개월 리듬으로 움직입니다. 그래서 로그, 연락망, 원인분석, 비용·손실 기록은 사고 난 뒤 쓰는 보고서가 아니라 평소 돌아가는 운영 워크플로가 됩니다.

  3. 이 패턴은 처음이 아닙니다. 물류 클레임과 의료청구/보험 심사에서도 최종 책임은 고객 조직과 담당자에게 남고, 공급자는 예외큐·감사로그·운영증적을 팔았습니다. 인코어가 추적하는 공통 패턴으로 보면 이번 CASP 커스터디도 "책임 잔류·증적 판매형"에 가깝습니다. 다만 공급자가 CASP의 최종 책임까지 가져가지는 않고, 감독·기관고객 실사에서 로그·장부·외부 제공자 register가 실제 계약 요구가 될 때만 반복 운영매출로 굳습니다.

책임은 남고 증적이 팔리는 산업 공식
책임은 남고 증적이 팔리는 산업 공식

CASP가 책임지고, 공급자는 증거를 팝니다

대표 사례를 하나만 보겠습니다. 회사명이 아니라 CASP custody operating evidence layer, 즉 커스터디 운영증거 층입니다. 이 층은 고객자산 보관에서 시작해 키 생애주기, 거래통제, 고객별 포지션 장부와 reconciliation, 외부 제공자 register, 사고보고 템플릿, 감사로그와 통제 테스트로 이어집니다.

고객에게는 보관 서비스처럼 보입니다. 감독 앞에서는 다릅니다. "누가 언제 무엇을 보고 판단했나"를 꺼내는 자료실이 됩니다.

돈을 내는 쪽은 인가 CASP, 커스터디·서브커스터디 사업자, 관련 금융 엔티티입니다. 이들이 사는 것은 책임 면제권이 아닙니다. 키관리 도구, 보안관제, 사고대응, DORA register, 계약관리, 감사·assurance, 보험·보증 운영처럼 증거를 계속 남기는 운영 서비스입니다.

CASP가 돈을 내고 공급자는 증거를 파는 구조
CASP가 돈을 내고 공급자는 증거를 파는 구조

솔직히 이 대목이 핵심인데, 공급자는 금고 주인이 되지 않습니다. 금고 주인이 밤마다 잠을 잘 수 있게 CCTV와 출입대장, 훈련 기록을 정리해주는 쪽입니다. 코인은 지갑에 있지만, 돈은 로그와 장부에서 나기 시작합니다.

인코어 관점: 토큰 가격보다 기록의 질을 봐야 합니다

봐야 할 쪽은 화려한 지갑 기술 하나보다, 키·로그·사고보고·외부 제공자 장부를 한 운영 흐름으로 묶는 CASP와 공급자입니다. 위험한 쪽은 인가 서류는 갖췄지만, 사고가 나면 로그·장부·계약 증적이 서로 다른 폴더에 흩어진 조직입니다.

앞으로 볼 것은 세 가지입니다.

  • CSA 진행 중 NCA가 어떤 운영증거를 반복해서 요구하는지.
  • 2027년 하반기 이후 ESMA final report가 어떤 약점을 공통 이슈로 묶는지.
  • DORA 사고보고와 외부 제공자 register의 품질이 고객 실사에서 어떻게 쓰이는지.

토큰 가격은 매일 움직입니다. 하지만 커스터디 사업의 체질은 기록을 꺼내야 하는 날 드러납니다.

