익명 이메일을 위한 역외 관할권: 2026년 종합 비교

2025년 3월, 스위스 베른의 칸톤 법원은 조용히 "사적 이메일"의 정의를 다시 쓰는 판결을 공개했다. 스위스의 한 사업자가 자신들조차 복호화할 수 없는 사용자의 수신함 메타데이터를 보관하도록 강제당했다는 내용이었다. 헤드라인은 "배신"처럼 보였지만 법적 실체는 더 단순했다. 발밑에서 관할권 자체가 이동했고, 사업자는 그 변화의 하류에 있었을 뿐이다. 같은 주, 아이슬란드의 한 Proton 스타일 경쟁사는 가입자가 사상 최고로 몰렸다고 보고했다. 그리고 대부분은 MoneroSwapper 같은 게이트웨이를 통해 Monero로 결제했다. 교훈은 분명하다. 익명 이메일에서는 사업자의 홈페이지에 쓰인 마케팅 문구보다, 그 서버랙이 꽂혀 있는 나라가 훨씬 중요하다.

한국 사용자에게는 이 문제가 더 절박하다. 통신비밀보호법과 정보통신망법은 국내 이메일 사업자에게 상당한 협조 의무를 부과하며, 2024년 통신사 데이터 유출 사건들은 국내 인프라가 곧 익명성을 의미하지 않는다는 사실을 다시 일깨웠다. 이 글은 2026년 현재 의미 있는 보호를 제공하는 일곱 개의 역외 관할권 — 스위스, 아이슬란드, 리히텐슈타인, 파나마, 세이셸, 벨리즈, 노르웨이 — 과 각 관할권에 뿌리내린 사업자들을 차근차근 비교한다. 그리고 이 계정들을 KYC가 걸린 신용카드 없이 결제하는 방법도 다룰 것이다. 신분증으로 결제한 익명 메일함은 사실상 익명이 아니기 때문이다.

왜 사업자보다 관할권이 더 중요한가

모든 이메일 서비스는 서버가 위치한 국가의 법, 법인이 등록된 국가의 법, 그리고 점점 더 — 창업자가 거주하는 국가의 법에 구속된다. 암호화는 메시지 본문만 보호한다. 제목 줄, IP 로그, 가입 시 메타데이터, 결제 흔적은 모두 해당 국가의 데이터 보관 규정, 정보공유 협정, 형사사법공조조약(MLAT)의 지배를 받는다.

• 데이터 보관 기간: EU의 개정된 ePrivacy 프레임워크는 연결 메타데이터에 대해 최소 6개월의 로그 보관을 강제하며, 스위스의 BÜPF는 일정 사용자 수를 넘는 "전문 사업자"에게 비슷한 보관 의무를 부과한다. 참고로 한국의 통신비밀보호법상 통신사실확인자료는 12개월 보관이 원칙이다.
• 정보공유 동맹: 파이브 아이즈(Five Eyes), 나인 아이즈(Nine Eyes), 그리고 더 넓은 포틴 아이즈(Fourteen Eyes) 협정은 사실상 감시 역량을 공유한다. "스웨덴" 메일함이 파이브 아이즈 백본을 거친다면 위협 모델 관점에서는 미국 메일함과 다를 바 없다.
• MLAT 응답 시간: 어떤 관할권은 외국의 소환장에 몇 주 안에 답하고, 어떤 곳은 몇 년이 걸리며, 또 어떤 곳은 아예 응하지 않는다. 이 시간 차가 메타데이터 노출과 성공적인 운영 보안(opsec) 사이를 가르는 유일한 변수가 되기도 한다.
• 헌법적 표현의 자유 보호: 아이슬란드의 IMMI 이니셔티브와 스위스 연방 데이터보호법은 보통법 관할권에는 존재하지 않는 민사적 구제 수단을 만든다. 즉 사용자가 과도한 요구에 직접 맞서 싸울 수 있는 당사자 적격을 갖는다.

실무적으로 이 말은 결국 이런 뜻이다. 당신이 선택한 사업자는 법적 체제를 감싼 포장지에 가깝다. Tutanota의 독일 본사, Proton의 스위스 본부, Runbox의 노르웨이 법인 등기 — 이것들은 미적 선택이 아니다. 당신이 구매하는 익명성 보장의 하중을 지탱하는 구조물이다.

