v0.6

Core/Delta 분류표: 국가 간 공통 요건과 차별 요건

1. 개요

1.1. Core/Delta 분류 방법론

본 문서는 feature-implications-mapping.md의 피처 시사점을 기반으로, 5개국 규제 요건을 Core(공통 요건)와 Delta(국가별 차별 요건)로 분류한다.

분류 기준: | 분류 | 기준 | 설계 의미 | |------|------|---------| | Core | 3개국 이상에서 공통으로 요구하거나, 업계 표준(CCSS Level 2+/SOC 2)에서 필수 | 모든 배포에 필수. Phase 1 대상 | | Delta | 특정 국가에서만 요구하거나, 국가별 수치/방식이 상이 | 관할별 선택 적용. 정책 프로파일로 구조화 |

핵심 원칙: - "슈퍼셋 통합" 금지 (Pitfall 3) -- 모든 국가 요건을 하나로 합치지 않음 - Core에 과도한 요건 포함 금지 -- Core가 커지면 최소 배포 비용 증가 - Draft 상태 규제(GENIUS Act)는 Delta 후보로만 표기 - Core는 모든 배포에 필수, Delta는 관할별 정책 프로파일로 선택 적용

---

2. Core 요건 목록

Core 요건은 3개국 이상에서 공통으로 요구하거나 업계 표준에서 필수인 요건으로, 모든 D'CENT Enterprise 배포에 포함되어야 한다.

ID	요건 명칭	관련 규제 조항	필요 피처	구현 우선순위
CORE-01	고객 자산 분리 보관	REG-KR-01, REG-EU-02, REG-US-01, REG-JP-01, REG-SG-01 (5개국)	SE별 물리적 키 격리 + 멀티월렛 구조	P0 -- 에어갭 Auto 충족
CORE-02	콜드 보관 비율 의무	REG-KR-02(80%), REG-JP-01(95%), REG-SG-01(90%) (3개국)	Proof of Cold Storage 증빙 + 비율 모니터링	P0 -- 에어갭 Auto 충족, 수치만 Delta
CORE-03	감사 로그 장기 보존	REG-KR-08(5년), REG-EU-03(5년), REG-JP-02(10년), REG-SG-02(5년) (4개국) + CCSS/SOC 2	3단계 아카이빙 엔진 + SE 해시 앵커 무결성	P0 -- Feasible, Phase 30 설계
CORE-04	변조 불가 감사 로그	REG-KR-14, CCSS Aspect 10 (L2+), ISO 27001 A.8.15, SOC 2	SE 해시 앵커 기반 3계층 무결성 체인	P0 -- Feasible, Phase 30 핵심
CORE-05	접근 통제 (RBAC + MFA)	REG-KR-11, CCSS Aspect 6 (L2+), SOC 2 CC6.1-6.3	MFA + RBAC + 쿼럼 승인	P0 -- 기존 v0.5 RBAC v2
CORE-06	IT 리스크 관리 체계	REG-KR-06, REG-EU-01, REG-EU-05, REG-JP-04, REG-SG-03 (5개국)	ICT 리스크 관리 프레임워크 + 이사회 보고	P0 -- Feasible, Phase 31-32
CORE-07	AML/의심거래 보고	REG-KR-03, REG-KR-07, REG-SG-02 (3개국) + FATF 권고	STR/CTR 보고서 + Travel Rule 인터페이스	P0 -- Feasible, Phase 32
CORE-08	백업 및 복구 절차	REG-EU-06, CCSS Aspect 3 (L2+), SOC 2 Availability	키 백업(R3covery/금속 시드) + DB 백업	P0 -- 기존 v0.3 설계
CORE-09	정책 변경 이력 관리	REG-EU-01, SOC 2 CC7.2, CCSS 1년+ 보존	정책 버전 관리 + 변경 이력 해시 체인	P0 -- Feasible, Phase 31
CORE-10	외부 감사 대응 보고서	REG-EU-03, REG-US-04, CCSS Aspect 7, SOC 2	감사 대응 리포트 자동 생성 + NCA 접근 포맷	P1 -- Feasible, Phase 32

Core 요건 합계: 10개 -- 모든 D'CENT Enterprise 배포에 필수 포함

---

3. 국가별 Delta 목록

Delta 요건은 특정 국가에서만 요구하거나 Core 대비 수치/방식이 상이한 요건으로, 관할별 정책 프로파일로 선택 적용된다.

