5개 고객 유형별 배포 모델 가이드 및 인증 범위 매트릭스
1. 문서 목적 및 범위
본 문서는 Plan 01의 7x3 종합 적합성 매트릭스와 Phase 19-21 산출물을 기반으로, 5개 고객 유형별 적합 배포 모델을 매핑하고, CCSS/SOC 2/ISO 27001 인증의 배포 모델별 범위 차이를 정리하여, 영업/컨설팅팀이 고객 상담 시 즉시 활용할 수 있는 실무 가이드를 제공한다.
입력 문서:
- Phase 22 Plan 01: regulatory-compliance-matrix.md -- 7x3 종합 매트릭스 + 사각지대 분석
- Phase 20 Plan 02: isms-p-virtual-asset-act.md -- 한국 5개 고객 유형별 권장 모델
- Phase 21 Plan 02: gdpr-eu-regulatory-matrix.md -- EU 4개 고객 유형별 권장 모델
- Phase 21 Plan 03: competitor-deployment-benchmarking.md -- 경쟁사 5사 인증 현황
2. 고객 유형별 적합 배포 모델 매핑
2.1. 5개 고객 유형 정의
#
고객 유형
정의
IT 역량
규제 구속
자산 규모(추정)
1
크립토 네이티브 기업 거래소, DeFi 프로토콜, Web3 펀드, 크립토 VCJ
높음
중간 (MiCA CASP, 특금법 VASP)
100억~1조원+
2
전통 금융기관 은행, 증권사, 자산운용사, 보험사
높음
매우 높음 (전자금융감독규정, 망분리, ISMS-P, MiCA, DORA)1,000억원+
3
일반 기업 상장사 재무팀, 기업 트레저리, 비금융 법인
중간
낮음 (개인정보보호법, 정보통신망법, GDPR)
10억~1,000억원
4
수탁 사업자 커스터디 전문 기업, VASP, 수탁 서비스 제공자
높음
매우 높음 (특금법 VASP 의무, MiCA CASP, DORA)1,000억~10조원+
5
토큰 발행사 ICO/STO 발행사, 재단 트레저리, 토큰 이코노미 운영자
중간~높음
중간 (MiCA 발행 규정, 특금법 조건부)
100억~5,000억원
2.2. 크립토 네이티브 기업
고객 프로파일: 가상자산 전문 기업으로 블록체인/보안 기술 이해도가 높고, 글로벌 다중 규제 환경에서 운영. 빠른 트레이딩 실행과 DeFi 접근이 필요하나, 기관 수준의 커스터디 보안도 요구.
한국 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) ISMS-P + 특금법 조건부 적합으로 VASP 의무 대응 가능 (2) 클라우드 대시보드의 운영 효율성이 크립토 네이티브의 빠른 실행 요구에 부합 (3) 에어갭 서명 인프라로 보안 유지
2순위 Model C (SaaS) (1) IT 인프라 구축 부담 없이 즉시 도입 가능 (2) 대형 거래소가 아닌 중소 VASP/DeFi 프로토콜에 적합 (3) 망분리 규제 비적용(비금융기관)
비권장
Model A
인프라 구축/운영 부담이 크립토 네이티브의 민첩성 요구에 부적합. 자체 데이터센터 운영은 비핵심 업무. 단, 대형 거래소(업비트/빗썸급)는 Model A 고려 가능.
EU 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) MiCA CASP 인가 보유 시 Art. 67/70 조건부 적합 충족 가능 (2) DORA ICT 제3자 관리 범위가 CSP로 한정되어 관리 부담 적절 (3) EU 리전 CSP로 GDPR 충족
2순위 Model C (SaaS) (1) EU 비금융 규제 환경에서 Model C 조건부 적합 (2) 소규모 Web3 팀의 빠른 도입에 적합
Graduate-in-Place 경로
[초기] Model C → [성장 시 VASP 등록] Model B → [대형 거래소 수준] Model A
2.3. 전통 금융기관
고객 프로파일: 은행, 증권사, 자산운용사 등 강력한 규제 구속(전자금융감독규정, 망분리, ISMS-P, 특금법, MiCA, DORA)을 받는 조직. 기존 IT 인프라가 성숙하며, 규제 적합성과 내부 통제가 최우선 의사결정 기준.