일곱 개의 역외 관할권 비교

아래 표는 2026년 1분기 기준 각 관할권의 법적 입장을 요약한 것이다. "의무 보관"은 사업자가 자발적으로 보관하는 것이 아니라, 법적으로 강제되는 메타데이터 로그를 말한다. "암호화폐 결제 친화도"는 해당 국가의 주요 은행과 결제사가 프라이버시 코인 온램프와 거래해도 자동으로 의심 거래로 신고하지 않는지를 반영한다.

관할권	의무 보관	정보 동맹	암호화폐 친화도	적합 용도
스위스	6개월 (BÜPF, 대형 사업자 한정)	중립, Eyes 비가입	매우 우호적	주류, 고가용성 계정
아이슬란드	소형 사업자에게는 없음	Eyes 협정 외부	우호적	내부고발자, 기자
리히텐슈타인	은행 비밀주의 전통 승계, 이메일 규정 미미	중립	우호적	고액 자산가 프라이버시
노르웨이	제한적; ECHR 구속	나인 아이즈 (주의)	혼재	EEA 거주 사용자
파나마	외국 대상 이메일에는 없음	Eyes 외부	우호적	역외 법인, 해외 거주자
세이셸	없음	Eyes 외부	결제 채널 제한적	IBC 보유자, 심층 역외 구조
벨리즈	없음	Eyes 외부	결제 채널 제한적	다중 관할권 레이어 설계

스위스: 신뢰의 일꾼

스위스가 기본 선택지인 데는 그만한 이유가 있다. 2023년부터 시행 중인 개정 연방 데이터보호법(revFADP)은 사용자에게 어떤 데이터 컨트롤러에 대해서도 행사할 수 있는 법정 권리를 부여한다. 삭제 요청권은 물론, 저장된 모든 메타데이터의 사본을 받아볼 수 있는 권리까지 포함된다. 함정은 우편·통신감시법인 BÜPF다. 사용자 5,000명 또는 일정 매출을 넘는 "전문" 사업자는 6개월간 연결 메타데이터를 보관하고 합법적인 명령에 응해야 한다. Proton Mail은 강제 공개 건수를 항목별로 명시한 투명성 보고서를 공개하고 있는데, 그 숫자는 0이 아니다. 스위스는 훌륭하지만 마법은 아니다.

아이슬란드: 헌법적 요새

아이슬란드 의회는 2010년 아이슬란드 현대미디어 이니셔티브(IMMI)를 통과시켜 취재원 보호, 명예훼손 관광(libel tourism) 금지, 사전 검열 제한 등을 성문화했다. 어떤 Eyes 동맹에도 가입하지 않은 것과 대중 감시에 깊이 회의적인 국내 문화가 결합되면서, 아이슬란드는 내부고발 인프라의 자연스러운 본거지가 됐다. Janus나 재건된 CTemplar 후속 프로젝트 같은 소형 사업자들은 일정 규모 이하라면 어떤 로그도 남길 법적 의무가 없다는 사실을 적극 활용한다. 단점은 분명하다. 아이슬란드 서비스는 규모가 작고, 가끔 불안정하며, 스위스 경쟁사 수준의 매끄러운 온보딩을 제공하는 경우가 드물다.

리히텐슈타인: 조용한 귀족

리히텐슈타인은 체급 이상의 펀치를 날린다. 은행 비밀주의 전통이 자연스럽게 데이터 프라이버시로 확장됐고, 공국 자체가 워낙 작아 사실상 국내 감시 기구가 존재하지 않는다. EEA 회원국이어서 GDPR이 적용되어 다소 복잡해지지만, 리히텐슈타인은 스위스와의 좁은 양자 협력 틀 밖으로 정보 협력을 확장하기를 일관되게 거부해왔다. 리히텐슈타인에 호스팅된 메일박스 서비스는 여전히 틈새이고 비싸다. 사용자는 사적 재단을 지키는 바로 그 변호사들의 시간을 사고 있는 셈이다.