관련 리서치

Source Notes출처 메모(13건 · 클릭해 펼치기)
  1. S001

    Source Notes

    원문 보기

    Source Notes

  2. S002

    C001/N001 ↔ S001, confirmed: ESMA는 2026-07-08 CASP custody digital operational resilience CSA를 발표했습니다. URL:

    원문 보기

    C001/N001 ↔ S001, confirmed: ESMA는 2026-07-08 CASP custody digital operational resilience CSA를 발표했습니다. URL: https://www.esma.europa.eu/press-news/esma-news/esma-launches-common-supervisory-action-casps-digital-operational-resilience

  3. S003

    C003/N002 ↔ S001, confirmed: CSA 점검 범위는 DLT governance, key/storage, transaction controls, incident detection/response, smart contract risks, third-party dependencies의 6개 축입니다. 본문에서는 이를 운영예산이 붙는 위치로 해석했습니다. URL:

    원문 보기

    C003/N002 ↔ S001, confirmed: CSA 점검 범위는 DLT governance, key/storage, transaction controls, incident detection/response, smart contract risks, third-party dependencies의 6개 축입니다. 본문에서는 이를 운영예산이 붙는 위치로 해석했습니다. URL: https://www.esma.europa.eu/press-news/esma-news/esma-launches-common-supervisory-action-casps-digital-operational-resilience

  4. S004

    C002/N003-N005 ↔ S001, confirmed: CSA는 2026H22027H1에 진행되고 2027H2 이후 최종 보고로 이어질 예정입니다. CSA는 새 법률이나 제재 결과가 아니라 supervisory convergence action입니다. URL:

    원문 보기

    C002/N003-N005 ↔ S001, confirmed: CSA는 2026H22027H1에 진행되고 2027H2 이후 최종 보고로 이어질 예정입니다. CSA는 새 법률이나 제재 결과가 아니라 supervisory convergence action입니다. URL: https://www.esma.europa.eu/press-news/esma-news/esma-launches-common-supervisory-action-casps-digital-operational-resilience

  5. S005

    C004/N011 ↔ S004·S006, confirmed: DORA는 2025-01-17부터 적용되고 authorised CASPs와 asset-referenced token issuers를 금융 엔티티 범위에 포함합니다. URL: / https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora

    원문 보기

    C004/N011 ↔ S004·S006, confirmed: DORA는 2025-01-17부터 적용되고 authorised CASPs와 asset-referenced token issuers를 금융 엔티티 범위에 포함합니다. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554 / https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora

  6. S006

    C005 ↔ S005, confirmed: MiCA Article 75는 custody policy, 고객별 position records, 자산·접근수단 반환 절차, 고객자산 분리, 귀책 손실 책임을 요구합니다. URL:

    원문 보기

    C005 ↔ S005, confirmed: MiCA Article 75는 custody policy, 고객별 position records, 자산·접근수단 반환 절차, 고객자산 분리, 귀책 손실 책임을 요구합니다. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32023R1114

  7. S007

    C006 ↔ S004·S005, confirmed: MiCA outsourcing 조항과 DORA ICT third-party 조항은 외주나 ICT 제공자 사용이 CASP/financial entity의 최종 책임을 제거하지 않는다는 경계를 뒷받침합니다. URL: / https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554

    원문 보기

    C006 ↔ S004·S005, confirmed: MiCA outsourcing 조항과 DORA ICT third-party 조항은 외주나 ICT 제공자 사용이 CASP/financial entity의 최종 책임을 제거하지 않는다는 경계를 뒷받침합니다. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32023R1114 / https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554

  8. S008

    C008 ↔ S013·S014·S015·S016·S017·S020·S021·S022, confirmedwithcaveat: ICT 자산관리, cryptographic controls, logging, incident templates, register of information, subcontracting, third-party contractual policy, TLPT는 운영증거 레이어 해석의 근거입니다. 특정 MPC/HSM/SIEM/SOAR 제품이나 스마트컨트랙트 스캐너가 규제상 필수라는 뜻은 아닙니다.

    원문 보기

    C008 ↔ S013·S014·S015·S016·S017·S020·S021·S022, confirmedwithcaveat: ICT 자산관리, cryptographic controls, logging, incident templates, register of information, subcontracting, third-party contractual policy, TLPT는 운영증거 레이어 해석의 근거입니다. 특정 MPC/HSM/SIEM/SOAR 제품이나 스마트컨트랙트 스캐너가 규제상 필수라는 뜻은 아닙니다.

