v0.4
ISMS-P·특금법 적합성 평가 및 한국 규제 종합 매트릭스¶
1. 문서 목적 및 범위¶
본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션의 3개 배포 모델(Model A/B/C)에 대해, ISMS-P(정보보호 및 개인정보보호 관리체계 인증)과 특금법(특정 금융거래정보의 보고 및 이용 등에 관한 법률, 가상자산이용자보호법 포함)의 적합성을 평가하고, 전자금융감독규정·망분리를 포함한 4개 한국 규제 프레임워크 종합 매트릭스(12셀)를 완성한다.
입력 문서:
- Phase 19 Plan 01: data-sensitivity-classification.md -- 7개 데이터 유형 민감도 4등급 분류
- Phase 19 Plan 02: deployment-model-data-sovereignty.md -- 배포 모델별 데이터 소재지·통제 주체 매트릭스
- Phase 20 Plan 01: electronic-finance-network-separation.md -- 전자금융감독규정·망분리 배포 모델별 적합성 평가 (6셀)
평가 대상 규제:
| # | 규제 프레임워크 | 근거 법령 | 소관 기관 | 핵심 관련 영역 |
|---|---|---|---|---|
| 3 | ISMS-P | 정보통신망법, 개인정보보호법 | KISA (한국인터넷진흥원) | 데이터 저장 요구, 접근 통제, 클라우드 리전 |
| 4 | 특금법 | 특정금융거래정보법, 가상자산이용자보호법 | 금융위원회, 금융감독원 | 정보 보안 의무, 콜드월렛 보관 비율, 현장 검사 |
2. ISMS-P 분석 (KR-REG-03)¶
2.1. ISMS-P 인증 체계 개요¶
ISMS-P(Information Security Management System - Personal Information & Privacy)는 한국인터넷진흥원(KISA)이 운영하는 정보보호 및 개인정보보호 관리체계 인증 제도로, 기업의 정보보호 수준을 종합적으로 평가하는 국내 최고 수준의 보안 인증이다.
인증 체계 구조:
| 항목 | 내용 |
|---|---|
| 인증 유형 | ISMS (정보보호) / ISMS-P (정보보호 + 개인정보보호) |
| 인증 기관 | KISA (한국인터넷진흥원) |
| 근거 법령 | 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 |
| 인증 유효기간 | 3년 (매년 사후심사) |
| 인증 기준 | 관리체계 수립·운영 16개 항목 + 보호대책 64개 항목 + 개인정보 처리 22개 항목 (총 102개) |
의무 인증 대상:
| 대상 | 기준 | D'CENT 관련성 |
|---|---|---|
| 정보통신서비스 제공자 | 매출 100억원 이상 또는 일평균 이용자 100만명 이상 | D'CENT이 SaaS(Model C) 사업자로 성장 시 해당 가능 |
| 집적정보통신시설 사업자 | IDC 사업자 | 해당 없음 |
| 가상자산사업자(VASP) | 특금법상 신고된 모든 VASP | 고객사가 VASP인 경우 ISMS-P 인증 의무 (2022.9.25 이후 시행) |
| 상급종합병원 | 의료법 기준 | 해당 없음 |
| 학교 (재학생 1만명 이상) | 교육기관 | 해당 없음 |
핵심: 특금법상 VASP는 ISMS-P 인증이 의무이다. D'CENT Enterprise의 고객사가 VASP(가상자산사업자)인 경우, 고객사는 반드시 ISMS-P 인증을 보유해야 하며, 고객사가 사용하는 D'CENT 솔루션도 인증 범위에 포함될 수 있다.
2.2. 데이터 저장 요구사항¶
2.2.1. 국내 저장 의무¶
ISMS-P 자체는 데이터의 물리적 소재지를 명시적으로 국내로 제한하지 않는다. 그러나 다음 조건에서 실질적인 국내 저장 의무가 발생한다.
| 조건 | 국내 저장 의무 | 근거 | D'CENT 커스터디 해당 여부 |
|---|---|---|---|
| 개인정보의 국외 이전 | 정보주체 동의 또는 적정성 인정 필요 | 개인정보보호법 제28조의8 | 사용자 정보(기밀 등급)에 해당. 국외 이전 시 동의 또는 적정성 인정 필요 |
| 개인신용정보 | 국내 저장 원칙 (국외 이전 시 금융위 승인) | 신용정보법 제33조의2 | 금융기관 고객의 경우, 자산 관련 정보가 개인신용정보에 해당할 수 있음 |
| 전자금융감독규정 적용 기업 | 국내 소재 전산시설 저장 (제14조의2 제3항) | 전자금융감독규정 | Plan 01에서 분석 완료 -- 7개 데이터 유형 전체 국내 저장 의무 |
| VASP 정보보호 | ISMS-P 인증 범위 내 시스템의 적정 관리 | 특금법 시행령 | 시스템 관할권이 국내에 있어야 검사·감독이 가능 |
종합 판단: ISMS-P 인증 기준 자체는 국내 저장을 강제하지 않으나, D'CENT 커스터디 솔루션의 고객 대부분이 (1) 금융기관(전자금융감독규정 적용) 또는 (2) VASP(특금법 적용)이므로, 실질적으로 국내 저장이 사실상 필수이다.