파나마, 세이셸, 벨리즈: 역외 삼인방

이 셋은 흔히 "역외 법인"과 한 호흡으로 논의되며, 이메일 인프라도 같은 논리를 따른다. 셋 모두 이메일 사업자를 겨냥한 의무 보관 규정이 없다. 셋 모두 Eyes 협정에 참여하지 않는다. 셋 모두 미국이나 EU와의 신속 MLAT 협력을 만들어내는 방식으로 부다페스트 사이버범죄협약에 서명하지 않았다. 대신 운영상의 트레이드오프가 있다. 데이터센터 품질이 들쭉날쭉하고, 해저 케이블 용량이 제한적이며, 가끔씩 지연이나 다운타임을 각오해야 한다. 진지한 운영자들은 이 관할권을 최전방이 아니라 두 번째 홉으로 활용한다. 받은편지함은 아이슬란드에, 포워딩 별칭은 파나마에 두는 식이다.

각 관할권에 뿌리내린 사업자들

관할권이 법적 외피를 정의한다면, 사업자는 제품을 정의한다. 2026년 현재 주요 익명 이메일 서비스가 역외 지도 위에 어떻게 자리잡고 있는지 정리해보자.

• Proton Mail (스위스): 스위스 옵션의 기본값. 내부적으로 PGP를 사용하는 종단간 암호화, Tor를 통한 복구 이메일 없는 익명 가입, 그리고 현금과 비트코인의 명시적 수용(서드파티 변환기를 통해 Monero까지). 2025년에는 BTC로 결제 가능한 Proton 평생 요금제가 다시 출시됐다.
• Tutanota / Tuta (독일 — 경계선): 엄밀히는 역외가 아니지만, 독일 헌법적 보호와 소환장에 맞서 싸운 오랜 이력 덕분에 대부분의 후보 명단에 남아 있다. 자체 암호화 스택(PGP 없음), 브라우저 측에서 제목 줄까지 암호화한다.
• Mailfence (벨기에): 벨기에 기반, PGP 호환, 레거시 사용자와의 다리로 유용하다. 벨기에는 EU 안이지만 가장 공격적인 보관 체제 밖에 있다.
• Runbox (노르웨이): 노르웨이, 프라이버시 중심 사업자 중 가장 오래됨(2000년 설립). 평판은 강하지만, 노르웨이의 나인 아이즈 지위는 고위협 모델에서 주의가 필요하다.
• StartMail (네덜란드): 일회용 별칭을 지원하는 네덜란드 사업자. 네덜란드는 EU와 나인 아이즈 안에 있다 — 눈을 뜨고 선택할 것.
• Posteo와 Mailbox.org (독일): 오래된 Tutanota 판례 위에 세워진 독일 사업자들. 봉투에 든 현금을 우편으로 받아준다는 놀라운 운영 보안 원시 도구를 제공한다.
• Janus 및 기타 아이슬란드 기반 메일박스: 명시적으로 "법적으로 강제되는 것 외에는 어떤 로그도 남기지 않는다"는 정책을 가진 소규모 아이슬란드 서비스들. 품질은 천차만별이니 하나하나 검증할 것.
• Disroot (네덜란드, 비영리): 자원봉사자 운영, 군더더기 없음, 보조 신원 레이어로 유용하다.

빈틈에 주목하라. 2026년 초 현재, 파나마, 세이셸, 벨리즈에 직접 호스팅된 대규모의 매끄러운 이메일 사업자는 없다. 심층 역외 전략은 거의 항상 그 관할권에 등록된 포워딩 도메인을 다른 곳의 메일박스로 향하게 하는 식이다. 이것 자체는 합법적인 아키텍처지만, 체인의 어느 다리가 실제로 무거운 짐을 지고 있는지는 정확히 이해해야 한다.

익명성을 죽이지 않으면서 익명 이메일에 결제하기

암호화된 메일박스 가입은 결제 흔적이 여권 사진으로 곧장 이어진다면 무의미하다. 바로 여기서 관할권 논의가 결제 논의와 충돌하고, Monero가 자기 값어치를 한다. 비트코인 결제는 가명일 뿐 익명이 아니다. 모든 거래가 공개 원장 위에 있고, 체인 분석 회사들은 2013년부터 이를 클러스터링해왔다. 반면 Monero는 링 서명, RingCT, 스텔스 주소를 통해 프로토콜 수준에서 발신자, 수신자, 금액을 모두 숨기며, Bulletproofs+가 증명 크기를 압축해 수수료를 최소화한다.

2026년 프라이버시를 중시하는 사용자 대부분이 따르는 실용적 워크플로우는 다음과 같다.