  9. S009

    N025-N028 ↔ S016·S017·S019, confirmed: DORA major ICT incident reporting의 4시간/24시간/72시간/1개월 기한은 사고대응·템플릿·로그·비용손실 집계가 반복 운영비가 되는 이유를 설명합니다. URL: / https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L202500302

    원문 보기

    N025-N028 ↔ S016·S017·S019, confirmed: DORA major ICT incident reporting의 4시간/24시간/72시간/1개월 기한은 사고대응·템플릿·로그·비용손실 집계가 반복 운영비가 되는 이유를 설명합니다. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L202500301 / https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L202500302

  10. S010

    mechanismmap ↔ PAT-001 A-2, C3 조건부: 본문 cross-industry 비교는 물류 클레임과 의료청구/보험 심사로 제한했습니다. 공통점은 최종 책임이 CASP/고객 조직에 남고 공급자는 예외큐·감사로그·운영증적을 판다는 점입니다.

    원문 보기

    mechanismmap ↔ PAT-001 A-2, C3 조건부: 본문 cross-industry 비교는 물류 클레임과 의료청구/보험 심사로 제한했습니다. 공통점은 최종 책임이 CASP/고객 조직에 남고 공급자는 예외큐·감사로그·운영증적을 판다는 점입니다.

  11. S011

    C017 ↔ S001·S003·S004·S005·S006·S019, confirmedabsenceinreviewedsources: 검토 출처는 CSA 질의서, 표본 CASP 명단, 개별 CASP 위반 가능성, CASP custody 시장규모, compliance spend, 벤더 점유율, ROI를 제공하지 않습니다. 본문에서 해당 항목은 단정하지 않았습니다.

    원문 보기

    C017 ↔ S001·S003·S004·S005·S006·S019, confirmedabsenceinreviewedsources: 검토 출처는 CSA 질의서, 표본 CASP 명단, 개별 CASP 위반 가능성, CASP custody 시장규모, compliance spend, 벤더 점유율, ROI를 제공하지 않습니다. 본문에서 해당 항목은 단정하지 않았습니다.

  12. S012

    C016/N023 ↔ S015, unconfirmedoriginalclaim: 2025/532가 2025-07-02에 발효됐다는 원 주장 사용 금지. 2025-07-02는 OJ publication date이고, audit은 발효일을 2025-07-22로 정정했습니다. URL:

    원문 보기

    C016/N023 ↔ S015, unconfirmedoriginalclaim: 2025/532가 2025-07-02에 발효됐다는 원 주장 사용 금지. 2025-07-02는 OJ publication date이고, audit은 발효일을 2025-07-22로 정정했습니다. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L202500532

  13. S013

    본문 밖 보조 숫자: MiCA Class 2 EUR 125,000 및 fixed overhead 1/4(N015-N016), 보험 1년·90일(N017-N018), ESAs 2025 major ICT incidents 3,383건·0.18·약 1/3·10%(N029-N033), TLPT 3년(N038), MiCA Register 5개 CSV·weekly interval(N008-N009)은 confirmed입니다. 다만 본문 숫자 과밀과 CASP custody 전용 통계 오해를 피하려고 Source Notes로 내렸습니다.

    원문 보기

    본문 밖 보조 숫자: MiCA Class 2 EUR 125,000 및 fixed overhead 1/4(N015-N016), 보험 1년·90일(N017-N018), ESAs 2025 major ICT incidents 3,383건·0.18·약 1/3·10%(N029-N033), TLPT 3년(N038), MiCA Register 5개 CSV·weekly interval(N008-N009)은 confirmed입니다. 다만 본문 숫자 과밀과 CASP custody 전용 통계 오해를 피하려고 Source Notes로 내렸습니다.

산업 리서치를 메일로

새 리서치·업데이트·주간 핵심 질문을 주 1회 또는 주요 공개 시 받아볼 수 있게 준비 중입니다.

알림받기