2.2.2. 클라우드 리전 허용 조건¶
ISMS-P 인증에서 클라우드 서비스를 이용하는 경우의 요구사항은 다음과 같다.
| 요구사항 | 상세 내용 | 충족 방법 |
|---|---|---|
| CSP 보안 인증 | 클라우드 서비스 제공자가 CSAP(Cloud Security Assurance Program) 인증 또는 동등 인증 보유 | AWS, Azure, GCP, NHN Cloud 등 CSAP 인증 CSP 선택 |
| 서비스 레벨 협약(SLA) | CSP와 보안 SLA 체결 (가용성, 데이터 백업, 보안 사고 통보 등) | CSP와의 SLA 계약서에 보안 조항 포함 |
| 접근 통제 | 클라우드 관리 콘솔 접근 통제, 다중 인증(MFA) 적용 | IAM + MFA + IP 제한 |
| 암호화 | 저장 데이터(at-rest) 및 전송 데이터(in-transit) 암호화 | CMEK(저장), TLS 1.2+(전송) |
| 로그 관리 | 접근 로그, 변경 로그, 보안 이벤트 로그 수집·보관 | CloudTrail/Azure Monitor + SIEM 연동 |
| 데이터 백업 | 정기적 백업 및 복구 테스트 | 자동 백업 + 연 1회 이상 복구 훈련 |
| 해외 전송 통제 | 개인정보의 해외 전송 시 정보주체 동의 또는 적정성 인정 | 국내 리전 사용으로 원천 방지 권장 |
2.3. 접근 통제 요구¶
ISMS-P 인증 기준 중 접근 통제 관련 보호대책을 D'CENT 커스터디 솔루션 관점에서 정리한다.
| ISMS-P 통제 항목 | 요구사항 | Model A 대응 | Model B 대응 | Model C 대응 |
|---|---|---|---|---|
| 2.5.1 사용자 계정 관리 | 사용자 계정의 등록·변경·삭제 절차 수립 | 기업 자체 IAM 시스템 | 기업 IAM + 클라우드 IAM 통합 | D'CENT IAM + 고객 관리자 역할 분리 |
| 2.5.2 사용자 식별 및 인증 | 다중 인증(MFA), 강력한 인증 | MFA 적용 (기업 정책) | MFA 적용 + SSO 연동 | MFA 필수 (D'CENT 제공) |
| 2.5.3 접근 권한 관리 | 최소 권한 원칙, 직무 분리 | RBAC + 쿼럼 승인 | RBAC + CMEK + VPC 접근 제한 | RBAC + 테넌트 격리 + 쿼럼 승인 |
| 2.5.4 접근 권한 검토 | 정기적 접근 권한 검토 (최소 반기 1회) | 기업 보안팀 수행 | 기업 + CSP 권한 동시 검토 | D'CENT 제공 권한 보고서 + 기업 검토 |
| 2.6.1 네트워크 접근 통제 | 네트워크 세그먼테이션, 방화벽 | 기업 방화벽 + VLAN | VPC 보안 그룹 + 기업 VPN | D'CENT WAF + 테넌트 네트워크 격리 |
| 2.6.7 암호화 적용 | 개인정보, 중요정보 암호화 | AES-256 at-rest + TLS in-transit | CMEK + TLS | CMEK + TLS + 격리 스키마 암호화 |
2.4. 배포 모델별 ISMS-P 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 데이터 저장 | 적합 | 모든 데이터가 기업 온프레미스에 저장되므로, 국내 저장 의무·해외 전송 제한 이슈 없음 |
| 접근 통제 | 적합 | 기업 자체 IAM, MFA, RBAC 체계를 적용하여 ISMS-P 접근 통제 요구사항 충족 |
| 클라우드 요구 | 비적용 | 클라우드 미사용으로 CSAP, SLA 등 클라우드 관련 요구사항 해당 없음 |
| 인증 범위 | 명확 | 기업 인프라 전체가 인증 범위이므로, 제3자 시스템의 인증 범위 포함 이슈 없음 |
| 종합 판정 | 적합 | ISMS-P 인증 취득·유지에 가장 유리. 모든 통제 항목을 기업 자체적으로 충족 가능. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 데이터 저장 | 조건부 | 클라우드 데이터가 CSAP 인증 CSP의 국내 리전에 저장되어야 함. 해외 리전 사용 시 개인정보 국외 이전 동의 필요. |
| 접근 통제 | 조건부 | 기업 IAM과 CSP IAM의 통합 관리 필요. 클라우드 관리 콘솔 접근에 MFA + IP 제한 적용 필수. |
| 클라우드 요구 | 충족 가능 | CSAP 인증 CSP 선택 + SLA 체결 + 암호화(CMEK) + 로그 관리 조건 충족 시. |