3.1. 한국 Delta

ID	요건 명칭	관련 조항	Core 대비 차이점	구현 우선순위
DELTA-KR-01	콜드 보관 비율 80%	REG-KR-02	CORE-02의 국가별 수치: 한국 80%	P0
DELTA-KR-02	ISMS-P 의무 인증	REG-KR-05	VASP 의무 인증. 다른 국가는 유사 인증이 있으나 상이	P0
DELTA-KR-03	전자금융감독규정 클라우드 제한	REG-KR-10	국내 리전 + CSAP CSP 의무. EU는 상이	P0 (Model B/C)
DELTA-KR-04	접근 기록 6개월 보관	REG-KR-15	ISMS-P 고유 요건. CORE-03(5년)에 포함되지만 최소 기준 별도 명시	P1
DELTA-KR-05	금감원 현장 검사 대응	REG-KR-06	한국 고유 금융감독 체계. 대시보드에서 데이터 추출 도구 필요	P0
DELTA-KR-06	보존 기간 5년 (전자금융감독규정)	REG-KR-08	CORE-03의 국가별 수치: 한국 5년	P0

3.2. EU Delta

ID	요건 명칭	관련 조항	Core 대비 차이점	구현 우선순위
DELTA-EU-01	MiCA CASP 인가 지원	REG-EU-01, REG-EU-04	EU 고유 CASP 라이선스 체계. 한국 VASP 신고와 별개	P1
DELTA-EU-02	DORA ICT 제3자 리스크 등록부	REG-EU-07	EU 고유 DORA 프레임워크. 다른 국가에 상응 요건 없음	P1
DELTA-EU-03	GDPR 삭제권 관리	REG-EU-08	EU 고유 삭제권. 한국/일본에 상응 요건이 있으나 범위/강도 상이	P1
DELTA-EU-04	ESMA JSON 보고 포맷	REG-EU-03	EU NCA 전용 보고 포맷. 한국 금감원은 별도 포맷	P2 (Draft 기반)
DELTA-EU-05	국외 데이터 이전 제한 (GDPR)	REG-EU-10	EU 역내 저장 또는 적정성 결정 필요. 한국도 유사하나 메커니즘 상이	P1
DELTA-EU-06	보존 기간 5년 (MiCA)	REG-EU-03	CORE-03의 국가별 수치: EU 5년	P0

3.3. 미국 Delta

ID	요건 명칭	관련 조항	Core 대비 차이점	구현 우선순위
DELTA-US-01	GENIUS Act 커스터디 표준	REG-US-01	Draft 상태. 확정 시 별도 Delta 설계 필요	P3 (후속)
DELTA-US-02	GENIUS Act 감사 요건	REG-US-02	Draft 상태. Proof of Reserve 패턴 재사용 가능	P3 (후속)
DELTA-US-03	NY BitLicense 사이버보안 보고	REG-US-04	NY주 한정. 72시간 사이버보안 이벤트 보고 의무	P3 (NY 진출 시)

3.4. 일본 Delta

ID	요건 명칭	관련 조항	Core 대비 차이점	구현 우선순위
DELTA-JP-01	콜드 보관 비율 95%	REG-JP-01	CORE-02의 국가별 수치: 일본 95% (5개국 중 가장 엄격)	P1
DELTA-JP-02	보존 기간 10년	REG-JP-02	CORE-03의 국가별 수치: 일본 10년 (5개국 중 가장 길다)	P1
DELTA-JP-03	JFSA 시스템 감사 가이드라인	REG-JP-04	일본 고유 금융 감독 가이드라인. DORA와 유사하나 별도 체계	P2