한국 시장 권장
순위
권장 모델
근거
1순위 Model A (Zero Cloud) (1) 한국 4개 규제 전체 무조건 적합 -- 유일한 전체 적합 모델 (2) 망분리 규제에 의해 Model C 부적합, Model B는 4개 전체 조건부 (3) 금감원 현장 검사 즉시 대응 (4) 은행/증권사는 자체 데이터센터 보유하므로 인프라 부담 수용 가능
2순위 Model B (Hybrid) (1) 자체 데이터센터가 없는 중소 금융기관에 한해 차선 (2) CSAP CSP 국내 리전 + VPN/전용선으로 망분리 조건 충족 가능 (3) 4개 규제 모두 조건부이므로 행정 부담 존재
비권장 Model C (SaaS) 망분리 부적합 -- 구조적으로 한국 금융기관에 사용 불가. 2025-2026 망분리 완화도 커스터디(중요업무)에 미적용.
EU 시장 권장
순위
권장 모델
근거
1순위 Model A (Zero Cloud) (1) MiCA + DORA + GDPR 3개 규제 전체 적합 (2) ICT 제3자 리스크(DORA) 원천 제거 (3) EU 금융기관의 데이터 주권/거버넌스 자체 통제 요구 충족
2순위 Model B (Hybrid) (1) 자체 데이터센터 미보유 시 차선 (2) CSP의 DORA 약관 + SOC 2/ISO 27001로 조건 충족 가능 (3) 에어갭에 의한 키 보관 분리는 Model A와 동일
비권장
Model C
위탁 규제 부담(MiCA Art. 70 + DORA Art. 28-29)이 높아 금융기관 내부 통제 기준 충족 어려움. EU에서는 조건부 적합이나, 금융기관에는 비권장.
Graduate-in-Place 경로
전통 금융기관은 Model A로 시작하는 것이 규제적으로 가장 안전.
데이터센터 미보유 시: Model B → [인프라 확보 후] Model A
2.4. 일반 기업
고객 프로파일: 상장사 재무팀, 기업 트레저리, 비금융 법인으로 자사 보유 가상자산을 관리. 금융 규제(전자금융감독규정, 망분리)의 직접 적용 대상이 아님. 개인정보보호법, 정보통신망법, GDPR 수준의 규제만 적용. 전문 IT 보안팀 규모 제한적.
한국 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) 금융 규제 비적용으로 CSAP CSP 요구 등 완화 (2) 에어갭 서명 인프라로 자산 보안 유지 (3) 클라우드 대시보드로 운영 부담 절감 (4) 개인정보보호법/정보통신망법만 충족하면 됨
2순위 Model C (SaaS) (1) IT 인프라/인력 최소인 기업에 적합 (2) 망분리 규제 비적용으로 SaaS 사용 가능 (3) 최소 운영 부담 (4) 빠른 도입
3순위
Model A
대기업(삼성, SK 등 자체 데이터센터 보유)에서 내부 통제 강화 시 선택 가능.
EU 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) MiCA/DORA 비적용(CASP 아님) (2) GDPR만 주요 고려 -- EU 리전 CSP로 충족 (3) 운영 효율과 보안의 균형
2순위 Model C (SaaS) (1) GDPR만 충족하면 되므로 D'CENT DPA 체결로 적합 (2) 최소 운영 부담
Graduate-in-Place 경로
[초기] Model C → [자산 규모 확대] Model B → [내부 통제 강화] Model A
2.5. 수탁 사업자
고객 프로파일: 커스터디 전문 기업, VASP로서 고객의 가상자산을 수탁/관리하는 사업자. 가장 엄격한 규제(특금법 VASP 의무, MiCA CASP 인가, DORA ICT 관리, ISMS-P 인증 의무)를 받으며, 고객 자산 분리 보관/보험 가입/현장 검사 대응이 핵심.