| 인증 범위 | 확대 필요 | 클라우드 인프라가 ISMS-P 인증 범위에 포함되어야 하며, CSP의 보안 인증서를 증빙으로 활용. |
| 종합 판정 | 조건부 적합 | CSAP 인증 CSP 국내 리전 + CMEK + 통합 IAM + 인증 범위 확대 시 적합. |
필수 충족 조건: 1. CSAP 인증 CSP의 국내 리전 사용 2. CMEK(Customer-Managed Encryption Key) 적용 3. 기업 IAM과 CSP IAM 통합 관리 4. 클라우드 인프라를 ISMS-P 인증 범위에 포함 5. CSP와 보안 SLA 체결
Model C (SaaS) -- 조건부 적합 (제약 다수)
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 데이터 저장 | 조건부 | D'CENT이 CSAP 인증 CSP의 국내 리전을 사용해야 함. 데이터 소재지를 계약서에 명시해야 함. |
| 접근 통제 | 조건부 (복잡) | 고객사의 ISMS-P 인증 범위에 D'CENT SaaS가 포함되어야 함. D'CENT이 접근 통제 현황을 고객사에 증빙해야 함(SOC 2 보고서 등). |
| 클라우드 요구 | D'CENT 부담 | D'CENT이 CSAP CSP 사용 + SLA + 암호화 + 로그 관리를 모두 구비하고, 이를 고객사에 증빙해야 함. |
| 인증 범위 | 복잡 | 고객사의 ISMS-P 인증 시, D'CENT SaaS 시스템이 "외부 위탁 시스템"으로 인증 범위에 포함됨. D'CENT 자체의 ISMS-P 인증이 있으면 심사가 간소화됨. |
| D'CENT ISMS-P | 권장 | D'CENT이 자체 ISMS-P 인증을 취득하면, 고객사의 인증 심사 시 D'CENT 부분을 간소화할 수 있음. 특히 VASP 고객의 경우 사실상 필수. |
| 종합 판정 | 조건부 적합 | D'CENT ISMS-P 자체 인증 + CSAP CSP 국내 리전 + 고객 감사 권한 + SOC 2 보고서 제공 시 적합. 단, 고객사 인증 범위 확대에 따른 심사 복잡성·비용 증가 부담. |
Model C ISMS-P 적합을 위한 D'CENT 준비 사항: 1. D'CENT 자체 ISMS-P 인증 취득 (VASP 고객 대응 시 사실상 필수) 2. SOC 2 Type II 보고서 발행 (국제 고객 대응 겸용) 3. CSAP 인증 CSP 국내 리전 운영 증빙 4. 고객사별 접근 통제 현황·보안 이벤트 보고 체계 구축 5. 고객사 ISMS-P 인증 심사 시 기술 지원 체계 마련
2.4.1. Phase 19 극비/기밀 데이터별 ISMS-P 저장·통제 요구 차이¶
| 데이터 유형 | 민감도 | ISMS-P 저장 요구 | ISMS-P 접근 통제 요구 | Model C 추가 요구 |
|---|---|---|---|---|
| 트랜잭션 이력 | 극비 | 암호화 저장(AES-256), 5년 보존, 위변조 방지 | 최소 권한 + MFA + 쿼럼 승인 + 접근 로그 | CMEK + 격리 스키마 + 고객 감사 권한 |
| 승인 기록 | 극비 | 암호화 저장, 감사 추적성 보장 | 최소 권한 + MFA + 직무 분리 | CMEK + 격리 스키마 + 쿼럼 구조 비노출 보장 |
| 정책 규칙 | 극비 | 암호화 저장 + SE 하드웨어 사본 병행 | 정책 변경 시 쿼럼 승인 + 변경 로그 | CMEK + SE 사본 기업 통제 확인 |
| 화이트리스트 | 극비 | 암호화 저장 + SE Merkle Root 무결성 보장 | 주소 추가/삭제 시 쿼럼 승인 | CMEK + SE Merkle Root 기업 물리 통제 |
| 감사 로그 | 극비 | WORM 저장, 위변조 방지, 장기 보존 | 읽기 전용 접근 + 무결성 검증 | CMEK + 테넌트 격리 + 고객 독립 검증 API |
| 잔액 정보 | 기밀 | 암호화 저장, 블록체인 독립 검증 가능 | RBAC 기반 접근 + 접근 로그 | 격리 스키마 + 고객 독립 검증 가능 |
| 사용자 정보 | 기밀 | 개인정보 암호화 저장, 파기 절차 | 개인정보 접근자 최소화 + MFA + 접근 기록 | DPA 체결 + CMEK + 개인정보 파기 증명 |
3. 특금법(가상자산이용자보호법) 분석 (KR-REG-04)¶
3.1. 특금법 적용 대상¶
3.1.1. VASP 신고 의무¶
특금법(특정 금융거래정보의 보고 및 이용 등에 관한 법률)은 가상자산사업자(VASP: Virtual Asset Service Provider)에 대한 신고 의무를 규정한다.