3.5. 싱가포르 Delta

ID	요건 명칭	관련 조항	Core 대비 차이점	구현 우선순위
DELTA-SG-01	콜드 보관 비율 90%	REG-SG-01	CORE-02의 국가별 수치: 싱가포르 90%	P2
DELTA-SG-02	MAS TRM 실시간 관제	REG-SG-03	싱가포르 고유 TRM 가이드라인. 실시간 관제 요구가 에어갭과 Conflict	P2
DELTA-SG-03	MAS PSN02 AML/CFT	REG-SG-02	CORE-07 AML 보고와 유사하나, MAS 고유 보고 양식	P2

Delta 요건 합계: 18개 (한국 6, EU 6, 미국 3, 일본 3, 싱가포르 3)

---

4. Core-Delta 매트릭스 시각화

4.1. 요건 카테고리별 국가 매트릭스

요건 카테고리	한국	EU	미국	일본	싱가포르
분리보관	Core	Core	Core (Draft)	Core	Core
콜드 비율	Core + Delta 80%	-	-	Core + Delta 95%	Core + Delta 90%
감사 로그 보존	Core + Delta 5년	Core + Delta 5년	Delta (Draft)	Core + Delta 10년	Core + Delta 5년
변조 불가 로그	Core	Core (CCSS)	Core (CCSS)	Core (CCSS)	Core (CCSS)
접근 통제/RBAC	Core + Delta (ISMS-P)	Core	Core	Core	Core
IT 리스크 관리	Core + Delta (금감원)	Core + Delta (DORA)	Core (OCC)	Core + Delta (JFSA)	Core + Delta (TRM)
AML/보고	Core + Delta (Travel Rule)	Core	-	-	Core + Delta (PSN02)
백업/복구	Core	Core + Delta (DORA)	Core	Core	Core
인증	Delta (ISMS-P)	Delta (MiCA CASP)	-	-	-
데이터 이전 제한	Delta (국내 리전)	Delta (GDPR)	-	-	-
삭제권	-	Delta (GDPR)	-	-	-

4.2. 매트릭스 해석

Core 집중 영역 (모든 배포 필수): - 분리보관, 변조 불가 로그, 접근 통제, IT 리스크 관리, 백업/복구 -- 5개 카테고리는 5개국 모두 Core - 이 영역은 기존 v0.0~v0.5 설계에서 대부분 커버되어 있으며, v0.6에서 구체화

Delta 분화 영역 (국가별 차별화): - 콜드 비율: 80%/95%/90% -- 수치만 Delta, 메커니즘은 Core (Auto 충족) - 보존 기간: 5년/10년 -- 일본이 2배로 가장 길다, 아카이빙 티어 설계에 반영 - 인증: ISMS-P(한국) vs MiCA CASP(EU) -- 인증 체계 자체가 상이 - 삭제권: GDPR 고유 -- 다른 국가에 동등 강도의 삭제권 부재

---

5. Delta 간 규제 충돌 식별

5.1. 충돌 1: GDPR 삭제권 vs 특금법/MiCA 보존 의무

항목	내용
충돌 당사자	DELTA-EU-03 (GDPR 삭제권) vs DELTA-KR-06 (5년 보존) + DELTA-EU-06 (5년 보존)
충돌 내용	EU 고객이 개인 데이터 삭제를 요청했으나, 해당 데이터가 감사 로그에 포함되어 있어 5년 보존 의무와 충돌
해소 방법	GDPR Art. 17(3)(b) 법률 근거 예외 적용. 보존 기간 중에는 삭제 거부 가능. 보존 기간 종료 후 가명처리 또는 삭제
설계 반영	Zone 1에 "보존 vs 삭제 관리 엔진" 설계 (Phase 32)
잔여 위험	LOW -- 법률 근거 명확

