크립토 거래소 선택 5개 필터 — 포렌식 사전 부검 프레임워크

서문 · 8척의 배, 하나의 청사진

본 아카이브를 위해 저는 책 한 권 분량의 재구성 세 편을 이미 썼습니다 — Mt.Gox, Luna, FTX. 이 강의의 중국어판은 2026년 5월에 발표되었고 그 세 권을 쓰는 동안 저장해 둔 메모장에서 자라났습니다. 매 장을 마칠 때마다 저는 같은 질문 앞에 멈춰 섰습니다 — 신중한 외부 관찰자가 무언가 잘못되었음을 알아챌 수 있었던 가장 이른 순간은 언제였을까. 파산이 접수된 순간이 아니라, 언론이 보도한 순간이 아니라, 구조적 신호가 이미 공개된 자료 위에 떠 있던 그 순간. 저는 그 순간들을 표로 만들기 시작했습니다. 침몰선이 여덟 척에 이르자 목록은 다섯 개의 범주로 수렴했습니다. 그것이 5개 필터입니다.

본 연구의 8개 침몰선: Mt.Gox 2014, Bitfinex 2016, BitGrail 2018, Cryptopia 2019, QuadrigaCX 2019, Celsius 2022, Voyager 2022, FTX 2022. 각각 3,000만~80억 달러 사이의 고객 자금을 잃었습니다. 각각 당시 시장의 일부 구간에서 1티어 또는 최소한 평판 좋은 거래소로 평가받았습니다. 각각 본문에서 정리할 다섯 개의 적신호 중 최소 3개를 동시에 보유하고 있었습니다. FTX는 다섯 개 전부를 맞췄습니다. Bitfinex 2016만이 부분적 예외인데 — 멀티시그 핫월렛 익스플로잇이라는 기술적 이유로 가라앉았지만 — 그곳에도 사용자 보호 기금이 없었기 때문에 'BFX 토큰'으로 손실을 사회화하는 방식을 강제당했습니다.

본 강의는 네 부분으로 구성됩니다. 첫째, 8척의 한 단락 부검(필터의 이름을 붙이기 전에 패턴을 먼저 보이기 위해). 둘째, 5개 필터 자체 — 각 필터마다 역사적 기원, 점검 절차, 그리고 2026년 4~5월에 한국 5개 원화거래소와 국제 4대 거래소에 직접 돌린 핸즈온 결과. 셋째, 5개 필터를 4단계 포지션 규모 결정 트리로 매핑하는 점수표. 넷째, 프레임워크가 실패하는 지점에 대한 명시적 자기 비판. 마지막 장을 남겨두는 이유는 — 자기 방법론이 작동한다는 사실만 전달하고 작동하지 않는 경계는 말해주지 않는 문서는 제품을 파는 것이지 기예를 가르치는 것이 아니기 때문입니다.

한국 독자께 먼저 하나의 좌표를 드리고 시작하겠습니다. 본 강의는 보편적 거래소 선택 프레임워크이지만, 한국 거주자에게 모든 점검의 출발선은 KoFIU(금융정보분석원) 신고 여부입니다. 「특정금융정보법」 제7조에 따라 한국 거주자를 대상으로 가상자산 영업을 하려면 KoFIU에 신고된 가상자산사업자(VASP)여야 합니다. 2026년 5월 기준 원화 입출금이 가능한 신고 사업자는 다섯 곳입니다 — Upbit, Bithumb, Coinone, Korbit, GOPAX. 본 글의 5개 필터는 그 신고 여부를 확인한 다음 단계의 점검 도구입니다. 외국 거주자나 비거주자 상태의 시민권자에게는 본인 거주국 규정이 우선합니다 — 그 분들께도 5개 필터는 보편적으로 적용됩니다.

제1장 · 8개 침몰을 나란히 놓고 보기

각 침몰선을 한 단락으로 정리합니다. 규모, 손실, 근본 원인, 그리고 구조적으로 무언가 잘못되어 있다는 첫 공개 신호. 본 장의 목적은 패턴 인식입니다 — 8척을 한 번에 읽으면 다음 장에서 이름을 붙이기 전에 공유된 청사진이 이미 또렷해집니다.

Mt.Gox 2014

규모: 정점 시점 전 세계 BTC 거래량의 70% 이상. 손실: 약 85만 BTC — 2014년 기준 4억 8천만 달러, 2026년 시세로 510억 달러 이상. 근본 원인: 부실한 핫월렛 키 관리, 총잔액만 대조하는 회계, 독립 CFO 부재, 그리고 한 번의 사건이 아닌 3년에 걸쳐 지갑을 빼간 만성적 트랜잭션 가단성(malleability) 익스플로잇. 침몰 12개월 전 첫 신호: 2013년 5월 미국 ICE가 Mt.Gox 미국 자회사의 Dwolla 계좌를 무면허 자금 송금 혐의로 압류; 다음 달 CEO Mark Karpelès는 Wired 인터뷰에서 "우리 코드베이스는 원하는 만큼 정돈되어 있지 않다"고 공개적으로 인정; 회사에는 독립 CFO가 없었고 감사된 준비금 보고서를 한 번도 공개한 적이 없었습니다.

Bitfinex 2016

규모: 2016년 USD/BTC 3대 거래소 중 하나. 손실: 약 12만 BTC — 2016년 기준 7,200만 달러, 2022년 미국 DOJ가 대부분 회수했을 때 시세로 약 80억 달러. 근본 원인: BitGo를 공동 서명자로 하는 멀티시그 핫월렛 구조가 침해당해 공격자가 필요한 서명 키 두 개를 확보. 결과: Bitfinex는 파산하지 않았습니다. 대신 'BFX 토큰'으로 모든 고객에게 손실을 사회화했습니다 — 주요 거래소가 챕터 11에 준하는 절차를 피하기 위해 토큰 헤어컷 모델을 사용한 최초의 사례. 첫 신호: 보안 연구자들이 침해 이전 수개월간 Bitfinex의 멀티시그 구현 세부 사항을 공개적으로 의심해 왔으나 회사는 답하지 않았습니다. 본 샘플에서 근본 원인이 거버넌스가 아닌 기술인 유일한 배지만, 여기서도 사용자 보호 기금의 부재가 결국 토큰 헤어컷 우회를 강제했습니다.

BitGrail 2018

규모: 작은 이탈리아 거래소이지만 NANO의 주요 거래 무대. 손실: 약 1,700만 NANO, 당시 약 1억 7천만 달러. 근본 원인: 창업자 Francesco Firano가 본인 트레이딩 손실을 메우기 위해 수년간 고객 예치금을 횡령; 두 개의 장부를 운영했습니다 — 사용자에게 보여주는 공개 장부와 실제 현금 포지션을 반영하는 내부 장부. 결과: 이탈리아 법원이 2019년 Firano에게 개인 책임을 인정했으나 사용자 실제 회수율은 10% 미만. 첫 신호: 붕괴 이전 6개월간 NANO 서브레딧에 거래소가 공개적으로 설명하지 않는 출금 지연 보고가 끊임없이 이어졌습니다. 저는 2017년 여기에서 작은 NANO 포지션을 잃었습니다 — 그 경험이 결국 이 아카이브를 시작하게 만든 출발점 중 하나입니다.

Cryptopia 2019

규모: 중간 규모 뉴질랜드 거래소, 정점 시점 월 거래량 약 50억 달러. 손실: 약 3천만 달러, 2019년 1월 단일 핫월렛 익스플로잇으로 유출. 근본 원인: 원시적 핫월렛 구조 — 지원하는 모든 토큰이 자산별 분리 없이 하나의 핫월렛을 공유, 키 하나의 침해가 전체를 한 번에 비웠습니다. 결과: 뉴질랜드 고등법원이 2019년 5월 청산 명령을 내렸고 청산 절차는 2024년까지 이어졌으며 최종 회수율은 영향받은 잔액의 50% 미만. 첫 신호: 주요 침해 3개월 전 더 작은 규모의 이상 인출이 발생했으나 회사는 공개하지 않았습니다. 내부 사고 대응 정책이 한 번도 성숙되지 않았습니다.

