이 글은 유럽, 미국, 중국의 CBDC 파일럿을 아키텍처 관점에서 비교합니다. 발행·유통 구조, 데이터·프라이버시, 오프라인, 상호운용, 거버넌스 등 핵심 설계를 실무 기준으로 정리합니다. 또한 정책 제약이 기술 선택에 미치는 영향도 함께 짚어 실제 도입 시 인터페이스와 리스크 포인트를 선명하게 제시합니다.
유럽: 디지털 유로 파일럿의 2계층·오프라인 설계
유럽의 디지털 유로는 기본적으로 ‘중앙은행-중개기관 2계층(intermediated two-tier)’ 모델을 전제로 설계가 이루어졌다. 코어 레저(Core Ledger)는 유로시스템이 운영하며, 은행·PSP가 고객 온보딩, KYC/AML, 지갑 UX, 고객지원 등 접점 레이어를 담당한다. 이렇게 기능을 분리하면 결제 네트워크가 기존 SEPA·카드 인프라와 유사한 역할 분담을 유지하면서도, 중앙은행이 최종결제(central bank money) 안전성을 보장할 수 있다. 파일럿·프로토타입 단계에서 유럽은 DLT 의무화를 택하지 않고, 고성능 중앙집중형 원장과 표준 API를 통해 지불유형(P2P, POS, 전자상거래)을 검증하는 접근을 취했다. 오프라인 결제는 ‘근접성·단절 환경’을 상정한 별도 컴포넌트로 다뤄졌는데, 보안요소(하드웨어 SE) 기반의 값-기반(value-based) 전자화폐처럼 동작시키되, 한도·거래 횟수·리스크 기반 통제를 결합해 도난·복제에 대한 피해를 제한하는 구조가 핵심이다. ‘자금 공급/회수(funding/defunding)’는 사용자의 기존 은행계좌와 지갑 간 브릿지를 통해 처리되며, 보유한도(holding limit) 및 비보상(non-remunerated) 원칙을 정책 레이어에서 강제하는 흐름이 널리 논의되었다. 개인정보 측면에서는 ‘저가치 소액 익명성에 가까운 프라이버시’와 ‘고가치 거래 추적성’ 사이의 계층화된 균형을 채택, 중개기관이 개인식별·거래모니터링을 수행하되, 중앙은행은 통화정책·시스템건전성 목적의 최소데이터만 보유하는 설계를 강조했다. 상호운용성은 ‘스킴(rulebook)+표준 API’ 조합으로 달성한다. 즉, 기능·역할·수수료·분쟁절차 등을 스킴 문서로 명시하고, PSP·가맹점·단말 벤더가 호환 가능한 인터페이스를 구현하는 카드·계좌 네트워크와 유사한 거버넌스다. 결과적으로 유럽 아키텍처의 특징은 ① 중개기관 중심의 채널·KYC, ② 중앙은행 운영 코어 레저, ③ 오프라인의 별도 안전장치, ④ 규정집 기반의 상호운용이라는 네 박자로 요약된다. 이러한 선택은 은행중개모델 보호, 프라이버시-컴플라이언스 균형, 고성능·고가용성 확보라는 정책 목표를 기술 구조에 직접 투영한 결과로 볼 수 있다.
미국: 소매 미도입 전제의 도매형·시뮬레이터 중심 구조
미국은 소매형 CBDC에 대한 정책 결정이 보류된 상태에서, 파일럿과 연구가 주로 ‘도매형 결제’와 ‘시뮬레이션·프로토타이핑’에 집중되어 왔다. 보스턴 연준-학계 협업으로 알려진 프로젝트에서는 초고성능 원장 구조와 데이터모델을 실험했다. 계정형과 토큰형의 특성을 혼합한 설계를 통해 수십만 TPS급 처리 성능과 즉시정합성을 달성하는 엔진을 구현·평가했고, 키관리·이중지불 방지·감사 가능성 등 핵심 속성의 트레이드오프를 정량화했다. 뉴욕 연준 혁신센터 및 민간 컨소시엄의 실험은 외환 PvP, 증권 DvP, 다자간 원장 간 원자적 결제를 시연하는 데 초점이 맞춰졌다. 여기서는 ‘공유 레저+도메인 분리’가 눈에 띈다. 규제된 부채(중앙은행·상업은행·전자금융 등)를 파티션으로 구분해 상호 신용위험을 최소화하고, 타임록·해시교환·스마트컨디션 등을 이용해 결제동시성(원자성)을 확보하는 구조다. 이러한 도매형 아키텍처는 토큰화된 예치금·증권·CBDC가 같은 결제 그래프에서 상호운용되는 ‘네트워크 오브 네트워크’를 지향한다. 개인정보·감사 영역에서는 ‘기관 간 비공개 채널’과 ‘감사용 뷰 키’로 접근권한을 세분화하고, 거래메타데이터는 최소화하면서도 규정 준수 요청 시 재구성이 가능하도록 로그·증명체계를 병행한다. 미국의 특수성은 ‘법적 위임’과 ‘민간 혁신역량’에 있다. 중앙은행이 소매형을 직접 운영하기 전에는 법률·의회 권한이 선결조건이므로, 공공부문은 레퍼런스 구현과 위험평가에 주력하고, 민간은 토큰화된 예치금·공유원장 네트워크를 통해 사실상 “CBDC와 유사한 결제경험”을 선행적으로 제공하는 방향이다. 요약하면, 미국 파일럿 지형은 ① 소매형 결정보류, ② 도매·크로스보더 실험 강화, ③ 상호운용·원자결제에 최적화된 공유레저, ④ 권한분리·감사가능성 중심의 데이터 거버넌스를 축으로 발전해왔다.