VASP 정의 (특금법 제2조 제1호): 가상자산의 매도·매수, 교환, 이전, 보관·관리, 매도·매수의 중개·알선 등의 영업을 하는 자
D'CENT Enterprise 관련 VASP 구분:
| 주체 | VASP 해당 여부 | 근거 | 규제 의무 |
|---|---|---|---|
| D'CENT (솔루션 제공자) | 조건부 해당 | D'CENT이 Model C(SaaS)에서 고객의 가상자산을 "보관·관리"하는 것으로 해석될 경우 VASP에 해당할 수 있음. 단, 프라이빗 키는 고객 콜드월렛에만 존재하므로 "보관·관리" 해당 여부는 법률 해석에 따라 달라짐. | VASP 해당 시: 금융위 신고, ISMS-P 인증, 실명계좌 발급 등 |
| 고객사 (커스터디 도입 기업) | 해당 가능 | 고객사가 가상자산 보관·관리를 영업으로 하는 경우 VASP. 예: 가상자산 거래소, 커스터디 전문 기업, 기관투자자 자산운용사 등 | VASP 신고, ISMS-P 인증, 자금세탁방지(AML) 의무 등 |
| 일반 기업 (자체 보유 자산 관리) | 미해당 | 자사 보유 가상자산을 자체 관리하는 기업은 "영업"에 해당하지 않으므로 VASP가 아님 | 특금법 직접 적용 없음. 개인정보보호법·정보통신망법 등 일반 법률 적용 |
3.1.2. 가상자산이용자보호법 주요 의무¶
2024년 7월 시행된 가상자산이용자보호법은 특금법을 보완하여 이용자 보호 의무를 강화한다.
| 의무 항목 | 내용 | D'CENT 커스터디 관련성 |
|---|---|---|
| 이용자 예치금 별도 관리 | 이용자로부터 수탁받은 법정화폐를 신탁업자에 예치·관리 | 커스터디 솔루션은 법정화폐를 직접 수탁하지 않으므로 해당 없음 |
| 가상자산 별도 관리 | 이용자의 가상자산을 자기 가상자산과 구분하여 관리 | 해당 -- 커스터디 고객(VASP)은 이용자 자산과 자기 자산을 분리해야 함. D'CENT 솔루션의 멀티월렛/멀티어카운트 구조가 자산 분리를 지원해야 함 |
| 콜드월렛 보관 비율 | 이용자 가상자산의 일정 비율 이상을 콜드월렛에 보관 (현행 80% 이상 권고) | 핵심 관련 -- D'CENT Enterprise의 에어갭 콜드월렛이 이 의무를 직접 지원. 콜드월렛 보관 비율 모니터링 기능이 대시보드에 필요 |
| 보험·공제 가입 | 해킹 등 사고에 대비한 보험·공제 가입 또는 준비금 적립 | 커스터디 보안 사고 시 보상 체계 관련. D'CENT 솔루션의 보안 수준이 보험 심사에 영향 |
| CISO 지정 | 정보보호 최고책임자 지정 및 금감원 보고 | 고객사(VASP)의 의무. Model C에서는 D'CENT도 자체 CISO 지정 필요 |
3.2. 정보 보안 의무¶
3.2.1. VASP 정보보호관리체계 요건¶
특금법 시행령 제10조의5에 따라, VASP는 다음 정보 보안 의무를 이행해야 한다.
| 의무 항목 | 상세 요구사항 | Model A 대응 | Model B 대응 | Model C 대응 |
|---|---|---|---|---|
| ISMS-P 인증 | VASP는 ISMS-P 인증 의무 (2.1절 참조) | 기업 자체 인증 범위에 포함 | 클라우드 인프라 포함 인증 필요 | D'CENT SaaS 포함 인증 필요 |
| 정보보호 최고책임자(CISO) | CISO 지정 및 금감원 보고 | 고객 CISO가 커스터디 시스템 관할 | 고객 CISO + CSP 보안 담당 협력 | 고객 CISO + D'CENT CISO 협력 체계 |
| 보안 관제 | 24/7 보안 관제 및 이상 거래 모니터링 | 기업 SOC(보안관제센터) 자체 운영 | 기업 SOC + CSP 관제 연계 | D'CENT SOC 운영 + 고객 알림 |
| 취약점 점검 | 정기 취약점 진단 및 모의해킹 | 기업 자체 수행 | 기업 + CSP 인프라 동시 점검 | D'CENT 수행 + 고객 결과 공유 |
| 데이터 백업 | 정기 백업 및 복구 계획 | 기업 자체 백업 | 클라우드 자동 백업 + 온프레미스 서명 인프라 백업 | D'CENT 자동 백업 + 고객 데이터 반환 절차 |
| 사고 대응 | 보안 사고 발생 시 금융위·금감원 보고, 이용자 통지 | 기업 자체 사고 대응 체계 | 기업 + CSP 사고 대응 협력 | D'CENT + 고객 공동 사고 대응 |
3.2.2. 콜드월렛 보관 비율 의무¶
가상자산이용자보호법에 따라 VASP는 이용자 가상자산의 80% 이상을 콜드월렛에 보관하여야 한다 (금융위원회 권고 기준).