QuadrigaCX 2019

규모: 당시 캐나다 최대 가상자산 거래소. 손실: 약 2억 캐나다 달러(약 1억 6천만 미국 달러). 근본 원인: 창업자 Gerald Cotten이 2018년 12월 인도에서 사망했다고 보도되었으며 회사는 그만이 콜드월렛 키를 알았다고 주장. Ernst & Young의 포렌식 회계는 그 '콜드월렛'들이 그의 사망 수개월 전부터 이미 비어 있었음을 밝혀냈습니다 — Cotten은 고위험 개인 트레이딩을 위해 고객 자금을 횡령해 왔고 그 간극을 메울 수 없었습니다. 결과: EY가 수탁자로서 청산 수수료를 청구한 금액이 최종 사용자 분배금을 초과했습니다. 첫 신호: 2018년 하반기에 캐나다 주요 은행 여러 곳이 AML 우려를 이유로 Quadriga 정산 처리를 거부하기 시작했으나 회사는 이 은행 압박을 공개하지 않았습니다.

Celsius 2022

규모: 정점 시점 미국 최대 중앙화 가상자산 대출 플랫폼. 손실: 약 47억 달러의 동결된 고객 예치금. 근본 원인: 플랫폼이 약속한 연 최대 17% 수익률은 고객 예치금을 고위험 DeFi 프로토콜에 배치해서 만들어낸 것이었습니다 — Anchor Protocol의 UST 20% 수익과 stETH-ETH 차익거래 포함. 2022년 5월 Luna가 무너지고 6월 11일 stETH가 디페그한 뒤, Celsius는 6월 13일 인출을 중단하고 7월 파산을 신청했습니다. 결과: CEO Alex Mashinsky는 증권 사기 등 7개 연방 혐의로 기소. 첫 신호: 2021년 말부터 독립 분석가들이 17% 수익률의 지속 가능성을 공개적으로 의문 제기했으나 Mashinsky는 비판자들을 'FUD'로 낙인찍었을 뿐 기저 수학에 답하지 않았습니다.

Voyager 2022

규모: 미국 상장 가상자산 브로커(NASDAQ: VYGVQ). 손실: 약 16억 5천만 달러 고객 예치금. 근본 원인: Voyager가 단일 거래상대방에게 약 6억 7천만 달러의 고객 자금을 대출했는데 그 상대가 Three Arrows Capital이었습니다. 2022년 6월 3AC가 Luna 노출로 무너지자 Voyager는 대출을 회수할 수 없었습니다. 첫 신호: Voyager의 2022년 초 SEC 공시는 '집중 위험(concentration risk)'을 모호한 표현으로 언급했을 뿐 구체적인 6.7억 달러 단일 상대방 노출을 공개하지 않았습니다. 공시 집계 — 가장 큰 단일 거래상대방 노출을 '집중 위험' 단락에 묻어 두고 이름을 부르지 않는 것 — 그 자체가 적신호입니다.

FTX 2022

규모: 붕괴 직전 글로벌 2위 가상자산 거래소. 손실: 약 80억 달러의 고객 자금 부족분. 근본 원인: Alameda Research — FTX 창업자 SBF가 90% 이상 소유한 트레이딩 회사 — 가 백엔드 코드 스위치('allow_negative_balance'로 사후 CEO John Ray III가 명명)를 사용해 담보 없이 FTX 고객 자금을 차입. Alameda는 Luna-3AC 연쇄 붕괴 기간에 약 80억 달러의 고객 자금을 잃었습니다. 전체 재구성은 화폐 침몰록 · 제3권에 있습니다. 첫 신호: 2022년 11월 2일 CoinDesk가 공개한 Alameda 대차대조표 유출은 146억 달러 자산의 거의 전부가 FTT, SOL을 포함한 FTX 관계 토큰임을 보여주었습니다 — 정상적 지급여력 분석가라면 누구든 즉시 깃발을 들었을 순환 준비금 구조. SBF는 11월 7일 지금은 악명 높아진 트윗으로 답했습니다 — "FTX is fine. Assets are fine." 나흘 뒤 FTX는 파산 보호를 신청했습니다.

제2장 · 공유된 조기 신호

위 8개 침몰선은 근본 원인 기준으로 두 무리로 나뉩니다 — 셋은 거버넌스·사기(BitGrail, Quadriga, FTX), 셋은 레버리지·수익률 실패(Celsius, Voyager, 3AC 인접), 하나는 운영자 측 지갑 실패(수년에 걸친 Mt.Gox), 하나는 기술적(Bitfinex 2016). 다른 메커니즘에도 불구하고, 동일한 다섯 개의 구조적 신호가 모든 침몰선에 나타납니다.

모든 배가 최소 세 개 신호를 맞췄습니다. FTX는 다섯 개 전부를 맞췄습니다. Bitfinex 2016이 이상치인데 — 거버넌스가 아닌 기술적 이유로 가라앉았으나 — 여기서도 사용자 보호 기금이 없었기 때문에 BFX 토큰 우회를 강제당했습니다. 이 다섯 차원을 뒤집은 것이 5개 필터입니다.

제3장 · 다섯 개의 필터

각 필터마다 네 가지를 적습니다 — (1) 왜 중요한가, 역사적 침몰선에 정박해서; (2) 표준의 역사적 기원, 모든 표준은 어딘가에서 왔기 때문에; (3) 점수표를 다시 돌릴 때 제가 따르는 정확한 점검 절차; (4) 2026년 5월 시점 한국 5대 원화거래소(Upbit, Bithumb, Coinone, Korbit, GOPAX)와 국제 4대 거래소(Binance, Coinbase, OKX, Kraken)에 직접 돌린 핸즈온 결과. 핸즈온 결과는 위조할 수 없는 부분입니다 — 실제로 거래소의 PoR 페이지를 열어 자가 감사 도구를 돌리고 온체인 지갑을 공시 숫자와 대조해야 합니다. 그것이 제가 6개월마다 다시 하는 작업입니다.

필터 1 · 독립 제3자에 의한 월간 PoR + zk-SNARK 사용자 부채 증명

왜 중요한가. PoR이 없다는 것은 거래소가 "우리는 X달러를 보유하고 있다"고 말하는 것을 그대로 받아들이고 점검 권한은 포기하는 것입니다. FTX, QuadrigaCX, Celsius가 2022년 11월 시세 기준 합쳐서 130억 달러 이상의 고객 자금을 흡수했는데 — 어느 곳도 의미 있는 PoR을 한 번도 공개하지 않았습니다. 만일 셋 중 어느 한 곳이라도 머클트리 부채 측 준비금 보고서를 한 번이라도 공시하도록 강제되었다면 간극은 공개적으로 드러났을 것입니다. PoR은 기술적 질문이 아닙니다. 외부인이 장부를 보는 것을 거래소가 허락할 의지가 있는가의 질문입니다.

역사적 기원. 'Proof of Reserves'라는 용어는 2014년 가상자산 어휘에 처음 등장했습니다. Kraken 창업자 Jesse Powell이 Mt.Gox 붕괴 대응으로 Stefan Thomas(나중에 Ripple CTO)에게 첫 머클트리 자산 측 감사를 의뢰했습니다. 그 초기 버전은 자산만 다루고 부채는 다루지 않았습니다 — 업계가 이후 '반쪽 PoR'이라 부른 형태. 2017년부터 2022년까지 PoR은 선택사항이었습니다. 공개하고 싶은 거래소는 가끔 공개했고, 그렇지 않은 곳은 공개하지 않았습니다. 강제는 없었습니다.

표준은 FTX가 2022년 11월 파산 신청한 뒤 2주 사이에 굳어졌습니다. CZ는 트위터에서 "모든 주요 거래소가 월간 PoR을 시작해야 한다"고 공개적으로 요구했고, Binance는 2022년 11월 25일 Mazars가 감사한 첫 BTC 준비금 보고서를 공개했습니다. 업계가 분기되었습니다 — OKX가 12월 4일 뒤따랐고, Kraken은 오래된 감사 형식을 업그레이드했으며, Bitfinex가 12월에 합류했습니다. Bybit는 2023년 1월까지 기다렸고, Gate.io는 검증 불가능하다는 광범위한 비판을 받은 자체 감사를 공개했습니다. 그 분기 — 누가 따랐고 누가 따르지 않았으며 얼마나 오래 걸렸는가 — 그 자체로 유용한 필터이며 모두 공개 기록입니다.

