셀프 커스터디 / 벤더 락인 제로 구조 설계서
1. Executive Summary
본 문서는 D'CENT 엔터프라이즈의 핵심 포지셔닝인 "True Self-Custody" 를 기술적으로 보장하는 구조를 설계한다. "True Self-Custody"란 기업이 암호화폐 자산의 프라이빗 키를 100% 자체적으로 보유·관리하며, D'CENT을 포함한 어떤 제3자도 키에 접근하거나 자산 이동에 개입할 수 없는 구조를 의미한다.
1.1. "True Self-Custody" 정의
요소
정의
D'CENT 충족 방식
키 독점 소유 프라이빗 키는 기업이 100% 소유, 제3자 보유 제로
SE 내부 생성·저장, D'CENT 서버 전송 없음
벤더 독립 D'CENT 서비스 중단 시에도 자산 접근 가능
오픈 표준 기반, 타사 월렛 복구 가능
데이터 주권 트랜잭션/주소/잔액 정보가 기업 인프라에만 존재
텔레메트리 제로, 온프레미스 배포 지원
운영 자주권 벤더 허가 없이 모든 운영 결정 가능
오픈소스 컴포넌트, 표준 프로토콜
1.2. 왜 벤더 독립이 엔터프라이즈에 중요한가
비즈니스 리스크:
- 벤더 파산/폐업 시 자산 접근 불가 → FTX/BlockFi 사례에서 수탁 자산 동결
- 벤더의 일방적 서비스 조건 변경 (수수료 인상, 기능 제한)
- 지정학적 리스크: 벤더 소재국의 제재/규제로 서비스 차단 가능
- 벤더 서버 해킹 시 키 셰어 유출 → 자산 위험
규제 리스크:
- EU MiCA/DORA: 제3자 의존도에 대한 리스크 관리 의무
- 한국 ISMS-P: 외부 서비스 의존도 관리 요구
- 미국 SEC: Qualified Custodian 요건에서 "자산에 대한 독점적 통제" 중시
2. 100% 키 소유권 보장 구조
2.1. 키 생성 및 저장
키 라이프사이클:
[키 생성]
D'CENT X SE 내부에서 TRNG(True Random Number Generator)로 엔트로피 생성
→ BIP-39 니모닉 시드 생성 (24단어)
→ BIP-32 HD 마스터 키 파생
→ 모든 키는 SE 내부에서만 존재
[키 저장]
├─ 프라이빗 키: SE 보안 영역 (추출 불가)
├─ 공개 키: SE → 오프라인 앱으로 전달 (에어갭 경유)
└─ 시드 백업: 금속 시드 플레이트 (Phase 3 key-ceremony.md)
[키 사용]
서명 요청 → SE 내부 서명 수행 → 서명값만 외부 전달
프라이빗 키가 SE 외부로 나가는 경우는 없음
2.2. D'CENT가 보유하지 않는 것
항목
D'CENT 보유
Fireblocks
BitGo
프라이빗 키 없음
키 셰어 1개 (MPC-CMP)
복구 키 1개 (KRS)
시드 백업 없음
해당 없음 (MPC)
KRS 백업
트랜잭션 데이터 없음
서버 저장
서버 저장
주소/잔액 정보 없음
서버 저장
서버 저장
정책 설정 없음
서버 저장
서버 저장
사용자 행동 데이터 없음
서버 수집
서버 수집
2.3. D'CENT 서비스 중단 시 자산 접근 시나리오
D'CENT가 사업을 중단하거나 서비스를 종료한 경우에도 기업의 자산 접근이 보장되어야 한다.