D'CENT Enterprise의 대응:
| 배포 모델 | 콜드월렛 보관 비율 충족 | 비율 모니터링 | 규제 보고 지원 |
|---|---|---|---|
| Model A | 완전 충족 -- D'CENT X 에어갭 콜드월렛이 자산의 100%를 오프라인 보관. 핫월렛 미사용 아키텍처. | 대시보드에서 콜드/핫 비율 실시간 모니터링 (Model A는 100% 콜드) | 기업 자체 보고 시스템 연동 |
| Model B | 완전 충족 -- 서명 인프라(콜드월렛)가 기업 온프레미스에 위치하여 100% 콜드 보관 유지 | 대시보드에서 콜드/핫 비율 모니터링 | 보고용 데이터 API 제공 |
| Model C | 완전 충족 -- SaaS 모델에서도 프라이빗 키는 기업 보유 D'CENT X 콜드월렛에만 존재하여 100% 콜드 보관 | 대시보드에서 콜드/핫 비율 모니터링 | D'CENT 제공 보고서 + API |
D'CENT Enterprise의 핵심 강점: 모든 배포 모델에서 프라이빗 키가 에어갭 콜드월렛에만 존재하는 아키텍처이므로, 콜드월렛 보관 비율 의무를 자동으로 100% 충족한다. 이는 핫월렛을 병용하는 경쟁 솔루션(Fireblocks, BitGo 등) 대비 규제 적합성에서 구조적 우위이다.
3.3. 금감원 현장 검사 대응 요구¶
3.3.1. 현장 검사 범위¶
금융감독원은 VASP에 대한 현장 검사 권한을 보유하며, 검사 범위는 다음과 같다.
| 검사 항목 | 검사 내용 | 데이터 제출 의무 | 현장 접근 범위 |
|---|---|---|---|
| 자금세탁방지(AML) | 의심거래보고(STR), 고액현금거래보고(CTR) 체계 | 거래 기록, 고객확인(KYC) 기록 | AML 시스템 및 기록 열람 |
| 정보보호 | ISMS-P 준수 현황, 보안 관제 체계 | 보안 정책, 접근 로그, 취약점 진단 결과 | IT 인프라, 보안 관제실 |
| 이용자 보호 | 자산 분리 관리, 콜드월렛 비율, 보험 가입 | 자산 보관 현황, 콜드/핫월렛 잔액 | 콜드월렛 보관 장소, 백업 체계 |
| 내부 통제 | 거버넌스 체계, 이해충돌 방지 | 내부 통제 기준, 감사 기록 | 경영진 인터뷰, 문서 열람 |
3.3.2. 배포 모델별 현장 검사 대응¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 검사 대상 시스템 접근 | 완전 지원 | 모든 시스템이 기업 온프레미스에 위치하므로, 금감원 검사관이 현장에서 직접 시스템에 접근할 수 있다. |
| 데이터 제출 | 즉시 가능 | 기업 자체 시스템에서 필요한 데이터를 즉시 추출·제출 가능. 제3자 협력 불필요. |
| 콜드월렛 확인 | 직접 확인 | 콜드월렛이 기업 보호구역 내에 있으므로, 금감원 검사관이 물리적으로 확인 가능. |
| 종합 판정 | 적합 | 현장 검사 대응에 가장 유리. 모든 시스템·데이터에 대한 즉시 접근 가능. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 온프레미스 영역 | 즉시 접근 | 서명 인프라(콜드월렛, 오프라인 서명 앱)가 기업 현장에 있으므로 직접 확인 가능. |
| 클라우드 영역 | 간접 접근 | 대시보드/DB가 클라우드에 위치하므로, 금감원 검사관이 원격으로 데이터에 접근하거나, 기업이 데이터를 추출하여 제출. CSP 데이터센터 직접 방문은 통상적이지 않음. |
| 데이터 제출 | 준비 필요 | 클라우드 데이터의 추출·제출 절차를 사전에 마련해야 함. API 기반 데이터 추출 도구, 감사 보고서 자동 생성 기능 필요. |
| 종합 판정 | 조건부 적합 | 클라우드 데이터 추출 도구 + 감사 보고서 자동 생성 + 원격 데이터 접근 체계 구비 시 적합. |
Model C (SaaS) -- 조건부 적합 (추가 부담)
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| D'CENT 인프라 접근 | 제한적 | 금감원 검사 시, D'CENT SaaS 인프라에 대한 접근이 필요할 수 있으나, D'CENT은 고객사의 규제 당국이 아닌 제3자이므로 직접 현장 검사 대상이 아닐 수 있음. 계약으로 금감원 검사 협력 의무를 사전에 규정해야 함. |
