티어드 커스터디 아키텍처 설계서
1. Executive Summary
본 문서는 D'CENT 엔터프라이즈의 콜드/웜 월렛 계층 분리 전략(Tiered Custody Architecture)을 설계한다. 에어갭 콜드월렛은 최고 수준의 보안을 제공하지만, 모든 트랜잭션에 에어갭 서명 절차(왕복 4회 QR/USB-C)를 요구하면 일상적 운영에서 심각한 비효율이 발생한다. 이를 해결하기 위해 2-Tier 커스터디 아키텍처 를 도입하여, 자산의 대부분은 콜드 월렛에서 보호하고 일상 운영 자금만 웜 월렛에서 관리한다.
1.1. 단일 콜드월렛 구조의 한계
문제
영향
서명 지연 에어갭 서명 왕복 4회 × M명 서명자 = 건당 10-30분
운영 중단 서명자 비가용 시 트랜잭션 처리 불가
소액 거래 비효율 $100 소액 이체에도 동일한 다중 서명 절차
배치 처리 불가 대량 지급(급여, 배당)을 건별로 처리해야 함
글로벌 운영 지연 시간대가 다른 서명자 간 비동기 서명 수집에 수시간~수일
1.2. 계층 분리의 원칙
대부분의 자산은 에어갭으로 보호하고, 일상 운영에 필요한 최소한의 자산만 온라인에서 관리한다.
이 원칙은 전통 금융의 금고(Vault) + 운전 자금(Operating Account) 분리와 동일한 개념이다.
2. 2-Tier 커스터디 아키텍처
2.1. 아키텍처 개요
┌──────────────────────────────────────────────────────────┐
│ │
│ ┌─────────────────────────────┐ │
│ │ Cold Tier │ │
│ │ (콜드 월렛) │ │
│ │ │ │
│ │ ■ 총 자산의 80-95% │ │
│ │ ■ 에어갭 다중 서명 필수 │ │
│ │ ■ D'CENT X SE + MuSig2/Safe │ │
│ │ ■ 3중 정책 방어 (SW+HW) │ │
│ │ ■ 장기 보관 전용 │ │
│ │ │ │
│ └──────────┬───────────────────┘ │
│ │ │
│ │ Cold→Warm 자금 이동 │
│ │ (에어갭 다중 서명 필수) │
│ │ │
│ ┌──────────▼───────────────────┐ │
│ │ Warm Tier │ │
│ │ (웜 월렛) │ │
│ │ │ │
│ │ ■ 총 자산의 5-15% │ │
│ │ ■ MPC-TSS 온라인 서명 │ │
│ │ ■ 정책 범위 내 자동 서명 │ │
│ │ ■ SW 정책만 적용 │ │
│ │ ■ 일상 운영 전용 │ │
│ │ │ │
│ └──────────────────────────────┘ │
│ │
│ ┌──────────────────────────────┐ (선택적) │
│ │ Hot Tier │ │
│ │ (핫 월렛) │ │
│ │ │ │
│ │ ■ 총 자산의 1-3% │ │
│ │ ■ 단일 키 또는 2-of-2 │ │
│ │ ■ 완전 자동 서명 │ │
│ │ ■ 즉시 결제/출금 전용 │ │
│ └──────────────────────────────┘ │
└──────────────────────────────────────────────────────────┘
2.2. 계층별 상세 정의
Cold Tier (콜드 월렛)
항목
사양
자산 비율 총 자산의 80-95% (기업 정책으로 비율 설정)
키 저장 D'CENT X SE (에어갭, CC EAL5+)
서명 방식 BTC: MuSig2 (BIP-327) / EVM: Safe Multisig