한국 거래소의 PoR 진화. 한국 5대 원화거래소는 약간 다른 길을 걸어왔습니다. 「가상자산 이용자 보호법」(2024.07.19 시행)은 거래소에 고객 예치금과 가상자산을 100% 분리 보관하고, 가상자산 보유 현황을 거래소 공식 사이트에 공개할 의무를 부과했습니다. 이것은 머클트리 자가 감사를 갖춘 zk-SNARK PoR보다는 약한 형태이지만, 분기별 외부 감사인 검토와 결합하면 글로벌 평균 이상의 투명성에 도달합니다. Upbit는 2025년 11월 삼정KPMG와 함께 글로벌 표준 머클트리 PoR을 시범 도입한다고 발표했고, Bithumb는 2025년 중 외부 감사 PoR을 도입했습니다. Coinone, Korbit, GOPAX는 분기별 재무제표 외부 검토에 의존하며 zk-SNARK 부채 증명까지는 도입하지 않았습니다.

2024년 이후의 기술적 진화: zk-SNARK 부채 증명. 첫 번째 FTX 이후 PoR 물결은 단순한 머클트리를 사용했습니다 — 본인 계정 ID를 해시하고 본인 잔액이 트리에 포함되었는지 확인합니다. 약점은 포함된 모든 잔액의 합이 거래소가 공시한 총 부채와 같다는 것을 이 방식으로는 검증할 수 없다는 점입니다. 공격면: 거래소가 트리의 일부 사용자에게 헤어컷된 잔액을 줄 수 있습니다(실제 빚: 1 BTC, 트리 항목: 0.9 BTC); 각 사용자는 본인 행만 볼 뿐 합계는 보지 못합니다.

2023년 말부터 Binance는 zCloak·PolygonID와 협업해 zk-SNARK 부채 증명을 PoR 파이프라인에 통합했습니다. 암호학적 보장은 "모든 사용자 잔액의 합이 X이다"를 개별 잔액을 노출하지 않고 검증하고 — X가 온체인 자산 총합 이하임을 검증한다는 것입니다. Coinbase는 미국 상장 회사로서 다른 경로를 걷습니다 — 분기 SOC 보고서 + 독립 제3자 감사 + SEC 10-Q 공시가 규제 보완 역할. 두 경로 모두 부채 측을 검증합니다. 전자는 더 실시간이고 더 온체인입니다. 후자는 감사가 부정직할 경우 더 강한 법적 구제가 있습니다.

점검 절차(단계별).

1. 거래소 공식 사이트를 열고 'Proof of Reserves' 또는 'PoR' 또는 한국어 사이트의 경우 '준비금 공시'를 검색 — 페이지가 존재하지 않으면 이 필터는 해당 거래소에 대해 0점.
2. 감사 법인을 확인. 빅4 또는 대형 독립 법인(Deloitte, PwC, Mazars, Armanino, TheNetworkFirm)이 무명 회계사보다 신뢰도가 높습니다. 한국 거래소의 경우 삼정KPMG, 한영(EY), 안진(딜로이트), 삼일(PwC) 4대 회계법인이 분기 검토를 수행합니다. 참고로 Mazars는 2022년 12월 말 미국 컴플라이언스 압박으로 가상자산 감사에서 철수했습니다 — Binance는 Period 6부터 TheNetworkFirm(Armanino의 가상자산 부서 분사)로 전환. 그 전환은 공개적으로 문서화된 사건이지 '감사인에게 버려진' 사건이 아닙니다.
3. 주기를 확인. 월간이 분기보다, 분기가 연간보다 낫고, 주기 약속이 없는 것은 PoR이 아닙니다. 변동성이 큰 시장에서 5개월 된 스냅샷은 기능적으로 유통기한이 지난 자료입니다.
4. 부채까지 다루는지 확인. 자산 측 PoR만 있으면 게이밍이 가능합니다 — 스냅샷 당일 친구에게 코인을 빌리면 됩니다. 머클트리 + zk-SNARK 부채 증명이 현재 가장 강한 표준입니다. 보고서가 "우리 BTC 지갑 잔액은 X"만 말하고 "사용자 측 부채는 Y, X ≥ Y"를 말하지 않으면 보고서 가치는 반감됩니다.
5. 자가 감사 가능 여부 확인. 좋은 PoR은 자가 감사 도구를 제공합니다 — 본인 계정 해시를 입력하면 최신 머클트리에 본인 잔액이 포함되었음을 즉시 확인. Binance, OKX, Kraken 모두 보유. 백오피스에서 한두 번 클릭이면 됩니다. Upbit는 2025년 11월부터 한국 거래소 최초로 자가 감사 도구를 시범 운영 중입니다.

2026년 5월 점수(PoR 엄격도 순): Binance — 월간 TheNetworkFirm + zk-SNARK + 자가 감사 = 1.0; OKX — 월간 + zk-SNARK + 자가 감사 = 1.0; Kraken — 월간 머클 + 자가 감사 = 0.95; Coinbase — PwC 분기 + SEC 10-Q 백스톱(자가 감사 없음) = 0.9; Upbit — 시범 PoR(KPMG) + 분리 보관 + 자가 감사 베타 = 0.85; Bithumb — 외부 감사 PoR(EY) + 분리 보관 = 0.75; Coinone — 분기 재무 검토 + 분리 보관 = 0.65; Korbit — 분기 재무 검토 + 분리 보관 = 0.6; GOPAX — 분기 재무 검토 + 분리 보관 = 0.5.

필터 2 · 다중 관할에 걸친 최소 3개의 의미 있는 금융 라이선스

왜 중요한가. 단일 관할 운영은 정책 위험을 한 곳에 집중시킵니다. Cryptopia는 단일 관할 뉴질랜드에서 죽었습니다. BitGrail은 단일 관할 이탈리아에서 죽었습니다. Mt.Gox는 일본에서만 명목상 라이선스를 가졌고 해외 자회사 라이선스가 없었습니다. 다중 관할은 정책 위험 분산 그 이상입니다 — 최소 3개의 독립 규제 당국이 컴플라이언스 서류를 따로따로 검토했다는 뜻입니다. 그것은 하나가 아니라 세 개의 독립 도장입니다. 어떤 거래소의 컴플라이언스 문서가 장식인지 의심된다면, 감사를 의뢰하는 것보다 가장 저렴한 반증은 같은 문서가 프랑스 AMF, 미국 NMLS, 싱가포르 MAS — 기준이 겹치지 않는 세 규제기관 — 를 동시에 통과했는지 확인하는 것입니다.

관할 등급 분류. 가상자산 라이선스는 세 등급으로 나뉩니다.

• 1티어(취득 진정 어려움): 미국 뉴욕 NYDFS BitLicense(2015년 이후 총 약 35개 발급, 평균 검토 18개월 이상); 일본 FSA(자본금 1,000만 엔 최저, 월간 컴플라이언스 보고, 95% 콜드 스토리지 요건); 싱가포르 MAS DPT Licence(2022년부터 발급 동결, 보유 약 20개); 홍콩 SFC Type 1/7(물리적 사무소 + 지정 책임자 필수); 한국 KoFIU 가상자산사업자 신고(「특정금융정보법」 제7조 + 「가상자산 이용자 보호법」 + 실명계좌 발급 은행 4대 요건). 한국 신고는 자본금·콜드 스토리지·실명계좌·정보보호 관리 체계(ISMS) 등을 종합 심사하는 사실상 1티어 표준입니다.
• 2티어(중간 기준): 프랑스 AMF PSAN(2024년 MiCA-CASP로 업그레이드); 독일 BaFin Kryptowerte(2020년 이후); 이탈리아 OAM(등록 기반, 약함); 아일랜드 중앙은행; 영국 FCA Crypto Registration.
• 3티어(형식상 엄격, 실질상 가벼움): 두바이 VARA(2022년 설립, 혁신 친화적이지만 집행 디테일 미완); 바하마 SCB(FTX가 보유했던 것); 카자흐스탄 AFSA; 세이셸. 3티어 자체가 나쁘다는 의미는 아닙니다만, 단일 3티어 라이선스가 1티어를 대체할 수는 없습니다. FTX는 바하마 SCB + 미국 MSB만 보유 — 교과서적 단일 3티어 사례입니다.