| 데이터 제출 | D'CENT 협력 필요 | 고객사가 금감원에 데이터를 제출할 때, D'CENT이 데이터 추출·제공을 지원해야 함. 실시간 데이터 접근 API, 감사 보고서 자동 생성, 벌크 데이터 내보내기 기능 필수. |
| 콜드월렛 확인 | 고객 현장 | 콜드월렛은 고객이 물리적으로 보유하므로, 금감원 검사관이 고객 현장에서 확인 가능. |
| 멀티테넌트 격리 검증 | 추가 부담 | 금감원이 멀티테넌트 환경에서 특정 고객의 데이터가 다른 테넌트와 완전히 격리되어 있는지 검증을 요구할 수 있음. D'CENT이 테넌트 격리 증빙(제3자 감사 보고서)을 제공해야 함. |
| 종합 판정 | 조건부 적합 | D'CENT의 금감원 검사 협력 계약 + 데이터 추출 API + 감사 보고서 자동화 + 테넌트 격리 증빙 시 적합. 검사 대응의 복잡성·시간 비용이 Model A/B 대비 높음. |
3.4. 배포 모델별 특금법 적합성 종합 판정¶
Model A (Zero Cloud) -- 적합
| 항목 | 판정 | 요약 |
|---|---|---|
| VASP 의무 | 적합 | 고객사(VASP)의 모든 의무를 자체 인프라에서 충족 |
| 콜드월렛 비율 | 적합 | 100% 에어갭 콜드월렛 보관 |
| 정보 보안 | 적합 | 기업 자체 ISMS-P + 보안 관제 |
| 현장 검사 | 적합 | 모든 시스템 현장 접근 가능 |
| 종합 | 적합 |
Model B (Hybrid) -- 조건부 적합
| 항목 | 판정 | 요약 |
|---|---|---|
| VASP 의무 | 조건부 적합 | 클라우드 인프라 포함 ISMS-P 인증 필요 |
| 콜드월렛 비율 | 적합 | 100% 에어갭 콜드월렛 보관 |
| 정보 보안 | 조건부 적합 | 기업 SOC + CSP 관제 협력 체계 필요 |
| 현장 검사 | 조건부 적합 | 클라우드 데이터 추출 도구 필요 |
| 종합 | 조건부 적합 | CSAP CSP + 데이터 추출 도구 + 관제 협력 시 |
Model C (SaaS) -- 조건부 적합 (제약 다수)
| 항목 | 판정 | 요약 |
|---|---|---|
| VASP 의무 | 조건부 적합 | D'CENT의 VASP 해당 여부 법률 검토 + D'CENT ISMS-P 인증 필요 |
| 콜드월렛 비율 | 적합 | 100% 에어갭 콜드월렛 보관 (아키텍처 구조적 강점) |
| 정보 보안 | 조건부 적합 | D'CENT SOC + 고객 알림 + SOC 2 보고서 |
| 현장 검사 | 조건부 적합 | D'CENT 검사 협력 계약 + 데이터 API + 격리 증빙 |
| 종합 | 조건부 적합 | 다수 제약 존재. D'CENT의 선제적 준비 필수 |
3.5. 커스터디 사업자와 도입 기업의 규제 책임 구분¶
| 규제 의무 | D'CENT (솔루션 제공자) | 고객사 (커스터디 도입 기업) |
|---|---|---|
| VASP 신고 | Model C에서 조건부 해당 (법률 검토 필요) | VASP 영업 시 필수 |
| ISMS-P 인증 | Model C에서 자체 인증 권장 | VASP인 경우 필수 |
| AML/KYC | 해당 없음 (기술 도구만 제공) | VASP인 경우 필수 |
| 콜드월렛 비율 | 아키텍처가 100% 콜드 보관 보장 | 모니터링·보고 의무 |
| 현장 검사 | Model C에서 협력 의무 (계약) | 검사 대상 (직접 의무) |
| 사고 대응 | Model C에서 공동 대응 | 보고·통지 주체 |
| CISO 지정 | Model C에서 자체 CISO 필요 | 법정 CISO 지정 의무 |
4. 한국 규제 종합 매트릭스¶
4.1. 4개 규제 x 3개 배포 모델 = 12셀 매트릭스¶
| 규제 프레임워크 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| 전자금융감독규정 | 적합 -- 클라우드 미사용, 규제 비적용 | 조건부 적합 -- CSAP CSP 국내 리전 + 금감원 보고 + Exit Strategy | 조건부 적합 (제약 다수) -- D'CENT ISMS-P + CSAP CSP 국내 리전 + 감사 권한. 금융기관 내부 통제 충족 불확실 |
| 금융보안원 망분리 | 적합 -- 업무망 내 배치 + 에어갭 | 조건부 적합 -- VPN/전용선 + VPC 인터넷 차단 | 부적합 (금융기관) -- SaaS 인터넷 접근이 망분리 위배. 비금융기관에만 사용 가능 |