한국 시장 권장
순위
권장 모델
근거
1순위 Model A (Zero Cloud) (1) VASP 의무(ISMS-P + 특금법 + 전자금융감독규정 준용) 전체 무조건 적합 (2) 금감원 현장 검사 즉시 대응 (3) 고객 자산 100% 에어갭 콜드월렛 보관으로 신뢰도 극대화 (4) 수탁 사업의 보험 심사 시 Model A의 보안 수준이 유리
2순위 Model B (Hybrid) (1) 자체 데이터센터 미보유 중견 수탁 사업자에 적합 (2) CSAP CSP 국내 리전으로 규제 조건 충족 가능 (3) 에어갭 서명 인프라 유지
비권장
Model C
수탁 사업자가 솔루션 제공자(D'CENT) SaaS에 의존하는 구조는 고객 신뢰/규제 검사 대응에 불리. VASP 의무 이행의 제3자 의존 리스크.
EU 시장 권장
순위
권장 모델
근거
1순위 Model A (Zero Cloud) (1) MiCA CASP + DORA + GDPR 전체 적합 (2) Art. 68 자산 분리 물리적 보장 (3) DORA ICT 제3자 리스크 원천 제거 (4) NCA 검사 대응 최적
2순위 Model B (Hybrid) (1) CASP 인가 보유 사업자의 운영 효율성 (2) CSP DORA 약관으로 조건 충족 (3) 대규모 다자산 관리에 클라우드 탄력성 활용
비권장
Model C
DORA 집중 리스크(D'CENT 단일 의존) + MiCA Art. 70 위탁 부담이 수탁 사업자의 신뢰 요구와 충돌.
Graduate-in-Place 경로
[초기 소규모] Model B → [규모 확대/규제 강화] Model A
수탁 사업자는 Model C로 시작하는 것을 비권장.
2.6. 토큰 발행사
고객 프로파일: ICO/STO 발행사, 재단 트레저리, 토큰 이코노미 운영자. 발행된 토큰의 안전한 보관/관리가 핵심. 투자자 보호 의무와 투명성 요구. 규제 환경은 발행 유형(유틸리티/보안 토큰)에 따라 차이.
한국 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) 토큰 발행 후 재단 트레저리 관리에 적합한 운영 효율 (2) ISMS-P(VASP 조건부) + 특금법 조건부 적합 (3) 대시보드를 통한 투자자 투명성 보고 용이
2순위 Model C (SaaS) (1) 초기 발행 단계에서 인프라 부담 최소 (2) 비금융기관으로서 망분리 비적용 (3) 빠른 도입/운영 시작
3순위
Model A
대규모 STO 발행사 또는 규제 보안 토큰 발행 시 선택. 투자자 보호 수준 극대화.
EU 시장 권장
순위
권장 모델
근거
1순위 Model B (Hybrid) (1) MiCA 토큰 발행 규정 대응에 적합 (2) GDPR 충족(EU 리전 CSP) (3) 재단 트레저리의 거버넌스 투명성
2순위 Model C (SaaS) (1) 소규모 유틸리티 토큰 발행사에 적합 (2) 최소 인프라 부담
Graduate-in-Place 경로
[초기 발행] Model C → [자산 규모 확대] Model B → [STO/규제 토큰] Model A
3. 5개 고객 유형별 종합 권장 매핑표
3.1. 한국 시장
고객 유형
1순위
2순위
비권장
핵심 의사결정 요인
크립토 네이티브 Model B
Model C
Model A (과잉)
운영 민첩성 vs 보안 수준
전통 금융기관 Model A Model B
Model C (부적합) 망분리 규제가 결정적
일반 기업 Model B
Model C
--
IT 역량/비용 제약
수탁 사업자 Model A Model B
Model C (신뢰 리스크)
규제 검사 대응 + 고객 신뢰
토큰 발행사 Model B
Model C
--
투자자 보호 + 운영 효율
3.2. EU 시장
고객 유형
1순위
2순위
비권장
핵심 의사결정 요인
크립토 네이티브 Model B
Model C
--
CASP 인가 + 운영 효율
전통 금융기관 Model A Model B
Model C (DORA 부담)
DORA ICT 제3자 리스크
일반 기업 Model B
Model C
--
GDPR만 충족하면 됨
수탁 사업자 Model A Model B
Model C (집중 리스크)
NCA 검사 + 자산 분리
토큰 발행사 Model B
Model C
--
MiCA 발행 규정 대응
3.3. 글로벌(한국+EU) 동시 운영
고객 유형
글로벌 권장
근거
크립토 네이티브 Model B 양쪽 모두 조건부 적합. 리전별 데이터 배치로 동시 충족.
