v0.4
MiCA/DORA 배포 모델별 적합성 평가¶
1. 문서 목적 및 범위¶
본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션의 3개 배포 모델(Model A/B/C)에 대해, EU 규제 중 MiCA(Markets in Crypto-Assets Regulation)와 DORA(Digital Operational Resilience Act) 2개 프레임워크의 적합성을 조항 레벨로 평가한다.
입력 문서:
- Phase 19 Plan 01: data-sensitivity-classification.md -- 7개 데이터 유형 민감도 4등급 분류 (극비 5, 기밀 2)
- Phase 19 Plan 02: deployment-model-data-sovereignty.md -- 배포 모델별 데이터 소재지 및 통제 주체 21셀 매트릭스
- Phase 20 Plan 01: electronic-finance-network-separation.md -- 전자금융감독규정/망분리 배포 모델별 평가
- Phase 20 Plan 02: isms-p-virtual-asset-act.md -- ISMS-P/특금법 배포 모델별 평가
평가 대상 규제:
| # | 규제 프레임워크 | 발효 시기 | 소관 기관 | 핵심 관련 조항 |
|---|---|---|---|---|
| 1 | MiCA (Regulation (EU) 2023/1114) | 2024.12.30 전면 시행 | ESMA, 각국 NCA | Art. 67-70 (CASP 운영 요구사항) |
| 2 | DORA (Regulation (EU) 2022/2554) | 2025.01.17 적용 | ESA (EBA/ESMA/EIOPA) | Art. 28-30 (ICT 제3자 리스크 관리) |
평가 기준: - Phase 19에서 분류된 극비(Critical) 5개 유형, 기밀(Confidential) 2개 유형의 민감도 등급을 규제 평가의 입력으로 사용 - 각 조항별 Model A(Zero Cloud) / Model B(Hybrid) / Model C(SaaS) 적합/조건부 적합/부적합 3단계 판정 - "키 접근 없음 != 낮은 민감도" 원칙 유지
2. MiCA 분석 (EU-REG-01)¶
2.1. MiCA 개요¶
MiCA(Markets in Crypto-Assets Regulation)는 EU의 암호자산 시장 통합 규제 프레임워크로, 2023년 6월 공포 후 2024년 12월 30일 전면 시행되었다. 암호자산 발행인(issuers)과 암호자산 서비스 제공자(Crypto-Asset Service Provider, CASP)에 대한 인가, 운영, 소비자 보호 요구사항을 포괄한다.
D'CENT 커스터디 솔루션 관련 핵심 범위:
| MiCA 서비스 유형 (Art. 3(1)(16)) | 정의 | D'CENT 관련성 |
|---|---|---|
| (a) 암호자산 보관 및 관리 (custody and administration) | 고객을 대신하여 암호자산 또는 암호자산 접근 수단(프라이빗 키)을 보관하는 서비스 | 직접 관련 -- D'CENT Enterprise는 커스터디 솔루션이므로 고객의 CASP 인가에 핵심적 |
| (b) 암호자산 거래 플랫폼 운영 | 거래소 운영 | 비적용 -- D'CENT은 거래 플랫폼을 운영하지 않음 |
| (c) 암호자산 교환 | 법정화폐-암호자산 또는 암호자산 간 교환 | 비적용 |
| (d) 암호자산 이전 서비스 | 고객을 대신한 암호자산 이전 실행 | 간접 관련 -- 트랜잭션 브로드캐스트 기능이 이전 서비스에 해당할 수 있음 |
CASP 인가 요구: MiCA Art. 59에 따라 EU 역내에서 암호자산 서비스를 제공하려면 각국 NCA(National Competent Authority)로부터 CASP 인가를 받아야 한다. D'CENT Enterprise 솔루션을 사용하는 EU 고객은 보관 및 관리 서비스를 제공하는 경우 CASP 인가가 필요하며, D'CENT은 솔루션 제공자로서 고객의 인가 요건 충족을 지원해야 한다.