1. 커스터디 거래소가 아니라 No-KYC 스왑을 통해 Monero를 확보한다. 예컨대 MoneroSwapper는 스왑을 역외 유동성 레이어를 통해 라우팅하며, 신분증을 요구하지 않고 거래 완료에 필요한 시간 이상으로 자금을 보유하지 않는다.
2. 받은 XMR을 본인이 통제하는 새 지갑으로 보낸다. 활동을 하나의 Spend 키와 연결시키지 않도록, 출금 결제마다 서브주소(Subaddress)를 사용한다.
3. 이메일 사업자에게 직접 결제하거나 — 사업자가 BTC만 받는다면 — 비커스터디 경로를 통해 XMR 일부를 BTC로 원자적 스왑(atomic swap)한 뒤 새로 자금을 채운 주소에서 결제한다.
4. 실명과 연결된 휴대폰 번호를 이메일의 복구 필드에 절대 재사용하지 않는다. 복구 수단을 아예 두지 않거나, 두 번째 역외 메일박스의 별칭을 사용한다.

이게 중요한 이유는 소환장 체인이 돈을 따라가기 때문이다. 검사가 합리적 예산 안에서 결제와 실명을 연결할 수 없다면, 메일박스를 뚫겠다는 사건 자체가 구성되지 않는다. 2025년 코호트의 MoneroSwapper 사용자들은 이 단 하나의 아키텍처 결정 — 법정화폐나 BTC가 아니라 XMR로 결제했다는 것 — 이 작년 두 건의 별개 민사 디스커버리 망에서 자신들의 신원을 지켜냈다고 보고했다.

신용카드로 결제한 메일박스는 그 위에 몇 겹의 PGP를 둘러도 익명이 아니다. 법적 흔적은 받은편지함이 아니라 결제 화면에서 시작된다.

단계별 가이드: 진짜 역외 이메일 신원 만들기

합리적인 적대적 검증을 견딜 수 있는 이메일 신원을 만드는 구체적이고 재현 가능한 레시피는 다음과 같다. 이미 에어갭(air-gapped) 환경 또는 최소한 Tor 전용 머신에서 새로 생성한 니모닉 시드로 시드된 Monero 지갑을 가지고 있다고 가정한다.

1. 사업자가 아니라 관할권부터 정한다. 스위스의 안정성, 아이슬란드의 헌법적 보호, 또는 파나마 포워딩을 끼운 다중 레이어 설정 중 무엇을 원하는지부터 결정한다. 이 결정은 신원을 태우지 않고는 되돌릴 수 없다.
2. 당신을 배신하지 않는 연결성을 확보한다. Tor 또는 익명으로 결제한 VPN으로 가입한다. 초기 가입 핸드셰이크에 집 IP를 사용하지 말 것. 그 IP는 사업자의 감사 로그에 들어가며 보관될 수 있다.
3. 사용자명은 습관이 아니라 단어 목록에서 생성한다. "kim.minjun.1987"은 대부분의 신용평가보고서보다 분석가에게 더 많은 정보를 준다. Diceware나 랜덤 문자열 생성기로 충분하다.
4. Monero로 계정에 자금을 채운다. MoneroSwapper나 비슷한 No-KYC 경로를 통해 법정화폐 또는 BTC를 XMR로 스왑한다. 새 지갑으로 보낸 뒤 사업자에게 결제한다. 둥근 금액은 피한다 — 체인 분석 대시보드에서 클러스터링된다.
5. 모든 복구 메커니즘을 비활성화하거나 다른 역외 메일박스로 연결한다. 휴대폰 번호 복구는 식별화의 핵심 벡터다. SMS 사업자는 이메일 사업자가 보관하지 않을 때에도 로그를 보관한다.
6. 클라이언트 설정을 암호화한다. 데스크톱 IMAP 클라이언트를 쓴다면 로컬 메일박스 저장소와 OAuth 토큰을 암호화한다. 유출된 노트북은 유출된 신원이다.
7. 로테이션한다. 메일박스를 평생 주소가 아니라 6~12개월짜리 신원으로 대한다. 갱신 시점은 자연스러운 이전(migration) 시점이며, 그 사이 관할권의 법이 바뀌었다면 특히 그렇다.

이 단계들 중 이국적인 것은 하나도 없다. 진짜 익명성을 만드는 것은 이들의 결합이다. 당신이 건너뛴 모든 단계는 적이 잡아당길 수 있는 실 한 가닥이다.