5.2. 충돌 2: 일본 10년 보존 vs 한국/EU 5년 보존

항목	내용
충돌 당사자	DELTA-JP-02 (10년) vs DELTA-KR-06 (5년) + DELTA-EU-06 (5년)
충돌 내용	동일 데이터에 대해 일본은 10년, 한국/EU는 5년 보존 요구. 슈퍼셋(10년 전체 적용)은 Pitfall 3
해소 방법	관할별 정책 프로파일에서 보존 기간을 파라미터화. 일본 프로파일만 10년 적용, 한국/EU는 5년
설계 반영	Zone 1 아카이빙 엔진에 관할별 보존 기간 파라미터 (Phase 30)
잔여 위험	LOW -- 파라미터 설계로 완전 해소

5.3. 충돌 3: 한국 국내 리전 vs EU 역내 저장

항목	내용
충돌 당사자	DELTA-KR-03 (국내 리전) vs DELTA-EU-05 (EU 역내)
충돌 내용	한국 고객 데이터는 국내 리전에, EU 고객 데이터는 EU 리전에 저장 의무. 단일 글로벌 인프라 운영 불가
해소 방법	리전별 데이터 배치 전략: 한국 고객 → 서울 리전, EU 고객 → EU 리전. Model A는 고객 온프레미스로 자동 해소
설계 반영	기존 v0.4 배포 모델별 데이터 주권 설계 활용
잔여 위험	LOW -- 기존 설계로 해소 완료

---

6. 한국 Phase 1 설계 범위 확정

6.1. v0.6 Phase 1 필수 설계 범위

범위 = Core 전체(10개) + 한국 Delta 전체(6개) = 16개 요건

구분	요건 수	핵심 항목
Core	10개	분리보관, 콜드 비율, 감사 로그 보존, 변조 불가 로그, RBAC, IT 리스크 관리, AML 보고, 백업/복구, 정책 이력, 외부 감사
한국 Delta	6개	80% 콜드 비율, ISMS-P 인증, 클라우드 제한, 접근 기록 6개월, 금감원 현장검사, 5년 보존
합계	16개

6.2. v0.6에서 구조만 설계하는 Delta

관할	구조 설계 범위	상세 설계 시점
EU	Core + DELTA-EU-01~06 정책 프로파일 구조	v0.7 또는 EU 시장 진출 결정 시
일본	Core + DELTA-JP-01~03 정책 프로파일 구조	v0.7 또는 APAC GTM Phase 2

6.3. 후속 마일스톤으로 이관하는 Delta

관할	이관 사유	후속 시점
미국	GENIUS Act Draft 미확정	법률 확정 후 (2026 하반기 이후 예상)
싱가포르	APAC GTM Phase 2 (12-24개월 이후)	v0.8 이후

---

7. 후속 마일스톤 Delta 로드맵

7.1. v0.6 설계 범위 (현재 마일스톤)

항목	Core	한국 Delta (상세)	EU Delta (구조)	일본 Delta (구조)
분리보관	O	O	O	O
콜드 비율	O	80%	-	95% (구조만)
감사 로그 보존	O	5년	5년 (구조)	10년 (구조)
변조 불가 로그	O	O	O	O
접근 통제	O	ISMS-P 매핑	-	-
AML 보고	O	STR/CTR + Travel Rule	-	-
인증 지원	-	ISMS-P	MiCA CASP (구조)	-
데이터 주권	-	국내 리전	EU 리전 (구조)	-
삭제 관리	-	-	GDPR (구조)	-

7.2. 후속 마일스톤 설계 범위

마일스톤	Delta 설계	트리거
v0.7 (예상)	EU Delta 상세 + 일본 Delta 상세	EU 시장 진출 결정 또는 APAC GTM Phase 2
v0.8 (예상)	싱가포르 Delta 상세	APAC 시장 확대
미정	미국 Delta (GENIUS Act 확정 후)	법률 확정 + 미국 시장 진출 결정

---

관련 문서

• 에어갭 실현 가능성 등급 평가표 -- 규제 준수
• 규제 조항별 제품 피처 시사점 매핑표 -- 규제 준수
• 5개국 규제 조항 추출표: 콜드월렛 커스터디 적용 조항 -- 규제 준수