점검 절차.

1. 거래소의 'Regulation' 또는 'Licenses' 페이지를 엽니다 — 보통 푸터 또는 About 하위 페이지. 페이지가 없거나 라이선스 번호 없이 이미지만 표시하면 0점.
2. 각 라이선스를 규제기관 공개 등록부에서 검증. FCA, AMF, OAM, VARA, FINTRAC, FSA, NMLS, MAS, SFC, BaFin 그리고 KoFIU 모두 공개 디렉터리 운영. 회사명 + 라이선스 번호, 30초 안에 확인 가능.
3. '신청 중', '논의 중', '원칙적 승인'은 인정되지 않습니다 — 오직 '발급 및 유효'만 인정. '원칙적 승인'은 2022~2023년 두바이 VARA와 홍콩 SFC 사례에서 남용되었습니다 — 원칙 승인은 운영 허가까지 12~18개월 떨어져 있을 수 있습니다.
4. 티어 가중치. MiCA-CASP(EU 전체) > MSB(미국 FinCEN) > 주 단위. 전자는 27개 EU 회원국을 커버하고 후자는 한 주만 커버합니다. MiCA-CASP 하나는 단일 주 라이선스 4~5개와 거의 등가입니다.
5. 라이선스가 여전히 유효한지 확인. 규제기관은 취소 등록부를 공시합니다 — FTX 이후 바하마 SCB는 라이선스를 직접 취소했습니다. 거래소 사이트에 여전히 표시된 라이선스는 역사적 기록에 불과할 수 있습니다.

핸즈온 · 2026년 5월 9개 거래소 라이선스 목록.

'1티어 수' 열이 총계보다 중요합니다. Coinbase의 1티어 3개(NYDFS + 싱가포르 MPI + BaFin)는 현재 업계 최고 품질의 라이선스 포트폴리오입니다. Bithumb의 KoFIU + 일본 FSA 2개 1티어는 한국 거래소 중 가장 강한 국제 인증 조합입니다. Binance는 총 10개 이상이지만 1티어가 한 개뿐 — 여전히 불완전한 미국 포지션을 반영. 한국 5대 원화거래소의 경우 KoFIU 신고가 1티어로 인정되지만 해외 1티어 추가 보유가 한정적입니다(Upbit 싱가포르 MAS 기본, Bithumb 일본 FSA만 예외).

2026년 5월 점수: Coinbase 1.0(1티어 깊이, 미국 거의 완전 커버); Binance 0.9(폭넓은 커버, 얇은 1티어); Kraken 0.85(미국 + EU + AU 5개 관할, 1티어 없음); Bithumb 0.75(KoFIU + 일본 FSA 1티어 2개); Upbit 0.7(KoFIU + 싱가포르 MAS 기본 + 인도네시아); OKX 0.65(4개 관할, 얇은 1티어); Coinone 0.55(KoFIU 단독); Korbit 0.55(KoFIU 단독); GOPAX 0.5(KoFIU 단독, BGX 인수 후 회복 진행 중).

필터 3 · 공개 사용자 보호 기금(공개 달러 금액 및 온체인 검증 가능 지갑)

왜 중요한가. 본 연구의 8척 중 단 한 척도 사용자를 위해 인출 가능한 진짜 보호 기금을 갖지 않았습니다. 외부 원인으로 죽은 배(Cryptopia 해킹)에서도 사용자는 파산 채권자 줄 맨 뒤로 보내졌습니다. 캐나다 Quadriga의 청산은 2026년에도 여전히 진행 중이었습니다 — EY 수탁 수수료가 최종 사용자 분배금을 초과했습니다. 'SAFU'(Secure Asset Fund for Users) 개념은 Binance가 2018년 7월 발명했습니다 — 모든 거래 수수료의 10%가 독립 지갑으로 자동 라우팅, 온체인에서 누구나 잔액 확인 가능. FTX 이후 대부분의 주요 거래소가 어떤 형태로든 채택했습니다. 그것은 수동적 파산 대기에서 능동적 사전 커버리지로 4년에 걸친 진화입니다.

'보험 기금'의 세 가지 구조적 형태 — 동등하지 않습니다.

• 온체인 분리 지갑(Binance SAFU 패턴): 거래소가 거래 수수료의 고정 %를 공개 온체인 주소로 자동 라우팅. 잔액을 누구나 점검할 수 있고, 지갑이 거래소 메인 대차대조표에서 파산 격리(bankruptcy-remote)되어 있어 — 거래소 본체가 무너져도 원칙적으로 이 기금은 사용자 배상에 사용 가능. 가장 강한 형태.
• 대차대조표 충당금(OKX, Bybit 패턴): 거래소가 법인 대차대조표에 '사용자 보호 충당금' 항목을 두지만 별도 지갑으로 분리하지 않음. 여전히 거래소 자금 — 거래소가 파산하면 이 충당금도 파산 재단에 끌려 들어갑니다. 분리 지갑 형태보다 약함.
• 상업 보험(Coinbase 패턴): 거래소가 Lloyd's, Munich Re 등에서 보험을 구매. 강점: 법적으로 강제 가능한 실제 청구권 존재. 약점: 보험 약관이 일반적으로 비공개, 커버 상한 제한적, 대부분 특정 사건(전형적으로 해킹, 운영자 횡령은 아님)만 커버.
• 한국 모델 · 법정 분리 보관 + 사이버 보안 보험: 「가상자산 이용자 보호법」(2024.07.19)이 만든 한국 특유의 4번째 형태. 법은 거래소에 (a) 고객 예치금을 신탁업자 또는 인가 금융기관에 분리 보관하고, (b) 가상자산의 80% 이상을 콜드월렛에 보관하며, (c) 핫월렛 잔고에 대한 보험·공제·준비금 중 하나를 의무화. 이것은 SAFU 모델의 분리 지갑은 아니지만 법적 강제력이 있다는 점이 결정적 차이입니다. 한국 5대 원화거래소는 이 기본 의무를 충족하며, 그 위에 자체 사용자 보호 기금을 추가 적립한 거래소(Upbit 200억원, Bithumb 100억원+사이버 보험)가 차등 점수를 받습니다.

나란히 비교한 9개 거래소 기금.

• Binance SAFU: 2018년 7월 설립, 현물 + 선물 거래 수수료의 10%로 자동 적립. 2022년 1월부터 SAFU 지갑 잔액이 10억 달러 상당(USD-equivalent)으로 공개 페그(온체인 주소 공시). 지갑은 2024-2026년 여러 시장 사이클에서 리밸런싱되었으나 $1B 바닥 유지. SAFU는 2019년 KuCoin 해킹 회수(약 4천만 달러 협력 이전)를 촉진했고 2022년 작은 내부 사건을 완전히 커버했습니다. 현재 온체인 검증 가능 잔액과 인출 이력을 동시에 가진 유일한 거래소 보호 기금입니다.
• Coinbase Insurance: 핫월렛 자산에 대한 Lloyd's of London 상업 커버(스냅샷에 따라 약 2.5~3.5억 달러 상한) + 미국 달러 잔액에 대한 FDIC 계좌당 25만 달러 보호. 한계: 약관 비공개(Lloyd's 표준), '운영자 횡령/내부자 절도' 제외 조항이 있을 가능성 — 그것이 SAFU와의 의미 있는 차이. 미국 상장 회사라는 신분이 추가 구조적 보호(예측 가능한 파산 절차) 제공.
• OKX Risk Reserve: 2022년 12월 말 약 7억 달러 온체인 지갑 주소 공개. 이후 공시 주기가 느슨해졌습니다 — 2026년 4월 주소를 점검했을 때 이전 6개월간 잔액이 4.8억~6.2억 달러 사이에서 변동했습니다. 무시할 수 없지만 SAFU의 안정 약속이 없습니다.
• Kraken: 독립 온체인 SAFU 없음; Lloyd's of London 상업 커버(금액 비공개) + 미국 달러 예치금 FDIC.
• Upbit · 투자자보호센터 200억원 적립 + 신탁 분리 보관: 두나무는 2022년 '투자자보호센터'를 통해 200억원 규모의 사용자 보호 기금을 별도 적립한다고 발표했고 2024년 350억원으로 증액. 「이용자 보호법」 시행 이후 고객 예치금은 KB국민은행에 신탁 분리 보관. 보유 가상자산의 80% 이상 콜드 스토리지. 온체인 SAFU 형태는 아니지만 법적 강제력과 추가 자체 적립의 결합으로 한국 5대 중 가장 강한 사용자 보호 구조.
• Bithumb · 사이버 보안 보험 + 분리 보관: 「이용자 보호법」 의무 분리 보관(NH농협) + 사이버 보안 보험(약관 비공개) + 자체 사고대응기금 약 100억원 적립. Coinbase 패턴과 한국 법정 모델의 혼합.
• Coinone, Korbit, GOPAX: 「이용자 보호법」 의무 분리 보관 + 사이버 보안 공제 가입. 추가 자체 적립 사용자 보호 기금은 공개 자료 기준 Upbit/Bithumb보다 작음. 법정 의무 충족 수준.