시나리오 1: D'CENT 앱 사용 불가 (앱 스토어 삭제)
단계
절차
도구
1
D'CENT X 디바이스에서 시드 표시 (24단어)
D'CENT X 디바이스 (자체 기능)
2
타사 월렛에 시드 입력
Electrum, Sparrow, MetaMask 등
3
BIP-44/84/86 표준 경로로 주소 파생
표준 준수 (섹션 3 참조)
4
자산 접근 및 전송
타사 월렛에서 서명·전파
시나리오 2: D'CENT X 하드웨어 고장 (교체 불가)
단계
절차
도구
1
금속 시드 플레이트에서 시드 복구
물리적 시드 백업
2
타사 하드웨어 월렛에 시드 입력
Ledger, Trezor, Keystone 등
3
표준 키 파생 경로로 주소 복구
BIP 표준
4
자산 접근 및 전송
타사 하드웨어 월렛
시나리오 3: D'CENT 서버 완전 종료
영향 범위
영향
대응
펌웨어 업데이트
새 펌웨어 제공 불가
기존 펌웨어로 계속 사용 가능
대시보드 SaaS
SaaS 모델 사용 불가
온프레미스 배포로 전환 (섹션 3.6)
기술 지원
지원 종료
오픈소스 커뮤니티 기반 유지보수
블록체인 노드
D'CENT 노드 사용 불가
자체 풀노드 또는 타사 RPC 전환
2.4. 키 백업 벤더 독립성
Phase 3 disaster-recovery.md에서 설계한 키 백업 구조가 벤더 독립적인지 검증:
백업 방식
벤더 독립
근거
금속 시드 플레이트 완전 독립
BIP-39 표준 24단어 → 어떤 BIP-39 호환 월렛에서도 복구
다중 시드 분할 (SSS) 완전 독립
SSS 복구는 수학적 연산 — 벤더 고유 도구 불필요
멀티시그 키 세트 완전 독립
각 키가 BIP 표준 준수 → 개별 복구 가능
3. 오픈 표준 기반 설계 (벤더 락인 방지)
3.1. 채택 오픈 표준 목록
영역
표준
식별자
목적
대안 호환 도구
시드 생성 BIP-39
Mnemonic
24단어 니모닉
Ledger, Trezor, Keystone, 모든 BIP-39 월렛
키 파생 BIP-32/44/84/86
HD Wallet
계층적 키 파생
모든 HD 월렛
BTC TX 포맷 BIP-174/370
PSBT v0/v2
미서명 TX 교환
Sparrow, Electrum, COLDCARD
BTC 다중 서명 BIP-327
MuSig2
Schnorr 집계 서명
Ledger Bitcoin App v2.4+
BTC MuSig2 PSBT BIP-373
PSBT MuSig2
PSBT 내 MuSig2 데이터
Sparrow (지원 예정)
에어갭 통신 BC-UR
Uniform Resources
애니메이티드 QR 데이터 교환
Keystone, AirGap Vault, Sparrow
EVM 서명 EIP-712
Typed Data
구조화 데이터 서명
MetaMask, Safe, 모든 EVM 월렛
EVM 멀티시그 ERC-4337 / Safe
Account Abstraction
스마트 컨트랙트 멀티시그
Safe{Wallet}, 모든 Safe 호환 도구
코인 유형 SLIP-0044
Coin Types
멀티체인 키 파생
모든 BIP-44 준수 월렛
3.2. 표준 키 파생 경로
D'CENT X에서 사용하는 키 파생 경로는 업계 표준을 준수하여, 타사 월렛에서 동일한 키를 파생할 수 있다.
체인
파생 경로
표준
호환 월렛
BTC (Legacy)
m/44'/0'/0'/0/x
BIP-44
Electrum, Sparrow
BTC (SegWit)
m/84'/0'/0'/0/x
BIP-84
Electrum, Sparrow, COLDCARD
BTC (Taproot)
m/86'/0'/0'/0/x
BIP-86
Sparrow, Ledger
Ethereum
m/44'/60'/0'/0/x
BIP-44
MetaMask, Ledger, Trezor
Polygon
m/44'/60'/0'/0/x
BIP-44 (ETH 동일)
MetaMask
Tron
m/44'/195'/0'/0/x
BIP-44
TronLink