실제 사례 비교: 한 사용자, 세 관할권

구체적인 그림을 그리기 위해 한 사용자를 가정해보자 — A 씨라고 부르자. 그는 2026년에 세 개의 별도 이메일 신원이 필요하다. 하나는 민감한 취재원 접촉용, 하나는 역외 프리랜스 컨설팅 사업용, 그리고 하나는 단순히 누구의 알 바도 아닌 개인 별칭용이다.

취재용 메일박스로 A 씨는 아이슬란드를 고른다. IMMI 프레임워크는 스위스 단독 설정에는 없는 법적 취재원 보호를 제공하며, 그는 그 대가로 좀 더 작고 덜 매끄러운 사업자를 받아들인다. MoneroSwapper를 통해 XMR로 계정에 자금을 채우고, 카드나 은행 채널은 절대 건드리지 않으며, 가입 전 과정을 세션마다 새 회로(circuit)로 Tor에 태운다.

컨설팅 사업용으로 A 씨는 스위스를 고른다. 배달성, 캘린더 통합, 매끄러운 도메인이 필요하기 때문이다 — Proton이 맞는다. 그의 ProtonMail 계정이 언젠가 강제 공개 투명성 보고서에 등장할 수 있다는 사실은 받아들인다. 메시지 자체는 종단간 암호화돼 있고, 메타데이터는 그의 위협 모델에서 노출되어도 무방하기 때문이다. 결제는 단순함을 위해 BTC로 하지만, 그 BTC는 Monero에서 BTC로의 원자적 스왑으로 얻었다 — 가장 중요한 고리에서 체인을 끊은 것이다.

개인 별칭용으로 A 씨는 파나마에 등록된 포워딩 도메인을 리히텐슈타인 메일박스로 향하게 한다. 포워딩 도메인은 연 14달러, XMR로 결제하며, 카지노급 데이터 브로커들을 좌절시키는 간접화 레이어를 제공한다. 실제 메일박스는 연간 청구를 하고 우편으로 현금 결제를 받아주는 — 그렇다, 2026년에도 여전히 — 작은 리히텐슈타인 사업자다.

세 개의 신원, 세 개의 관할권, 세 개의 위협 모델, 그러나 단 하나의 결제 레일. 통합 실은 Monero다. 대체 가능성(fungibility)을 보존하는 자산이기에, 그는 법적 레이어와 금융 레이어의 익명성을 두 개의 새는 추상화가 아니라 하나의 설계 문제로 다룰 수 있다.

자주 묻는 질문 (FAQ)

2026년에도 스위스는 익명 이메일을 위한 안전한 관할권인가?

그렇다, 단 단서가 있다. 스위스는 여전히 모든 주요 정보공유 협정 밖에 있고, EU보다 강한 법정 데이터 보호 권리를 가지고 있다. 그러나 BÜPF는 대형 사업자에게 6개월의 연결 메타데이터 보관을 강제하며, 좁은 사례에서 스위스 법원은 공개를 강제한 적이 있다. 대부분의 사용자에게 Proton Mail 같은 스위스 사업자는 사용성과 보호의 가장 좋은 균형을 제공한다. 그러나 최고 위험 위협 모델에서는 스위스에 아이슬란드 또는 심층 역외 포워딩 도메인을 겹치는 것이 더 현명하다.

왜 아이슬란드가 프라이버시 가이드에 계속 등장하는가?

아이슬란드의 IMMI 입법은 취재원 보호와 표현의 자유에서 세계 최강의 헌법적 입장을 제공한다. 파이브, 나인, 포틴 아이즈 협정에 가입하지 않은 것과 결합되면서, 외국 대중감시 프로그램에 협력할 구조적 이유가 없다. 단점은 아이슬란드 사업자가 더 작고, 가끔 덜 매끄럽고, 사라지는 습성이 있다는 점이다 — 한때 대표주자였던 CTemplar는 2022년에 문을 닫았다. 각 사업자를 개별적으로 검증할 것.

이 사업자들에게 신용카드 없이 결제할 수 있는가?