점검 절차.

1. 공개 달러 금액 또는 검증 가능 잔액을 갖춘 공개 온체인 지갑 주소를 찾습니다. 둘 다 없으면 0점.
2. 구조적 형태 확인. 분리 온체인 지갑 > 대차대조표 충당금 > 비공개 약관 상업 보험. 한국의 경우 법정 분리 보관 + 추가 자체 적립이 별도 항목.
3. 비율 계산. 보험 기금 / 사용자 수탁 총액. SAFU $1B / Binance 총 수탁(2026년 4월 약 800억) = 1.25%. OKX, Bybit는 0.8~1.2% 범위. 0.5% 미만은 실질이 아닌 상징.
4. 인출 이력 확인. 한 번도 인출되지 않은 기금은 운영 메커니즘이 검증되지 않은 것. SAFU는 문서화된 인출(KuCoin 협력, 내부 사건)이 있습니다.
5. 공시 주기 확인. 일회성 발표 후 침묵(Gate.io 패턴)은 감점.

2026년 5월 점수: Binance SAFU 1.0(온체인 + $1B + 인출 이력); Upbit 0.9(법정 분리 보관 + 350억원 자체 적립 + 80% 콜드 스토리지); Coinbase 상업 보험 0.85(약관 미공개, 운영자 횡령 비커버); Bithumb 0.8(법정 분리 보관 + 100억원 적립 + 사이버 보험); Kraken 0.7(상업 커버 + FDIC, 온체인 없음); OKX 0.7(온체인 있으나 일관성 부족); Coinone 0.65(법정 분리 + 공제); Korbit 0.65(법정 분리 + 공제, NH농협 신탁); GOPAX 0.55(법정 분리 + 공제, BGX 인수 후 자체 적립 규모 작음).

필터 4 · 관계 거래 회사 부재, 또는 격리에 대한 독립 감사

왜 중요한가. FTX-Alameda. Celsius의 CEL 펌프-앤-차입 내부 장부. Voyager의 단일 거래상대방 3AC 노출. 세 다른 패턴, 같은 근본 결함: 기업 집단이 거래소(또는 수탁자)와 관계 트레이딩 법인(또는 단일 거래상대방)을 동시에 운영하면서 사이에 강제된 장벽이 없음. 이 구조는 전통 금융에서 불법입니다 — 1933년 이후 미국 글래스-스티걸법은 정확히 상업은행과 투자은행을 한 지붕 아래 두는 것을 막기 위해 설계되었습니다. 가상자산에는 등가 법규가 없으므로, 관계사 격리는 전적으로 거래소의 자기 규율과 독립 감사에 의존합니다.

반례 · FTX-Alameda 자금 혼융 청사진. FTX가 2019년 출시되었을 때 SBF는 이미 2년간 Alameda를 운영하고 있었습니다. FTX는 바하마, Alameda는 홍콩 그 후 미국 — 명목상 두 회사. 그러나 FTX 백엔드 코드에는 스위치 — 외부 명명 'allow_negative_balance' — 가 있었고, Alameda 소속 특정 계정 하나에 적용되었습니다. 그 스위치는 그 계정이 표시된 담보를 훨씬 초과하는 고객 자금을 청산 트리거 없이 차입하게 했습니다. 그 스위치의 존재는 사후 CEO John J. Ray III(엔론을 처리한 같은 John Ray)의 첫 구조조정 선언서에서 공개되었습니다.

Alameda는 2022년 중반 Luna-3AC 연쇄에서 약 80억 달러를 차입했습니다. 그것이 FTX 고객 자금 부족분의 출처입니다. 미국 증권법에서 이 구조적 용어는 'commingling(자금 혼융)'입니다. 본질: 단일 본인이 A 회사와 B 회사를 통제. B 회사가 손실을 보면 A 회사의 고객 자금이 저항 없이 B로 흘러갑니다. 흐름은 송금이나 종이 기록이 필요 없습니다 — 백엔드 불리언 하나면 됩니다.

비교 반례 · Binance Labs / Binance Charity / Binance Pay. Binance도 관계 법인을 운영하지만 구조가 FTX/Alameda와 근본적으로 다릅니다. Binance Labs는 외부 가상자산 프로젝트에 투자하는 VC 부문(현 포트폴리오 약 35억 달러, Polygon · StarkWare · Curve 등) — binance.com에서 거래하지 않습니다. Binance Charity는 거래 기능이 없는 재단. Binance Pay는 독립 장부를 가진 결제 레일. 이 셋 중 어느 것도 메인 거래소에서 '사용자 자금을 차입할' 백엔드 인터페이스를 운영하지 않습니다.

이 구분은 2023년 미국 SEC의 Binance 소송에서 검증되었습니다. SEC 조사관들은 Binance Labs가 뒷문으로 메인 거래소에 자본을 반환한 증거를 온체인에서 찾으려 했으나 발견하지 못했습니다. 최종 41억 달러 합의는 특정 컴플라이언스 위반(미국 사용자 접근, 거래 혼합)을 다루었으나 '고객 자금 횡령' 혐의는 포함되지 않았습니다. 그 결과가 Binance를 완벽하다고 인증하지는 않지만, 관계 법인 구조가 FTX/Alameda 청사진과 실질적으로 다르다는 사실은 확립합니다.

비교 반례 · 미국 상장 공개 회사 Coinbase. Coinbase는 2021년 4월 NASDAQ에 직상장(티커 COIN). 상장 행위 자체가 강한 격리입니다. SEC가 모든 관계자 거래에 대한 10-K 연간 + 10-Q 분기 공시를 요구하고, CEO Brian Armstrong의 개인 가상자산 회사 지분은 보고 의무 대상. Coinbase Ventures(투자 부문)는 독립 LP 구조 사용; Coinbase Custody는 별도 법인. 컴플라이언스 부담은 실질적입니다 — 상장 회사 컴플라이언스 비용이 연 4,000~5,000만 달러 — 그 대가로 업계 최강의 보장(고객 자금이 CEO 개인 프로젝트로 흐를 수 없음)을 얻습니다.

비교 반례 · 한국 두나무(Upbit) 그룹 격리. 한국 거래소의 관계사 격리 패턴을 이해하려면 두나무 그룹을 사례 연구로 볼 만합니다. 두나무는 Upbit(가상자산 거래소) 외에 두나무 NFT 마켓, 람다256(블록체인 인프라), 스탁플러스(주식 정보) 등을 운영합니다. FTX-Alameda와 다른 점: (1) NFT 마켓은 별도 법인 + 별도 장부, Upbit 사용자 잔액과 분리; (2) 람다256은 B2B 인프라로 거래 기능 없음; (3) 「가상자산 이용자 보호법」 시행 이후 Upbit 고객 예치금은 KB국민은행 신탁 분리, 그룹 다른 부문이 인출할 수 있는 백엔드 경로 없음. 빗썸의 빗썸코리아·빗썸홀딩스 분리도 비슷한 구조 — 다만 빗썸홀딩스의 지분 구조 투명도는 두나무보다 낮다는 지적이 있어 왔습니다. Coinone, Korbit, GOPAX는 그룹 자회사 구조가 단순하므로 격리 위험이 본질적으로 낮습니다.

핸즈온 · 2026년 5월 9개 거래소 관계자 공시.

점검 절차.