전통 금융기관 Model A 양쪽 모두 무조건 적합. 유일한 안전 선택.
일반 기업 Model B 양쪽 모두 조건부 적합. 운영 효율과 규제 균형.
수탁 사업자 Model A 양쪽 모두 무조건 적합. 고객 자산 보호 최우선.
토큰 발행사 Model B 양쪽 모두 조건부 적합. 투명성과 효율의 균형.
4. 인증 범위 매트릭스
4.1. 3개 인증 x 3개 배포 모델 = 9셀 매트릭스
인증
Model A (Zero Cloud)
Model B (Hybrid)
Model C (SaaS)
CCSS Level 2/3 인증 대상: 고객 전체 . 키 생성/저장/사용의 보안 통제가 기업 온프레미스에서 완결. 심사 범위: 콜드월렛 보관, SE 키 관리, 쿼럼 서명, 정책 엔진 전체. 고객이 직접 인증 취득.
인증 대상: 고객(서명) + CSP(대시보드) . 키 관리는 고객 온프레미스에서 완결(CCSS 핵심). 대시보드/DB는 CSP. 심사 범위: 에어갭 서명(고객) + 대시보드 보안(CSP SOC 2).
인증 대상: D'CENT(플랫폼) + 고객(콜드월렛) . D'CENT이 플랫폼 보안 통제의 상당 부분 담당. 심사 범위: D'CENT 인프라 + 고객 콜드월렛 관리. D'CENT CCSS 인증이 고객 인증 간소화에 핵심.
SOC 2 Type II 인증 대상: 고객 자체 취득 . 보안/가용성/기밀성 통제가 기업 인프라에서 완결. D'CENT은 소프트웨어/하드웨어 공급자로서 별도 SOC 2 불필요.
인증 대상: 양측 . 고객은 자체 SOC 2 + CSP SOC 2 보고서를 결합. D'CENT은 소프트웨어 공급자로서 직접 SOC 2 불필요하나, 보안 문서 제공.
인증 대상: D'CENT 필수 취득 . D'CENT이 SaaS 플랫폼 운영자로서 SOC 2 Type II 보고서를 발행해야 고객이 자체 인증/규제 대응에 활용 가능.
ISO 27001 인증 대상: 고객 자체 취득 . ISMS 범위가 기업 인프라에 한정. D'CENT은 제품 공급자로서 범위 밖.
인증 대상: 양측 . 고객 ISMS 범위에 CSP 인프라 포함. CSP의 ISO 27001은 이미 보유(AWS/Azure). D'CENT은 SW 공급자로서 범위 밖.
인증 대상: D'CENT 취득 권장 . D'CENT SaaS 인프라가 고객 ISMS 범위에 포함됨. D'CENT ISO 27001 보유 시 고객 인증 심사 간소화.