중국: e-CNY 2계층, ‘가컨익명’과 오프라인 하드월렛
중국 e-CNY(디지털 위안)는 대규모 파일럿을 통해 사실상 준상용 단계의 기능을 폭넓게 검증해왔다. 구조의 핵심은 ‘중앙은행-운영기관 2계층’으로, 인민은행이 발행·정산의 최종 권한을 보유하고, 국유·상업은행 및 빅테크 결제사가 유통·지갑·수납 인프라를 담당한다. 지갑은 ‘계층형 KYC’로 다단계 한도가 설정되어, 휴대폰 번호만으로 개설하는 저한도 지갑부터, 실명·계좌연동을 거친 고한도 지갑까지 단계별로 위험을 통제한다. ‘가제어·가익명(Controllable Anonymity)’ 원칙에 따라 사용자는 일상 소액에서 높은 프라이버시를 누리되, 불법행위 대응을 위해 필요 시 추적·집행이 가능하도록 데이터 접근권을 중앙에서 관리한다. 기술구성은 고성능 중앙집중형 원장을 기본으로 하며, 오프라인 결제는 단말 간 근접통신(NFC/블루투스 등)과 SE 내 안전한 가치저장으로 실현한다. ‘듀얼 오프라인’(양측 단절) 시나리오를 상정해 재연결 시 동기화·충돌해소 로직을 탑재하고, 도난·복제 리스크는 단말 바인딩, 일회성 토큰, 소액한도, 리스크 스코어링으로 흡수한다. 하드월렛(카드·웨어러블)과 ‘서브월렛(상점별 미니지갑)’은 상호운용과 개인정보 최소화를 동시에 달성하는 장치로, 결제시에 상점은 필요한 범위의 토큰·거래정보만 열람하고, 사용자는 지갑 간 잔액 이관과 이용 제한(예: 보조금 용도 제한) 같은 ‘경량 프로그래머빌리티’를 활용할 수 있다. 크로스보더 측면에서는 다자간 프로젝트와의 연계를 통해 외환 규제 하에서도 결제 동시성·시간가치 손실 최소화를 실험했고, 표준화된 메시징·ID 체계를 활용해 상이한 규제영역 간 상호운용성을 높이는 방향이 관찰된다. 종합하면, 중국 아키텍처는 ① 대규모 유통을 견딜 수 있는 중앙집중형 코어, ② 단계형 KYC·한도, ③ 강력한 오프라인·하드월렛, ④ 정책도구로서의 경량 조건부 지급을 중심으로 고도화되어 왔다.
세 지역의 파일럿 아키텍처는 공통적으로 2계층 유통·표준 API·위험기반 프라이버시를 지향하지만, 유럽은 ‘스킴 거버넌스+오프라인 분리’, 미국은 ‘도매형 상호운용·원자결제’, 중국은 ‘대규모 운영·하드월렛’에 방점을 둔다. 실제 도입을 준비하는 조직이라면 (1) 코어 레저 선택(DLT vs 중앙형), (2) 오프라인 리스크 관리, (3) 상호운용 표준과 권한모델, (4) 한도·이자·지급조건 등 정책 파라미터의 기술적 집행가능성을 먼저 점검하자. 내부 PoC를 꾸릴 때는 ‘지갑-PSP-가맹점-코어’ 인터페이스를 스펙으로 고정하고, 운영·감사·보안 로그 설계를 초기 단계부터 포함시키는 것이 비용을 크게 줄인다.