1. 지배주주나 CEO가 동시에 다른 가상자산 회사를 통제하는지 검색. OpenCorporates, SEC EDGAR, 홍콩 회사등록처, 한국 전자공시시스템(DART) 모두 무료.
2. 관계 법인이 있다면 SOC 2 Type 2 또는 등가 독립 감사가 격리를 증명하는지 확인. SOC 2 Type 2는 '통제 효과성'에 대한 AICPA 표준으로 가상자산에서 드뭅니다(Coinbase Custody 보유, Anchorage 보유).
3. 거래소가 최대 단일 거래상대방 노출을 공시하는지 확인(Voyager는 하지 않았음; FTX는 하지 않았음). EU MiCA는 인가 거래소에 분기별 공시 의무. 한국 「이용자 보호법」도 시장 조작 행위와 미공개 정보 이용을 형사처벌 대상으로 포함.
4. CEO LinkedIn과 법인 등록부 확인 — CEO가 동시에 다수 가상자산 법인 이사로 등재된 경우 0.5점 감점.
5. 플랫폼 토큰. 거래소가 토큰을 발행(BNB, OKB, GT, KCS)하는 것 자체는 문제가 아니지만, 토큰이 같은 거래소 내에서 담보나 증거금으로 사용되는 것은 관계사 위험. BNB는 Binance 수수료 할인에 사용되지만 사용자 자산 담보로는 사용되지 않음; OKB는 OKX에서 더 깊은 활용 footprint.

2026년 5월 점수: Coinbase 1.0(미국 상장 의무 공시); Binance 0.9(VC가 메인에서 격리, Merit Peak 분사); Kraken 0.9(단순 구조, 주요 관계사 없음); Upbit 0.9(KB국민은행 신탁 + 두나무 그룹 별도 장부); Coinone 0.85(단순 구조 + 법정 분리); Korbit 0.8(SK스퀘어 모회사 상장사 공시); Bithumb 0.75(법정 분리 + 빗썸홀딩스 일부 불투명); OKX 0.65(깊은 OKB 생태계); GOPAX 0.55(BGX 잔여 청구 진행 중).

필터 5 · CEO 공개 발언 신뢰도

왜 중요한가. Karpelès 2013("우리 코드베이스는 원하는 만큼 정돈되어 있지 않다"). Bankman-Fried 2022("우리 리스크 관리는 기본적으로 스프레드시트"). Mashinsky 2021("은행이 거짓말하거나 Celsius가 거짓말하는 것"). 권도형 2022년 5월("자본을 더 투입한다, steady lads"). Stephen Ehrlich 2022년 초("3AC와의 거래는 잘 담보화되어 있다"). 여섯 개의 사망 통지, 모두 평이한 영어로 전달, 모두 사전. 제가 2024년 이 프레임워크의 첫 버전을 만들었을 때 필터 5에 가중치를 절반으로 두었습니다 — 구조적 필터보다 부드럽게 느껴졌기 때문에. 프레임워크를 15개월 운영한 뒤 필터 5의 예측 정확도가 사실은 구조적 필터들을 합친 것을 능가한다는 사실을 발견했습니다. 그래서 지금은 동등 가중치를 갖습니다.

반례 · 원어 사망 통지.

• Mark Karpelès (Mt.Gox), 2013년 6월 Wired 인터뷰: "Our codebase isn't all the way we'd like it. We have bigger fish to fry." 이 문장의 문제는 코드가 불완전하다는 것 — 모든 코드는 불완전합니다 — 이 아니라 전 세계 BTC 유동성 70%를 보유한 법인의 CEO가 자신의 코드 현대화를 '우선순위 아님'으로 라벨링했다는 것입니다. 우선순위 정렬 적신호.
• Sam Bankman-Fried (FTX), 2022년 8월 Bloomberg Odd Lots 팟캐스트: "우리 리스크 관리는 기본적으로 수식이 들어간 스프레드시트입니다." 당시 FTX는 320억 달러 가치 평가에 160억 달러의 고객 수탁. 두 달 뒤 '그 스프레드시트'가 Alameda의 80억 달러 차입을 막지 못했습니다.
• Alex Mashinsky (Celsius), 2021년 12월 YouTube AMA, 17% 수익률 지속가능성에 대한 분석가 질문에: "Either the bank is lying or Celsius is lying. We're not lying." 그 시점 Celsius는 이미 고객 자금의 25%를 Anchor/stETH에 배치; Anchor의 20% 자체가 구조적으로 지속 불가능. 분석적 비판자를 '거짓말쟁이'로 낙인찍는 것은 이 업계에서 가장 신뢰할 만한 단일 문장 사망 통지 중 하나.
• 권도형 (Terra/Luna), 2022년 5월 9일 트위터: "Deploying more capital - steady lads." UST는 그날 디페그했고 Luna는 64달러. 3일 뒤 Luna는 0.0001달러였고 Terra 생태계는 0이었습니다. 전체 재구성은 화폐 침몰록 · 제2권(한국어).
• SBF의 동결 전 마지막 트윗, 2022년 11월 7일: "FTX is fine. Assets are fine." 나흘 뒤 FTX는 델라웨어에서 파산 보호 신청. 아마 업계 역사상 가장 많이 인용된 사망 통지.

비교 반례 · 투명한 CEO 발언 패턴.

• CZ (Changpeng Zhao, Binance 창업자, 2023년 11월 사임): 2022년 11월 FTX 연쇄 붕괴 기간 CZ는 "우리는 소량의 FTT를 보유하고 있다, 매각을 검토 중"이라고 공개 인정 — 사전 투명성. 2023년 11월 DOJ 합의 후 그는 2억 달러 개인 벌금과 4개월 형이 "책임 지는 것"이라고 직접 트윗. 임원이나 규제기관으로의 책임 전가 없음. '구체적 숫자 + 책임 인정' 패턴이 제가 기록한 5년 창에서 일관적이었습니다.
• Richard Teng (Binance 현 CEO, 2023년 11월 승계): 전 싱가포르 MAS 고위 관료, 아부다비 ADGM 고위 관료, 전통 규제기관 배경. 의장 취임 이후 발언 스타일은 두드러지게 절제됨 — 분기 컴플라이언스 업데이트, 규제기관 대화 요약, 사용자 보호 공시, 감정적 트윗 거의 없음. 이 절제 그 자체가 이 업계에서 신뢰도 신호.
• Brian Armstrong (Coinbase): 미국 상장 CEO로서 분기 실적 발표에 본인이 직접 출석 의무(CFO 대체 불가). 2022-2026 기록에 '보장 수익' 발언 0건. 2023년 SEC 소송 기간 그는 "법정에서 싸우겠다, 감정적 트윗으로 응대하지 않겠다"고 공개 발언 — 단기적으로 주가 20% 손실을 안긴 자세였으나 정당함이 입증(Coinbase가 2024년 부분 승소).
• 이석우 (前 두나무·Upbit CEO, 2024년 김형년 대표 체제로 전환): 한국 거래소 CEO 중 글로벌 미디어 노출이 가장 적은 편이지만 국내 정책 협의(국회·금융위·KoFIU)에 일관되게 본인이 직접 참석. 2022년 Luna 붕괴 직후 Upbit가 LUNC 유의 종목 지정과 거래지원 종료를 결정했을 때 회의록·공시 일자·근거 가격 산정 방식을 모두 공식 공지에 첨부 — "위해(harm) 인정 + 구체적 절차" 패턴. 2024년 김형년 대표 체제 이후 톤은 더 절제되었고 분기 정기 공시 위주.
• 이재원 (前 빗썸 대표, 후임 체제 진행): 빗썸홀딩스 지분 구조에 대한 공개 질의에서 일부 회피적 답변이 있었던 것이 약점으로 기록. 그러나 거래소 운영 측면(분리 보관·외부 감사·사이버 보험)에서는 「이용자 보호법」 시행 이전부터 자발적 이행을 공시.
• Jean-Baptiste Graftieaux (Bitstamp 현 CEO): 유럽 저자세 스타일. 연간·분기 컴플라이언스 보고서 제때 제출, 미디어 노출 거의 없음 — 이 업계에서 그 조합은 희소한 자산.

점검 절차.