서명 환경 에어갭 (QR/USB-C 왕복 4회)
정책 적용 3중 방어 (대시보드 + 오프라인 앱 + 하드웨어 SE)
WYSIWYS 필수 (하드웨어 화면 검증)
승인 쿼럼 최고 수준 (4-of-5 또는 5-of-7)
적합 용도 장기 보관, 대규모 자산 이동, 전략적 투자
Warm Tier (웜 월렛)
항목
사양
자산 비율 총 자산의 5-15% (일일/주간 운영 자금)
키 저장 MPC-TSS 분산 키 셰어 (기업 서버 분산)
서명 방식 MPC-TSS (T-of-N 임계 서명)
서명 환경 온라인 (네트워크 연결 상태에서 서명)
정책 적용 SW 정책만 (대시보드 정책 엔진)
WYSIWYS 미적용 (소프트웨어 검증만)
승인 쿼럼 정책 범위 내: 자동 / 범위 외: 2-of-3
적합 용도 일상 출금, 급여 지급, 소액 결제, 배치 처리
Hot Tier (핫 월렛) — 선택적
항목
사양
자산 비율 총 자산의 1-3% (즉시 결제용 극소액)
키 저장 HSM 또는 소프트웨어 단일 키
서명 방식 단일 키 ECDSA 또는 2-of-2
서명 환경 완전 자동 (인간 승인 없음)
정책 적용 최소 정책 (금액 상한만)
적합 용도 즉시 출금, API 연동 결제, 실시간 정산
3. 계층별 자산 배분 전략
3.1. 기본 배분 정책
구성
Cold
Warm
Hot (선택)
합계
보수적 (금융기관) 95%
5%
0%
100%
표준 (일반 기업) 85%
12%
3%
100%
적극적 (거래소/수탁) 80%
15%
5%
100%
3.2. 자동 리밸런싱 임계값
Warm 월렛 잔액 모니터링:
[상한선 초과] Warm > 15% (또는 설정값)
│
▼
자동 환수 트리거: Warm → Cold
- 초과분을 Cold 주소로 자동 이체
- Warm 정책 내 자동 서명 (인간 승인 불필요)
- 환수 완료 후 알림
[하한선 미달] Warm < 3% (또는 설정값)
│
▼
충전 요청 트리거: Cold → Warm
- 대시보드에서 충전 요청 자동 생성
- Cold 출금이므로 에어갭 다중 서명 필수
- 승인자에게 충전 요청 알림 발송
[경고 구간] Warm 3-5%
│
▼
경고 알림: "Warm 월렛 잔액이 낮습니다"
- 자동 충전 요청은 하지 않음 (관리자 판단)
임계값 기본 설정:
파라미터
기본값
설정 범위
Warm 상한선
총 자산의 15%
5-30%
Warm 하한선
총 자산의 3%
1-10%
Warm 경고선
총 자산의 5%
2-15%
충전 목표
총 자산의 10%
하한선~상한선
환수 목표
총 자산의 10%
하한선~상한선
3.3. 자산 유형별 배분
자산
Cold
Warm
이유
BTC
95%
5%
장기 보유 비중 높음
ETH
85%
15%
DeFi/스테이킹 접근 가능성 고려
USDT/USDC
70%
30%
일상 지급에 빈번 사용
4. Cold→Warm 자금 이동 워크플로우
4.1. 충전 워크플로우 (Cold→Warm)
[1] 충전 트리거
├─ 자동: Warm 잔액 < 하한선
└─ 수동: 관리자 충전 요청
[2] 충전 요청 생성 (대시보드)
├─ 이동 금액 계산 (목표 비율까지)
├─ Cold 월렛 출금 주소 → Warm 월렛 입금 주소
└─ 정책 검증 (이동 금액 상한 체크)
[3] 승인 (최고 수준 쿼럼)
├─ Cold 출금이므로 Cold Tier 쿼럼 적용 (예: 4-of-5)
├─ 순차 또는 병렬 승인
└─ 승인 완료 → READY_TO_SIGN
[4] 에어갭 서명 (Cold Tier 프로세스 동일)