4.2. 인증 대상 주체 및 심사 범위 요약
인증
항목
Model A
Model B
Model C
CCSS 인증 주체
고객
고객
D'CENT + 고객
심사 대상 컴포넌트
SE 키 관리, 쿼럼 서명, 정책 엔진, 대시보드, DB
SE 키 관리, 쿼럼 서명 (고객) + 대시보드 보안 (CSP)
D'CENT 플랫폼 전체 + 고객 콜드월렛 관리
필수/권장
수탁 사업자: Level 3 필수 / 기타: Level 2 권장
동일
D'CENT Level 2+ 필수 (Model C 운영 전제)
SOC 2 인증 주체
고객
고객 + CSP
D'CENT 필수 + 고객
심사 대상 컴포넌트
기업 IT 인프라 전체
기업 인프라 + CSP 인프라 (CSP SOC 2 활용)
D'CENT SaaS 인프라 + 고객 접근 통제
필수/권장
전통 금융기관: 필수 / 기타: 권장
동일
D'CENT SOC 2: 필수
ISO 27001 인증 주체
고객
고객 (CSP 이미 보유)
D'CENT 취득 권장 + 고객
심사 대상 컴포넌트
기업 ISMS 전체 범위
기업 ISMS + CSP ISMS (CSP 인증 활용)
D'CENT ISMS + 고객 ISMS
필수/권장
전통 금융기관: 필수 / 기타: 권장
동일
D'CENT ISO 27001: 권장 (SaaS 신뢰도)
4.3. 경쟁사 인증 벤치마크 비교
Phase 21 Plan 03(경쟁사 5사 벤치마킹)에서 조사된 인증 현황과 비교:
인증
Fireblocks
Ledger Enterprise
BitGo
Copper
Cobo
D'CENT
SOC 2 Type II 보유
보유
보유
보유
보유
취득 필요
ISO 27001 보유
보유
보유
보유
보유
취득 필요
CCSS Level Level 3 (자체)
--
--
--
--
취득 필요
기타 --
CC EAL5+ (SE 칩)
Qualified Custodian
FCA 등록
MAS VASP
--
시사점: 경쟁사 5사 모두 SOC 2 Type II와 ISO 27001을 보유. D'CENT Enterprise가 Model B/C를 시장에 제공하려면 이 두 인증의 취득이 사실상 업계 표준(table stakes) 이다. 특히 Model C 운영 시 SOC 2 Type II는 필수.
5. 고객 유형별 인증 요구 매핑
5.1. 5개 고객 유형 x 3개 인증 매핑
고객 유형
CCSS Level 2/3
SOC 2 Type II
ISO 27001
근거
크립토 네이티브 Level 2 권장
권장 권장
기관 투자자 온보딩 시 SOC 2 요구 빈번. CCSS는 차별화 요소.
전통 금융기관 Level 3 사실상 필수
필수 필수 금융 규제(전자금융감독규정/MiCA) 요구 + 내부 감사위원회 요구. 3개 인증 모두 사실상 필수.
일반 기업 불필요
불필요
권장 기존 기업 보안 체계(ISO 27001)와 통합. CCSS/SOC 2는 비필수.
수탁 사업자 Level 3 필수
필수 필수 고객 자산 수탁 기업으로서 최고 수준의 인증 필수. CCSS Level 3은 수탁 신뢰의 핵심.
토큰 발행사 Level 2 권장
권장
권장
투자자 보호 관점에서 CCSS Level 2 권장. 대규모 STO 시 SOC 2 필수화 가능.
5.2. 배포 모델별 인증 책임 분담 요약
배포 모델
D'CENT 인증 부담
고객 인증 부담
비고
Model A 최소 -- 소프트웨어/하드웨어 공급자. 제품 보안 문서 제공.전체 -- 3개 인증 모두 고객이 직접 취득.D'CENT은 고객 인증 지원 문서 제공
Model B 낮음 -- SW 공급자 + CSP가 인증 보유. D'CENT 직접 인증 불필요.대부분 -- 고객이 자체 인증 + CSP 인증 활용.CSP(AWS/Azure)가 SOC 2/ISO 27001 이미 보유
Model C 높음 -- SOC 2 필수 + ISO 27001 권장 + CCSS 권장. D'CENT 자체 인증이 고객 인증의 전제 조건.부분 -- 고객은 자체 범위만 인증. D'CENT 인증을 증빙으로 활용.D'CENT 인증이 Model C 사업의 필수 투자
6.1. 크립토 네이티브 기업 -- Quick Reference
항목
내용
권장 모델 Model B (한국 1순위) / Model B (EU 1순위)
적용 규제 한국: ISMS-P + 특금법 (VASP 시) / EU: MiCA CASP + DORA + GDPR
필요 인증 CCSS Level 2 + SOC 2 (권장)
D'CENT 에어갭 가치 콜드월렛 100% 보관으로 핫월렛 해킹 리스크 원천 제거. MPC 경쟁사 대비 보안 우위.