1. CEO 이름 + 'podcast' + 'interview' 검색 — 가장 최근의 공개 대화 2~3개 청취. YouTube와 Apple Podcasts가 직접 채널. 한국 CEO의 경우 국정감사 출석 영상 및 국회 가상자산 TF 자료가 가장 신뢰할 수 있는 1차 소스.
2. 네 가지 부정 신호 주시: (1) 위험 선호 자랑("우리는 가장 공격적이다"); (2) 규제기관 경멸 발언("규제기관은 이해 못 한다"); (3) 경쟁사 인신 공격; (4) 모든 우려를 'FUD'로 일괄 일축.
3. 세 가지 긍정 신호 주시: (1) '지속적으로 개선 중' 보일러플레이트가 아닌 구체적 단어로 오류 인정; (2) 구체적 숫자 인용(사용자 수, 준비율, 유동성 깊이); (3) 리스크 관리 세부 사항 논의(팀 규모, 도구, 감사 주기).
4. 5년 종단으로 보기 — CEO의 5년 일관성이 어느 한 인터뷰보다 정보가 많습니다. 트위터 이력과 오래된 인터뷰 영상 모두 무료 아카이브.
5. CEO가 분기 실적 발표(공개) 또는 월간 AMA(비공개)에 직접 출석하는지 확인. CEO가 CFO/PR에게 전체 발표를 대체시키면 0.5점 감점.

2026년 5월 점수: Brian Armstrong (Coinbase) 0.95(상장 회사 투명성); Richard Teng (Binance) 0.9(규제 배경 + 절제); Jean-Baptiste Graftieaux (Bitstamp) 0.85(유럽 저자세); 김형년 (Upbit) 0.8(정책 협의 직접 참석 + 분기 정기 공시); Dave Ripley (Kraken, 2023년 이후) 0.75(짧은 재임, 종단 데이터 부족); 이재원 / 후임 (Bithumb) 0.7(운영 투명, 지분 구조 답변 일부 회피); 차명훈 (Coinone) 0.7(저자세, 정기 공시 충실); 오세진 (Korbit) 0.7(SK스퀘어 모회사 공시 체제, 종단 데이터 일정); Star Xu (OKX) 0.6(공개 발언 제한, 종단 데이터 부족); 이중훈 (GOPAX) 0.6(BGX 인수 후 회복 진행 중, 정기 공시).

제4장 · 한국 5 + 국제 4 · 9개 거래소 2026년 5월 점수표

9개 거래소의 5개 필터를 합산(각 0~1, 최대 5). 2026년 5월 18일 최근 재실행. 아래 순서는 총점 순, 그 다음 등급 분류.

결정 트리 · 점수에서 포지션 규모까지

점수를 가지는 것은 작업의 절반에 불과합니다 — 점수를 포지션 규모로 번역하는 규칙도 필요합니다. 저는 18개월 동안 아래 4단계 규칙을 사용했고 세 번 재검증했습니다. 매핑은 의도적으로 보수적입니다 — 상방으로 틀릴 비용은 작고(자산 증가 속도가 느려질 뿐) 하방으로 틀릴 비용은 전손이기 때문입니다.

• 1순위(4.0/5 이상): 가상자산 순자산의 주력 포지션 가능 비율 50~70%. 2026년 5월 — Coinbase, Binance가 4.7/5로 국제 1순위, Upbit가 4.15/5로 한국 거주자 기준 한국 1순위. 한국 거주자에게 실용적 출발선은 Upbit입니다 — KoFIU 신고 + 「이용자 보호법」 분리 보관 + KB국민은행 신탁이 결합되어 한국 법정 보호가 적용되기 때문. 외국 거주자나 비거주자 상태에서 USD/USDC 중심 거래를 한다면 Coinbase가 더 합리적인 선택; 글로벌 자산 폭과 아시아 태평양 fiat 램프가 우선이라면 Binance가 더 강함. 다만 본 글은 한국 거주자에게 해외 거래소 가입을 권유하지 않습니다.
• 2순위(3.5~4.0/5): 총자산의 30% 미만 포지션. 2026년 5월 — Kraken, Bithumb, OKX. 핵심 용도: (1) 1순위가 인출을 중단할 경우 대피 채널; (2) 1순위가 지원하지 않는 자산이나 지역의 백업; (3) 거래소 간 차익거래 상대. 2순위에 장기 보유 자산을 두는 것은 권하지 않습니다.
• 신중(2.5~3.5/5): 실험적 포지션, 총자산의 10% 미만. 2026년 5월 — Coinone, Korbit, GOPAX. 한국 5대 원화거래소 중 3곳이 이 등급에 들어간다는 사실은 — 한국 시장에서 KoFIU 신고 자체가 글로벌 zk-SNARK 표준에 도달했다는 보장이 아니라는 의미입니다. 「이용자 보호법」의 법적 보호는 받지만 PoR 자가 감사, 다중 관할 라이선스, 추가 사용자 보호 기금 규모에서 한국 1·2위와 격차가 있습니다. 단기 실험에만 사용, 장기 자금은 두지 않는 것을 권합니다.
• 비등급(2.5/5 이하): 배분 0. 2026년 5월 — KoFIU에 신고되지 않은 모든 해외 거래소(한국 거주자 기준), HTX(전 Huobi), KuCoin 등. 이것은 이 거래소들이 반드시 실패한다는 보장이 아닙니다 — 자금을 두는 데 따른 구조적 위험 프리미엄이 정당화되지 않는다는 진술입니다.

재실행 주기: 이 점수표는 6개월마다 다시 돌려야 합니다. 2026년 5월 버전의 다음 정기 갱신은 2026년 11월(저는 FTX 11월 기념일 즈음에 항상 강제 갱신을 합니다). 비정기 갱신 트리거: 주요 거래소의 규제 조치, 주요 거래소 CEO의 필터 5형 발언, 주요 거래소의 PoR 주기 누락, KoFIU 신고 사업자 목록 변경.

이 표에 대한 두 가지 메모.

1. Coinbase가 Binance보다 좋다거나 그 반대를 말하는 것이 아닙니다. 둘 다 4.7/5라는 것은 둘 다 5개 필터를 모두 통과한다는 의미입니다. 남은 차이는 제품 기능, 지역 가용성, 자산 지원 — 본 글 범위 밖의 부차 차원.
2. 한국 거주자에게 Upbit 4.15는 KoFIU 신고 + 법정 보호가 결합된 결과입니다. 글로벌 Binance/Coinbase의 4.7 점수와 동일선상에서 비교하기 어려운 부분이 있습니다 — 한국 법정 보호는 국제 거래소가 가질 수 없는 차원이며, 반대로 국제 1티어 라이선스 수에서는 Upbit가 Coinbase에 미치지 못합니다. 본인의 사용 패턴(원화 입출금 빈도, 거래 자산 범위, 거주국)에 맞춰 점수를 다시 보정하시기 바랍니다.
3. 2026년 5월만 반영합니다. 5개 필터의 실질 내용은 진화할 것입니다. 2027년이 되면 프레임워크에 '실시간 온체인 감사 가능성'이나 'AI 기반 리스크 관리 투명성'을 추가해야 할 수 있습니다. 6개월마다 다시 돌리시고; 어떤 단일 버전도 영구로 취급하지 마십시오.

제5장 · 프레임워크 한계 · 자기 비판

자기 정당성만 주장하는 방법론 페이지는 제품을 파는 것입니다. 그래서 이 장은 반대 방향으로 주장합니다.

한계 1 · FTX는 2022년 10월 유사 프레임워크에서 3.5~4/5였고 그래도 무너졌습니다

FTX가 무너지기 한 달 전, 영어 가상자산 미디어에서 'FTX safety review'를 검색했다면 4/5 또는 5/5를 준 기사를 최소 다섯 개 발견할 수 있었습니다 — 규제 라이선싱(바하마 SCB + 미국 MSB + 주 라이선스), PR 프로필(SBF는 Vogue 표지에 등장했고 미국 의회 선거에 도전 중), CEO 공개 발언이 '절제되어 보였고', 제품 깊이 강함, 사용자 수 큼. 현재의 5개 필터를 2022년 10월 FTX에 돌려도 약 3.5/5가 나왔을 것입니다 — PoR과 사용자 보호 기금 필터에서 점수를 잃었지만 당시 이 둘은 아직 주류 프레임워크에서 필수로 취급되지 않았습니다.