├─ 대시보드 → QR → 오프라인 앱 → QR → 콜드월렛
├─ WYSIWYS 확인 (수신 주소가 Warm 월렛임을 표시)
├─ SE 서명 + HW 정책 검증
└─ 서명 반환
[5] 전파 및 확인
├─ 블록체인 전파
├─ 확인 대기
└─ Warm 잔액 업데이트
[6] 감사 기록
├─ "Cold→Warm 충전" 이벤트 기록
├─ 충전 사유 (자동/수동)
└─ 승인자 목록, 금액, 타임스탬프
4.2. 이동 금액 상한
이동 유형
건당 상한
일일 상한
승인 쿼럼
정기 충전
Warm 상한선까지
총 자산의 20%
4-of-5
긴급 충전
Warm 상한선까지
총 자산의 10%
3-of-5 (축소)
대규모 이동
총 자산의 50%
1회/일
5-of-5 + Super Admin
4.3. 스케줄 기반 자동 트리거 vs 수동 트리거
방식
설명
적합 시나리오
스케줄 기반 매주 월요일 09:00에 잔액 체크 → 목표 비율 미달 시 자동 요청
예측 가능한 운영 패턴
이벤트 기반 Warm 잔액이 하한선 이하로 떨어지면 즉시 요청
변동 큰 운영 패턴
수동 관리자가 필요 시 직접 요청
소규모 기업, 보수적 운영
5. Warm→Cold 자금 환수
5.1. 정기 환수
Warm 잔액 > 상한선 감지
│
▼
환수 금액 계산 (잔액 - 목표 비율)
│
▼
Warm 정책 내 자동 서명
- MPC-TSS 서명 (Warm→Cold)
- 정책 범위 내이므로 인간 승인 불필요
- Cold 월렛 입금 주소로 이체
│
▼
감사 기록 ("Warm→Cold 환수" 이벤트)
5.2. 비상 환수 (Emergency Sweep)
웜 월렛에 보안 위협이 감지된 경우 즉시 모든 자금을 Cold로 이동:
보안 위협 감지
├─ MPC 셰어 서버 침해 의심
├─ 비정상 서명 패턴 감지
├─ 관리자 수동 발동
│
▼
Kill Switch 활성화
- Warm 월렛 전체 서명 중단
- 신규 입금 주소 Cold로 전환
│
▼
비상 환수 실행
- Warm 전체 잔액 → 사전 지정 Cold 주소
- 비상 서명 키 사용 (별도 2-of-3)
- 최우선 Gas/수수료 적용
│
▼
사후 조치
- 원인 분석 및 MPC 키 리프레시
- 정상화 판단 후 Warm 재활성화
- 전 과정 감사 로그 기록
6. 계층별 보안 수준 비교
항목
Cold Tier
Warm Tier
Hot Tier (선택)
키 저장 SE (에어갭, EAL5+)
MPC 분산 셰어 (서버)
HSM 또는 SW
서명 방식 하드웨어 다중 서명
MPC-TSS 온라인
자동 서명
에어갭 필수 (QR/USB-C)
없음 (온라인)
없음
정책 적용 3중 방어 (SW+HW SE)
SW 정책만
최소 정책
WYSIWYS 하드웨어 파싱 검증
SW 검증만
없음
인간 승인 필수 (물리 버튼)
정책 범위 외만
불필요
서명 속도 10-30분
1-3초
< 1초
공격 시 최대 손실 에어갭 우회 필요 (극히 어려움)
Warm 잔액 (5-15%)
Hot 잔액 (1-3%)
복구 난이도 시드 복구 (오프라인)
키 리프레시 (온라인)
키 재생성
6.1. 공격 시나리오별 손실 범위
공격 시나리오
단일 Cold 구조
2-Tier 구조
개선
대시보드 서버 해킹
Cold: HW 정책이 방어
Warm 잔액만 위험 (5-15%)
Cold 100% 보호
내부자 공격 (1인)
Cold: 쿼럼 방어
Warm: MPC t-of-n 방어
양쪽 모두 방어
내부자 공모 (t명)
Cold: M명 이상 필요
Warm: t명 키 셰어 필요
분리 방어
물리적 디바이스 탈취
Cold: PIN + 쿼럼 방어