주의사항 대형 거래소(자산 1,000억원+)는 Model A 고려. 소규모 DeFi 팀은 Model C → B 전환 경로 활용.
6.2. 전통 금융기관 -- Quick Reference
항목
내용
권장 모델 Model A (한국/EU 모두 1순위)
적용 규제 한국: 전자금융감독규정 + 망분리 + ISMS-P + 특금법 (4개 전체) / EU: MiCA + DORA + GDPR (3개 전체)
필요 인증 CCSS Level 3 + SOC 2 Type II + ISO 27001 (3개 모두 사실상 필수 )
D'CENT 에어갭 가치 망분리 원칙의 극단적 구현. 금감원/NCA 현장 검사 즉시 대응. 규제 적합성 최우선 솔루션.
중요: 한국 금융기관은 Model C 사용 불가 (망분리 부적합). Model A만이 4개 규제 전체 무조건 적합.
6.3. 일반 기업 -- Quick Reference
항목
내용
권장 모델 Model B (한국/EU 1순위) / Model C (2순위)
적용 규제 한국: 개인정보보호법 + 정보통신망법 / EU: GDPR
필요 인증 ISO 27001 (권장)
D'CENT 에어갭 가치 에어갭 서명으로 재무팀의 자산 관리 보안 강화. 단일 장애점 제거.
주의사항 자산 규모 100억원 미만 시 Model C가 비용 효율적. 500억원 이상 시 Model B 권장.
6.4. 수탁 사업자 -- Quick Reference
항목
내용
권장 모델 Model A (한국/EU 모두 1순위)
적용 규제 한국: ISMS-P(의무) + 특금법(VASP) + 전자금융감독규정(준용) / EU: MiCA CASP + DORA + GDPR
필요 인증 CCSS Level 3 + SOC 2 Type II + ISO 27001 (3개 모두 필수 )
D'CENT 에어갭 가치 100% 콜드월렛 보관으로 보험 심사 유리. 고객 자산 분리 보관을 물리적으로 보장. 시장 유일 완전 온프레미스 옵션.
중요: Model C 비권장 -- 수탁 사업자가 솔루션 제공자 SaaS에 의존하는 것은 고객 신뢰/규제 리스크.
6.5. 토큰 발행사 -- Quick Reference
항목
내용
권장 모델 Model B (한국/EU 1순위) / Model C (2순위)
적용 규제 한국: 특금법(VASP 조건부) / EU: MiCA(토큰 발행 규정) + GDPR
필요 인증 CCSS Level 2 (권장) + SOC 2 (STO 시 필수)
D'CENT 에어갭 가치 재단 트레저리의 다중 서명 보호. 토큰 배분 시 에어갭 승인으로 내부자 유출 방지.
주의사항 STO(보안 토큰) 발행 시 규제 수준이 크게 상승하므로 Model A 검토 필요.
7. D'CENT 인증 취득 로드맵 권장
Model C 운영과 시장 신뢰 확보를 위한 D'CENT 자체 인증 취득 우선순위:
순위
인증
필요성
예상 비용
예상 기간
근거
1순위 SOC 2 Type II Model C 운영 필수
3,000만~5,000만원/년
3~6개월 (초회)
경쟁사 5사 전원 보유. 업계 표준. Model C 고객에 SOC 2 보고서 제공 필수.
2순위 ISO 27001 Model C 신뢰도 권장
2,000만~4,000만원 (초회)
3~6개월
경쟁사 전원 보유. ISMS 체계 수립의 기반.
3순위 ISMS-P 한국 VASP 고객 대응
5,000만~1억원
6~12개월
한국 VASP 고객의 Model C 사용 시 사실상 필수. 국내 시장 진출 핵심.
4순위 CCSS Level 2 커스터디 전문성 증명
2,000만~3,000만원
3~6개월
에어갭 아키텍처가 CCSS 요구를 자연스럽게 충족하므로 취득 용이. 차별화 마케팅 효과.
관련 문서