그래서 프레임워크에는 근본적 사각지대가 있습니다 — 숨겨진 관계사 자금 혼융은 외부에서 보이지 않습니다. FTX/Alameda 'allow_negative_balance' 백엔드 스위치는 John Ray III 팀이 파산 후 코드베이스를 뒤져서 발견했습니다. 어떤 외부 감사, 규제 실사, 사용자 조사도 2022년 10월에 그것을 볼 수 없었습니다. 교훈: 5/5 ≠ 100% 안전. 프레임워크는 주요 구조적 위험을 걸러내지만 내부 숨겨진 혼융에는 거의 무력합니다. 1순위 거래소를 사용하더라도, 제1강의 원칙은 여전히 적용됩니다 — 장기 보유 자금은 자가 수탁 하드웨어 지갑에 두고, 거래소는 단기 거래에 사용할 만큼만.

한계 2 · Mt.Gox는 0/5였지만 2014년에 이 프레임워크는 존재하지 않았습니다

화폐 침몰록 · 제1권로의 콜백. 2014년 Mt.Gox는 5개 필터 전부에서 0점이었을 것입니다(PoR 없음, 단일 일본 관할, 보험 없음, 관계 마켓메이커는 없지만 장부가 엉망, Karpelès가 이미 사망 통지형 발언). 함정은 — 2014년에 이 5개 필터가 대중적 프레임워크로 존재하지 않았다는 것입니다. 'Proof of Reserves'라는 용어는 2014년 3월에 도입되었고 Mt.Gox 실제 파산 신청까지 몇 달밖에 남지 않았습니다.

그래서 역사적으로 프레임워크는 '2026년 표준으로 2014년 사건을 사후 채점'하는 것입니다 — 회고적 학습에는 유용하지만 당시 참여자가 사용할 수 있었던 것처럼 취급해서는 안 됩니다. 모든 프레임워크에는 출생일이 있습니다. 출생일 이전 사건은 사후 채점은 가능하지만, 참여자들이 그것을 사용할 수 있었던 것처럼 다루어서는 안 됩니다. 오늘에 대한 대응적 함의: 2030년에는 현재의 5개 필터가 불충분하다고 여겨질 수 있습니다. 그때는 '실시간 온체인 감사 + AI 행동 분석 + 거래소 간 거래상대방 위험 그래프'가 필요할 수 있기 때문에. 프레임워크는 주기적으로 업그레이드되어야 합니다 — 결코 영원한 진리로 다루지 마십시오.

한계 3 · Celsius는 2021년 2.5~3/5였는데 — 신중 등급이었어야 하는가, 비등급이었어야 하는가?

2021년 정점 Celsius는 현재 필터로 약 2.5~3/5를 받았을 것입니다(PoR 없음, 미국 단일 관할, 1억 달러 상업 커버이나 수탁액 1% 미만, CEL 토큰이 CelsiusNetwork 법인과 깊게 얽힘, Mashinsky 공개 발언이 이미 적신호). 현재 결정 트리 기준 2.5~3.5는 신중 등급 — 10% 미만 실험적 배분. 그러나 Celsius의 최종 고객 손실은 47억 달러였고, 그 손실자의 상당 비율이 '17% 수익률에 끌려 가상자산 순자산의 50% 이상을 두었던' 사람들이었습니다.

Celsius에서 진짜 교훈은 프레임워크의 점수가 틀렸다는 것이 아닙니다. 프레임워크는 포지션 규모 규칙을 실제로 따르는 사람만 도울 수 있다는 것입니다. 3/5 거래소가 17% 수익률을 제공하고 사용자가 순자산의 100%를 거기에 배분하면, 어떤 프레임워크도 구제할 수 없습니다. 그 표현이 당연하게 들립니다. 그럼에도 그것은 2022년 연쇄 손실의 큰 비중을 묘사합니다.

한계 4 · 역사적 콜백 · FTX/Mt.Gox/Celsius가 가르치는 것

본 강의를 마무리하는 가장 정직한 방법은 — 본 프레임워크가 어떤 사건에 사후 적용될 때 어떻게 작동하는지 그리고 어디서 부족한지를 한 자리에 모으는 것입니다. FTX는 5/5가 아닌 3.5/5로 평가되었을 것이며 그래도 무너졌습니다 — 사각지대는 내부 코드 스위치. Mt.Gox는 0/5였을 것이지만 그 표준 자체가 같은 해에 만들어지고 있었습니다 — 사각지대는 표준의 출생일. Celsius는 신중 등급이었을 것이지만 사용자들이 60%+ 비중으로 들어갔습니다 — 사각지대는 사용자의 포지션 규모 미준수. 이 세 사각지대가 본 프레임워크의 한계 지도입니다.

한국 거주자에게 가장 가까운 콜백은 Luna입니다 — 권도형은 한국인이고, 신현성도 한국인이고, 28만 한국 개인투자자가 직접 피해를 입었습니다. Luna는 거래소가 아니라 스테이블코인 프로토콜이라 본 5개 필터가 직접 적용되지 않습니다 — 하지만 그 사건이 「가상자산 이용자 보호법」을 만들었고, 그 법이 한국 5대 원화거래소의 분리 보관·콜드 스토리지·외부 감사 의무의 법적 근거입니다. 침몰선이 다음 표준을 만들고, 다음 표준이 다음 사용자를 보호합니다. 화폐 침몰록 · 제2권 한국어판에서 그 전체 호(arc)를 36시간 단위로 재구성했습니다.

편집자 핸즈온 · 24개월 동안 이 프레임워크를 운영하며 얻은 세 가지 발견

2024~2026 사이클에 저는 이 점수표를 여섯 번 갱신했습니다(평균 4개월마다, 정식 버전은 6개월마다). 추상이 아닌 실제 운영에서 나온 세 관찰:

1. Bitstamp 놀라움. 처음 프레임워크를 만들 때 저는 유럽 거래소가 미국 거래소보다 점수가 낮을 거라 가정했습니다 — 마케팅이 덜 공격적이기 때문에. 사실은 반대였습니다 — Bitstamp의 룩셈부르크 CSSF, 싱가포르 MAS MPI, KPMG 분기 감사, 그리고 두드러지게 조용한 임원진의 조합이 4.1/5로 Kraken보다 높았습니다. 교훈: 이 업계에서 안전에 대해 가장 적게 말하는 거래소가 종종 가장 강한 구조적 안전을 가집니다. 마케팅 예산은 실제 준비금 규율과 예상보다 자주 음의 상관관계를 가집니다.
2. Upbit의 한국 시장 우위. 한국 거래소 4곳을 점수표에 추가하면서 — Upbit가 한국 5대 중 1위가 될 거라는 사실은 예상했지만, 한국 1위가 국제 2순위인 Kraken과 동률 4.15/5에 도달할 거라는 점은 예상치 못했습니다. KB국민은행 신탁 분리 + 350억원 자체 적립 + 2025년 11월 시범 PoR + 80% 콜드 스토리지의 결합이 그 점수를 만들었습니다. 한국 시장이 글로벌 시장보다 일반적으로 빠르다는 의미는 아닙니다 — 단지 「가상자산 이용자 보호법」이 만든 법적 의무 기준선이 이전에 거래소의 자발성에 의존했던 차원들(분리 보관, 콜드 스토리지)을 강제로 끌어올렸다는 의미입니다. 한국 거주자가 한국 거래소를 사용할 때 받는 보호 수준은 — 이 사실 단독으로 — 2022년 이전과 비교하면 질적으로 다릅니다.
3. OKX 불일치. OKX는 PoR에서 1.0(zk-SNARK 자가 감사가 기술적으로 우수)을 받지만 다중 관할 라이선싱과 관계사 격리는 각각 0.65에 그칩니다. 합산 3.6/5가 OKX를 2순위에 두는 것은 — 가장 정교한 PoR 파이프라인 중 하나를 가졌음에도 그렇습니다. 단일 필터가 거래소를 구제할 수 없다는 것이 교훈입니다 — 구조는 의도적으로 'OR'가 아닌 'AND'입니다. 필터 1의 1.0이 필터 4의 0.6을 보상하지 않습니다. 단일 지표 최적화를 시도하는 모든 프레임워크 사용자가 여기서 걸립니다.