| ISMS-P | 적합 -- 기업 자체 인증 범위에서 완전 충족 | 조건부 적합 -- CSAP CSP + CMEK + 인증 범위 확대 | 조건부 적합 (복잡) -- D'CENT 자체 ISMS-P + 고객 인증 범위에 SaaS 포함. 심사 복잡성 증가 |
| 특금법 | 적합 -- 100% 콜드월렛 + 현장 검사 즉시 대응 | 조건부 적합 -- 콜드월렛 100% + 클라우드 데이터 추출 도구 필요 | 조건부 적합 (제약 다수) -- D'CENT VASP 검토 + 검사 협력 계약 + 격리 증빙 필요 |
4.2. 모델별 종합 판정¶
Model A (Zero Cloud): 한국 금융기관에 가장 적합¶
| 항목 | 평가 |
|---|---|
| 4개 규제 종합 | 4개 모두 적합. 추가 조건 없이 규제 적합성 보장. |
| 강점 | 모든 데이터·시스템의 완전한 기업 통제. 금감원 현장 검사 즉시 대응. 클라우드 관련 규제 이슈 원천 배제. |
| 약점 | 높은 인프라 구축·운영 비용 (전산실 보호구역, DR 센터, 보안 관제). IT 인력 확보 필요. |
| 적합 고객 | 대기업, 은행, 증권사, 대형 VASP. 자체 데이터센터와 IT 팀을 보유한 조직. |
Model B (Hybrid): 조건 충족 시 한국 금융기관에 적합¶
| 항목 | 평가 |
|---|---|
| 4개 규제 종합 | 4개 모두 조건부 적합. 공통 조건: CSAP CSP 국내 리전 + CMEK + VPN/전용선. |
| 강점 | Model A 대비 인프라 비용 절감. 서명 인프라는 기업 통제 유지. 클라우드 탄력성 활용. |
| 약점 | CSAP CSP 선택, 금감원 보고, Exit Strategy 등 행정적 부담. 클라우드-온프레미스 이원 관리 복잡성. |
| 적합 고객 | 중견 금융기관, IT 인프라가 제한적인 금융회사, 중대형 VASP. |
Model C (SaaS): 한국 금융기관에 제한적 / 비금융기관·소규모 VASP에 적합¶
| 항목 | 평가 |
|---|---|
| 4개 규제 종합 | 전자금융감독규정·ISMS-P·특금법 조건부 적합 (제약 다수). 금융보안원 망분리 부적합 (금융기관). |
| 강점 | 최소 인프라 부담. 에어갭 콜드월렛 보관으로 콜드월렛 비율 100% 자동 충족. |
| 약점 | 금융기관에는 망분리 부적합. D'CENT의 ISMS-P 인증·CSAP CSP·검사 협력 등 선제 준비 필요. 고객 인증 심사 복잡성. |
| 적합 고객 | 비금융기관(일반 기업, Web3 스타트업), 소규모 VASP(망분리 규제 직접 미적용), 해외 법인의 한국 진출 시 초기 도입. |
5. Model C 한국 시장 적합성 한계 분석¶
5.1. 4개 규제 종합 관점의 제약 조건¶
| # | 제약 조건 | 관련 규제 | 영향 수준 | 해소 가능 여부 |
|---|---|---|---|---|
| 1 | 망분리 부적합 (금융기관) | 금융보안원 망분리 | 치명적 | 해소 불가 -- SaaS의 구조적 한계. 2025-2026 완화도 미적용. |
| 2 | D'CENT ISMS-P 인증 필요 | ISMS-P, 특금법 | 높음 | 해소 가능 -- D'CENT 자체 인증 취득으로 해결. 시간·비용 소요. |
| 3 | 금감원 현장 검사 대응 복잡 | 특금법 | 높음 | 부분 해소 -- 검사 협력 계약 + 데이터 API로 대응하나, 직접 현장 검사 대비 한계. |
| 4 | CSAP CSP 국내 리전 필수 | 전자금융감독규정, ISMS-P | 중간 | 해소 가능 -- D'CENT이 CSAP CSP 선택 시 충족. |
| 5 | 고객 인증 범위 확대 | ISMS-P | 중간 | 부분 해소 -- D'CENT ISMS-P 인증으로 심사 간소화 가능하나, 완전 제거 불가. |
| 6 | D'CENT VASP 해당 가능성 | 특금법 | 높음 | 불확실 -- 법률 해석에 따라 달라짐. 법률 자문 필요. |
| 7 | 멀티테넌트 격리 증빙 | ISMS-P, 특금법 | 중간 | 해소 가능 -- SOC 2 Type II + 제3자 감사로 증빙. |
5.2. 추가 비용/복잡성¶
Model C를 한국 시장(특히 VASP 고객)에서 운영하기 위해 D'CENT에 발생하는 추가 비용·복잡성은 다음과 같다.