그렇다. Proton Mail, Tutanota, Mailfence, Runbox, 그리고 대부분의 독일 사업자는 암호화폐 직접 결제 또는 봉투에 든 현금을 받는다. 가장 깨끗한 경로는 MoneroSwapper 같은 No-KYC 스왑을 통해 Monero를 확보한 뒤, 지원되는 곳에서는 XMR로, 또는 Monero에서 BTC로의 원자적 스왑으로 얻은 BTC로 결제하는 것이다. 핵심은 은행 신원과 메일박스 가입 사이의 체인을 끊는 것인데, 이는 대부분의 유료 카드 워크플로우가 실패하는 지점이다.

Tor만으로 충분한가, 아니면 VPN도 필요한가?

가입에는 Tor 단독이면 충분하며, 단일 VPN 운영자에게 신뢰를 집중시키지 않기 때문에 오히려 더 우월하다. 메일박스의 일상 사용에는 익명으로 결제한 VPN이 더 나은 속도를 줄 수 있고, 동시에 집 IP를 사업자로부터 숨길 수 있다. 신용카드로 가입한 VPN 위에 Tor를 쌓는 것은 피하라. 식별화 벡터를 제거한 것이 아니라 한 홉 옮긴 것에 불과하다.

역외 이메일 사업자는 미국 소환장에 협력하는가?

형사사법공조조약(MLAT) 절차를 통해 강제될 때만, 그리고 양국 모두에서 인정되는 범죄에 한해서만 협력한다. 실무적 효과는 MLAT 경로가 몇 달에서 몇 년이 걸리고, 외국 법원이 받아들이는 수준의 상당한 이유(probable cause)를 요구하며, 사업자 변호인이 볼 수 있는 서면 흔적을 남긴다는 것이다. 바로 이것이 관할권 쇼핑의 전부다. 강제 공개 비용을 낚시성 수사가 걸러질 만큼 끌어올리는 것.

양자내성 이메일 암호화는?

Tuta와 Proton을 포함한 여러 사업자가 미래의 "지금 수확, 나중에 복호화(harvest now, decrypt later)" 공격에 대한 헤지로 2024-2025년에 포스트양자 키 캡슐화를 도입했다. 대부분의 사용자에게 이는 장기 지평의 우려지만, 2040년에도 비밀이 유지되어야 하는 메시지를 보내고 있다면 사업자에게 Kyber/ML-KEM 또는 동등한 PQ 하이브리드 모드에 대해 구체적으로 물어볼 것.

한국 사용자에게 특별히 주의할 점은?

국내 IP에서 직접 역외 이메일에 가입하면 사업자의 가입 로그에 한국 IP가 남고, 통신사 통신사실확인자료에는 해당 사업자 도메인 접속 기록이 남는다. 두 기록 모두 단독으로 메일 내용을 노출시키지는 않지만, 신원을 가입과 연결시키는 데 충분하다. 따라서 가입 단계에서는 반드시 Tor 또는 익명 결제한 VPN을 사용하고, 메일박스 인증에는 한국 휴대폰 번호(010-) 복구를 절대 연결하지 말 것. KISA에 신고되거나 분쟁이 발생할 경우 통신사 협조 의무가 빠르게 작동하기 때문이다. 또한 국내 거래소에서 매수한 코인을 그대로 결제에 쓰면 실명 KYC가 그대로 따라온다는 점을 기억해야 한다. 반드시 No-KYC 스왑을 한 번 거쳐 결제 체인을 끊을 것.

결론

2026년의 올바른 익명 이메일은 관할권이 당신의 위협 모델에 맞고, 결제 레일이 결제 단계에서 신원을 흘리지 않는 그 이메일이다. 스위스는 여전히 신뢰의 일꾼, 아이슬란드는 헌법적 요새, 리히텐슈타인은 조용한 전문가, 그리고 파나마, 세이셸, 벨리즈는 적과 받은편지함 사이에 여러 법적 홉이 필요한 사용자를 위한 심층 역외 레이어다. 이 어떤 보호도 신용카드 가입에서 살아남지 못한다 — 바로 그래서 올바른 관할권을, 아무것도 요구하지 않고 어떤 로그도 남기지 않는 MoneroSwapper 같은 서비스를 통한 Monero 결제와 짝짓는 것이, 프라이버시 제품을 진짜 익명성 보장으로 바꾸는 아키텍처 수다. 법적 외피를 먼저, 사업자를 다음으로, 그리고 결제 레일은 둘 중 어느 쪽에 들이는 만큼의 주의로 골라라.