3.3. PSBT 호환성
D'CENT의 BTC 트랜잭션은 표준 PSBT 포맷을 사용하므로, 다음 도구들과 완전 호환:
도구
PSBT v0
PSBT v2
MuSig2 (BIP-373)
에어갭 (UR)
Sparrow Wallet
지원
지원
지원 예정
지원
COLDCARD
지원
부분
미지원
microSD
Electrum
지원
부분
미지원
미지원
Bitcoin Core
지원
지원
부분
미지원
3.4. Safe (EVM 멀티시그) 호환성
EVM 체인의 멀티시그는 오픈소스 Safe 컨트랙트 기반으로 구현하므로:
호환 항목
설명
Safe{Wallet} 공식 Safe 웹 인터페이스에서 D'CENT 월렛의 Safe 관리 가능
Safe Transaction Service 표준 Safe API로 트랜잭션 제출/서명 수집
Safe 모듈 표준 Safe 모듈 인터페이스 준수 → 커스텀 정책 모듈 추가 가능
소유자 변경 Safe 표준 메서드로 D'CENT 이외의 서명자 추가/제거 가능
3.5. BC-UR (에어갭 통신) 호환성
Blockchain Commons UR 표준을 준수하여, D'CENT X와 타사 에어갭 도구 간 상호운용성 확보:
UR Type
용도
호환 도구
crypto-psbtPSBT 전달
Keystone, Sparrow, AirGap
crypto-account계정 정보 공유
Keystone, Sparrow
crypto-hdkey공개 키 공유
Keystone, AirGap
3.6. 오픈소스 전략
D'CENT 엔터프라이즈의 벤더 독립성을 강화하기 위한 오픈소스 전략:
컴포넌트
오픈소스 범위
이유
온라인 대시보드 커뮤니티 에디션 오픈소스
셀프호스팅 보장, 벤더 독립
오프라인 서명 앱 핵심 서명 로직 오픈소스
서명 검증 투명성
에어갭 프로토콜 완전 오픈소스 (UR 표준)
상호운용성 보장
SE 펌웨어 비공개 (보안)
SE 보안상 비공개, 외부 감사로 대체
SE 정책 엔진 로직 사양 공개 (구현 비공개)
감사 가능성 보장
4. 벤더 독립성 검증 체크리스트
4.1. 종합 검증 매트릭스
#
검증 질문
답변
근거
1
D'CENT 서버 없이도 트랜잭션 생성 가능한가?
가능 온프레미스 대시보드에서 블록체인 노드 직접 연결
2
D'CENT 서버 없이도 트랜잭션 서명 가능한가?
가능 SE 내부 서명, 에어갭 경유 (서버 불필요)
3
D'CENT 서버 없이도 트랜잭션 전파 가능한가?
가능 자체 풀노드 또는 타사 RPC로 직접 전파
4
D'CENT 앱 없이도 키 복구 가능한가?
가능 BIP-39 시드 → 타사 월렛 복구
5
D'CENT 하드웨어 없이도 자산 접근 가능한가?
가능 시드 → 타사 하드웨어 월렛 또는 소프트웨어 월렛
6
D'CENT 인증서 만료 시에도 시스템 동작 가능한가?
가능 에어갭 통신(QR/USB-C)은 인증서 불필요, 대시보드는 자체 인증서
7
D'CENT 소프트웨어 업데이트 없이도 기존 기능 유지 가능한가?
가능 기존 펌웨어/앱으로 모든 서명 기능 지속
8
D'CENT가 원격으로 디바이스를 비활성화할 수 있는가?
불가 에어갭 → 원격 명령 불가, SE 킬스위치 없음
9
D'CENT가 트랜잭션을 차단하거나 검열할 수 있는가?
불가 서명은 SE 내부, 전파는 기업 인프라
10
D'CENT에 데이터가 전송되는가?
전송 없음 텔레메트리/분석 데이터 수집 제로
4.2. 벤더 독립성 등급
등급
정의
D'CENT
Fireblocks
BitGo
L1: 완전 독립 벤더 없이 모든 기능 사용 가능
-
-
-
L2: 핵심 독립 핵심 기능(서명/복구)은 벤더 없이 가능
해당 -
-
L3: 부분 독립 일부 기능만 벤더 없이 가능
-
-
해당
L4: 벤더 종속 벤더 없이 핵심 기능 사용 불가
-
해당 -
D'CENT은 L2 등급 이다. 서명, 키 복구, 트랜잭션 전파는 완전 독립적이나, 펌웨어 업데이트와 새 체인 지원 추가는 D'CENT에 의존한다. 이는 SE 보안을 위한 합리적 트레이드오프이다.