| 항목 | 예상 비용 | 소요 기간 | 비고 |
|---|---|---|---|
| ISMS-P 인증 취득 | 5,000만~1억원 (컨설팅 + 심사) | 6~12개월 | 매년 사후심사 비용 추가 |
| SOC 2 Type II 감사 | 3,000만~5,000만원/년 | 3~6개월 (초회) | 국제 고객 대응 겸용 |
| CSAP CSP 국내 리전 운영 | CSP 비용 + 관리 인력 | 상시 | AWS Seoul, NHN Cloud 등 |
| 금감원 검사 협력 체계 | 법률 자문 + 계약 수립 | 3~6개월 | 고객별 개별 계약 가능 |
| VASP 법률 검토 | 1,000만~3,000만원 | 1~3개월 | 법무법인 자문 |
| 테넌트 격리 감사 | 2,000만~3,000만원/년 | 연 1회 | SOC 2에 포함 가능 |
5.3. 현실적 대안 및 Model A/B 전환 권고 조건¶
Model C → Model A/B 전환을 권고하는 조건:
| 조건 | 권고 전환 모델 | 근거 |
|---|---|---|
| 고객이 금융기관(은행, 증권사 등) | Model A | 망분리 부적합 해소 불가. 전자금융감독규정 충족 확실성. |
| 고객이 대형 VASP(자산규모 1,000억원 이상) | Model A 또는 B | 규제 검사 강도 높음. 자체 통제 필요성. |
| 고객이 금감원 현장 검사를 빈번히 받는 기관 | Model A | 현장 검사 대응 최적화. |
| 고객이 자체 데이터센터 보유 | Model A | 인프라 비용 한계(marginal cost)가 낮음. |
| 고객이 규제 리스크 최소화를 최우선시 | Model A | 4개 규제 모두 무조건 적합. |
Model C가 적합한 한국 고객:
| 고객 유형 | 이유 |
|---|---|
| 소규모 VASP (자산규모 100억원 미만) | 자체 인프라 구축 비용 > SaaS 이용 비용. 망분리 직접 적용 여부 불확실. |
| Web3 스타트업 | 초기 자금·인력 제한. 빠른 서비스 런칭 우선. 향후 Model B로 전환 경로. |
| 일반 기업 (비금융, 자체 자산 관리) | 금융 규제 직접 미적용. 최소 운영 부담. |
| 해외 법인 한국 진출 | 초기 진입 시 인프라 없이 빠르게 시작. 사업 확장 시 Model B/A로 전환. |
6. Phase 22 입력 사항¶
본 문서의 한국 규제 평가 결과가 Phase 22(적합성 매트릭스 및 고객 가이드)에 반영될 핵심 판정은 다음과 같다.
6.1. 적합성 매트릭스 통합 시 반영할 한국 규제 판정¶
| 규제 | Model A | Model B | Model C | Phase 22 반영 방식 |
|---|---|---|---|---|
| 전자금융감독규정 | 적합 | 조건부 적합 | 조건부 적합 (제약 다수) | 7개 규제 매트릭스의 한국 4행 |
| 망분리 | 적합 | 조건부 적합 | 부적합 (금융기관) | Model C의 한국 금융기관 부적합이 매트릭스의 핵심 Red Cell |
| ISMS-P | 적합 | 조건부 적합 | 조건부 적합 (복잡) | VASP 고객의 경우 인증 범위 복잡성 표기 |
| 특금법 | 적합 | 조건부 적합 | 조건부 적합 (제약 다수) | 콜드월렛 100%를 D'CENT 구조적 강점으로 표기 |
6.2. 고객 유형별 매핑 입력¶
| 고객 유형 | 적용 규제 | 한국 시장 권장 모델 |
|---|---|---|
| 한국 은행/증권사 | 4개 전체 | Model A (유일하게 4개 모두 적합) |
| 한국 대형 VASP | ISMS-P + 특금법 + (조건부) 전자금융감독규정 | Model A 또는 B |
| 한국 중소 VASP | ISMS-P + 특금법 | Model B 또는 C |
| 한국 일반 기업 | 개인정보보호법 + 정보통신망법 | Model B 또는 C |
| 한국 Web3 스타트업 | (최소 규제) | Model C (초기) → Model B (성장 시) |
6.3. D'CENT 구조적 강점 (규제 관점)¶
Phase 22 고객 가이드에서 강조할 D'CENT Enterprise의 한국 규제 관점 구조적 강점:
- 에어갭 아키텍처: 모든 배포 모델에서 프라이빗 키가 네트워크에 절대 연결되지 않음 → 망분리 원칙의 극단적 구현
- 100% 콜드월렛 보관: 핫월렛 미사용 아키텍처 → 가상자산이용자보호법 콜드월렛 비율 의무 자동 충족
- SE 하드웨어 사본: 정책 규칙/화이트리스트의 SE 사본 → SaaS 모델에서도 기업의 물리적 통제 일부 보장
- 다중 서명 쿼럼: 에어갭 기반 다중 서명 → 단일 장애점(Single Point of Failure) 원천 제거
6.4. MiCA CASP 관련 참고¶
STATE.md [risk] 항목 "Model C CASP status under MiCA needs legal counsel confirmation"은 EU 규제(MiCA)에 관한 사항으로, 본 문서(한국 규제)의 범위 밖이다. Phase 21(EU 규제 조사)에서 MiCA Art. 67-70 분석 시 Model C에서의 D'CENT CASP 해당 가능성을 심층 분석할 예정이다. 다만, 한국 특금법의 VASP 해당 여부 분석(3.1절)이 MiCA CASP 분석의 참고 자료로 활용될 수 있다.
관련 문서¶
- 전자금융감독규정 및 망분리 기준 배포 모델별 적합성 평가 -- 규제 준수