Warm: 디바이스 무관
해당 없음
전체 인프라 침해
Cold: 에어갭 방어
Warm 전액 위험 → 비상 환수
최대 손실 15% 제한
7. 정책 엔진 연계
7.1. Phase 3 4-Tier 에스컬레이션과의 관계
Phase 3 policy-engine.md의 차등 한도 체계(4-Tier)는 주로 Cold Tier 내에서 적용된다. 계층 분리와의 관계:
정책 체계
Cold Tier
Warm Tier
Tier 1 (소액) Cold에서 처리 가능하나 비효율 → Warm으로 위임
Warm 자동 서명
Tier 2 (중액) Cold에서 처리 가능하나 일상적 → Warm 쿼럼 서명
Warm 2-of-3
Tier 3 (고액) Cold 에어갭 서명 필수 Warm 금액 초과 → Cold 에스컬레이션
Tier 4 (초고액) Cold 최고 쿼럼 해당 없음 (Warm 한도 초과)
7.2. 에스컬레이션 흐름
트랜잭션 요청
│
▼
금액 판단
│
├─ Warm 한도 이내 → Warm Tier에서 처리
│ ├─ 자동 서명 범위 → 자동 실행
│ └─ 쿼럼 필요 → Warm 2-of-3
│
└─ Warm 한도 초과 → Cold Tier로 에스컬레이션
├─ Tier 3 → Cold 4-of-5
└─ Tier 4 → Cold 5-of-5 + Super Admin
8. 경쟁사 대비
8.1. 계층 구조 비교
항목
D'CENT Enterprise
BitGo
Fireblocks
Ledger Enterprise
Cold Tier 진정한 에어갭 (QR/USB-C)Cold Vault (오프라인 HSM)
없음 (전체 핫)
Vault (반에어갭)
Warm Tier MPC-TSS (셀프 커스터디)Hot Wallet (BitGo 서버)
MPC-CMP (전체)
없음
에어갭 수준 완전 에어갭 부분 (HSM 기반)
없음
제한적
Cold 자산 비율 80-95%
불명확
0%
불명확
자동 리밸런싱 지원
지원
해당 없음
미지원
비상 환수 Kill Switch + 자동
수동
해당 없음
수동
8.2. D'CENT 차별화 요약
BitGo 대비: BitGo의 Hot Wallet은 BitGo 서버 키를 사용하므로 벤더 종속. D'CENT의 Warm은 기업 자체 MPC-TSS로 벤더 독립.Fireblocks 대비: Fireblocks는 전체 인프라가 핫(Hot)이므로 Cold Tier 자체가 없음. D'CENT은 진정한 에어갭 Cold + MPC Warm 하이브리드.Ledger 대비: Ledger Enterprise는 Warm Tier 미지원. D'CENT은 Cold + Warm 통합 계층 관리.
9. Phase 5 시스템 아키텍처 연계 포인트
연계 항목
Phase 5 상세화 범위
Cold→Warm 주소 매핑
체인별 계층 간 주소 체계, 내부 전송 식별 로직
리밸런싱 엔진
잔액 모니터링, 임계값 판단, 자동 요청 생성 로직
Kill Switch 구현
비상 환수 실행 메커니즘, 셰어 서버 통신 차단
멀티체인 계층 관리
체인별 Cold/Warm 주소 풀 관리, 잔액 집계
대시보드 UI
계층별 자산 현황, 리밸런싱 히스토리, 비상 환수 버튼
본 문서는 Phase 4 Differentiation & Extended Architecture의 일부로, 콜드/웜 월렛 계층 분리 전략을 설계한다.
Phase 3 정책 엔진(policy-engine.md)의 4-Tier 에스컬레이션 체계와 연계하여, 계층 분리가 정책 적용에 미치는 영향을 정의한다.
관련 문서