5. 경쟁사 벤더 종속 비교
5.1. Fireblocks — 구조적 벤더 종속
종속 영역
상세
리스크
키 셰어 보유 MPC-CMP에서 4개 셰어 중 1개를 Fireblocks 서버가 보유
Fireblocks 서비스 중단 시 서명 불가
독점 프로토콜 MPC-CMP는 Fireblocks 독점. 포터빌리티 없음
타사 이전 불가
서버 의존 모든 트랜잭션이 Fireblocks 서버 경유
서버 다운 시 운영 중단
정책 저장 TAP 정책이 Fireblocks 서버에 저장
서비스 중단 시 정책 접근 불가
키 복구 Fireblocks 없이는 전체 키 복구 불가
벤더 파산 리스크
5.2. BitGo — 부분 벤더 종속
종속 영역
상세
리스크
복구 키 보관 3개 키 중 1개를 BitGo KRS(Key Recovery Service)가 보관
고객이 직접 보관 가능하나, KRS 기본
API 의존 모든 운영이 BitGo API 경유
API 접근 불가 시 운영 중단
보험 연계 BitGo 보험은 BitGo 서비스 사용 전제
서비스 이탈 시 보험 소멸
콜드 볼트 BitGo 관리 콜드 볼트 → 고객 자체 관리 아님
BitGo 운영에 의존
5.3. Ledger Enterprise — 플랫폼 종속
종속 영역
상세
리스크
관리 플랫폼 Ledger Enterprise 관리 콘솔(Vault) 의존
플랫폼 접근 불가 시 관리 기능 제한
하드웨어 독립 키 자체는 Ledger 디바이스에 저장 → 이 부분은 독립적
BIP-39 복구 가능
정책/거버넌스 Ledger Vault 플랫폼에서만 관리
플랫폼 없이는 정책 관리 불가
5.4. D'CENT — 완전 독립 구조
D'CENT 벤더 종속도 분석:
키 관리: [████████████████████] 100% 독립 — SE 내부 + BIP 표준
서명: [████████████████████] 100% 독립 — 에어갭 + SE 내부
트랜잭션 전파: [████████████████████] 100% 독립 — 자체 노드 가능
키 복구: [████████████████████] 100% 독립 — BIP-39 표준 시드
관리/정책: [██████████████░░░░░░] 75% 독립 — 온프레미스 대시보드 (SaaS 종속 가능)
펌웨어 업데이트:[████░░░░░░░░░░░░░░░░] 20% 독립 — D'CENT 제공 필수
6. 데이터 주권 및 프라이버시
6.1. D'CENT로 전송되는 데이터: 제로
데이터 유형
전송 여부
설명
트랜잭션 내용 (수신자, 금액)
전송 없음 모든 TX 데이터는 기업 인프라 내부
지갑 주소 / 잔액
전송 없음 블록체인 노드 직접 조회
사용자 행동 데이터
전송 없음 텔레메트리/분석 수집 제로
IP 주소 / 접속 로그
전송 없음 에어갭 → 네트워크 연결 없음 (콜드월렛)
정책 설정 / 규칙
전송 없음 대시보드 내부 저장
펌웨어 버전 정보
전송 없음 에어갭 → 자동 업데이트 없음
6.2. 데이터 레지던시 보장
온프레미스 배포 시 모든 데이터가 기업이 지정한 물리적 위치에만 존재:
데이터
저장 위치
관할권 통제
프라이빗 키
D'CENT X SE (물리 디바이스)
디바이스 보관 위치의 관할권
트랜잭션 이력
온프레미스 대시보드 DB
기업 데이터센터 관할권
감사 로그
온프레미스 로그 저장소
기업 데이터센터 관할권
정책/설정
온프레미스 대시보드
기업 데이터센터 관할권
블록체인 데이터
자체 풀노드
노드 운영 위치의 관할권
6.3. 프라이버시 보장 매커니즘
메커니즘
설명
Phone-Home 제로 D'CENT 소프트웨어가 어떤 외부 서버에도 데이터를 전송하지 않음
텔레메트리 비활성 사용 통계, 오류 보고 등 일절 수집 안 함
업데이트 확인 비활성 자동 업데이트 체크 없음 (에어갭 원칙)
네트워크 감사 온프레미스 배포 시 나가는 트래픽 감사 가능 → D'CENT 통신 제로 확인
7. Phase 5 시스템 아키텍처 연계 포인트
연계 항목
Phase 5 상세화 범위
온프레미스 대시보드 아키텍처
컴포넌트 스택, 배포 방식, 컨테이너화
자체 블록체인 노드 연결
풀노드 요구사항, RPC 인터페이스, Failover
에어갭 프로토콜 호환성
UR Type 목록, CBOR 스키마, 바이트 수준 명세
오픈소스 컴포넌트 라이선스
커뮤니티 에디션 라이선스 선택 (AGPL, Apache 2.0 등)
SE 보안 감사 범위
외부 감사 대상 범위, 감사 주기
본 문서는 Phase 4 Differentiation & Extended Architecture의 일부로, D'CENT 엔터프라이즈의 "True Self-Custody" 포지셔닝을 기술적으로 설계한다.
Phase 1 경쟁사 분석(competitive-analysis.md)의 벤더 종속 분석을 기반으로, D'CENT의 완전 독립 구조를 체계적으로 증명한다.
관련 문서