2.2. Art. 67: IT 시스템 보안 및 거버넌스¶
2.2.1. 조항 핵심 내용¶
MiCA Art. 67은 CASP의 건전성 요구사항(prudential requirements)과 조직 요구사항(organisational requirements)을 규정한다. IT 시스템 관련 핵심 요구는 다음과 같다:
| 요구사항 | 상세 내용 | D'CENT 커스터디 맥락 |
|---|---|---|
| IT 시스템 보안 | 적절하고 비례적인 IT 시스템과 보안 메커니즘 유지 (Art. 67(1)) | 3-Zone 보안 아키텍처(온라인 대시보드, 오프라인 서명 앱, SE 기반 콜드월렛)의 적합성 |
| 거버넌스 체계 | 효과적이고 건전한 거버넌스 체계 수립 -- 이사회 책임, 내부 통제, 위험 관리 (Art. 67(3)) | 다중 서명 쿼럼 기반 거버넌스가 기관 요구에 부합하는지 |
| 사업 연속성 | 사업 연속성 및 재해 복구 계획 수립·유지 (Art. 67(6)) | 배포 모델별 BCP/DR 체계 차이 |
| 외부 감사 | 정기적 보안 감사 및 취약점 평가 실시 (Art. 67(7)) | 감사 접근성 -- 모델별 감사 범위 차이 |
2.2.2. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| IT 시스템 보안 | 적합 | 3-Zone 아키텍처가 기업 온프레미스에 완전 배치되므로, CASP(고객)가 IT 시스템 전체를 직접 통제하고 보안 메커니즘을 자체 구현. 에어갭 아키텍처는 MiCA의 "적절하고 비례적인" 보안 수준을 상회. |
| 거버넌스 체계 | 적합 | 다중 서명 쿼럼, RBAC, 정책 엔진이 모두 기업 인프라에서 운영되므로, 이사회 감독과 내부 통제 체계가 외부 의존 없이 수립 가능. |
| 사업 연속성 | 적합 | BCP/DR이 기업 자체 데이터센터 기반이므로, CASP가 완전한 통제 하에 연속성 계획을 수립·실행 가능. |
| 외부 감사 | 적합 | 모든 시스템이 기업 인프라에 있으므로, 감사인의 접근이 단일 관할권 내에서 완결. NCA 검사 대응도 용이. |
| 종합 판정 | 적합 | 모든 IT 거버넌스 요구를 CASP(고객)가 자체적으로 충족 가능. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| IT 시스템 보안 | 조건부 | 서명 인프라(에어갭)는 기업 통제이나, 대시보드/DB가 클라우드에 있으므로 "적절한 보안"의 범위가 클라우드까지 확장. CSP 보안 인증(SOC 2, ISO 27001) 필요. |
| 거버넌스 체계 | 적합 | 쿼럼 기반 거버넌스는 클라우드 배치와 무관하게 기능. 기업이 VPC를 직접 관리하므로 거버넌스 통제 유지. |
| 사업 연속성 | 조건부 | 클라우드 장애 시 대시보드 접근 불가 리스크 존재. CSP의 SLA와 멀티 AZ 구성이 필요. 단, 서명 기능은 에어갭으로 독립적이므로 핵심 기능(서명/보관)의 연속성은 유지. |
| 외부 감사 | 조건부 | 감사 범위가 기업 인프라 + CSP 인프라로 이원화. CSP의 SOC 2 보고서를 감사 증빙으로 활용해야 하며, NCA가 CSP 인프라에 대한 추가 검증을 요구할 수 있음. |
| 종합 판정 | 조건부 적합 | CSP 보안 인증 + SLA 체결 + 감사 증빙 확보 시 적합. |
Model C (SaaS) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| IT 시스템 보안 | 조건부 | CASP(고객)가 IT 시스템을 직접 통제하지 않으므로, D'CENT의 보안 체계에 의존. D'CENT이 SOC 2 Type II, ISO 27001 등 인증을 보유하고, CASP가 이를 NCA에 증빙으로 제출해야 함. |
| 거버넌스 체계 | 조건부 | 쿼럼 기반 거버넌스는 유지되나, 정책 엔진의 운영이 D'CENT 인프라에 의존. CASP의 "효과적이고 건전한 거버넌스" 입증에 제3자 의존이 약점. |
| 사업 연속성 | 조건부 | D'CENT 서비스 중단 시 대시보드 접근 불가. BCP/DR이 D'CENT에 의존하므로, CASP 자체의 연속성 계획이 제한적. 단, 콜드월렛과 SE에 키/정책 사본이 있어 핵심 자산 접근은 유지. |
| 외부 감사 | 제약 | 감사인이 D'CENT 멀티테넌트 인프라에 접근해야 하므로, D'CENT의 감사 협조 계약이 필수. 타 테넌트 데이터 격리 상태의 감사 증명이 복잡. |
| 종합 판정 | 조건부 적합 | D'CENT의 보안 인증(SOC 2/ISO 27001) + 감사 협조 계약 + BCP 보장 시 적합. NCA의 수용 여부에 불확실성 존재. |
2.3. Art. 68: 자산 분리 보관 및 고객 자산 보호¶
2.3.1. 조항 핵심 내용¶
MiCA Art. 68은 암호자산 보관 서비스를 제공하는 CASP에 대한 추가 의무를 규정한다.
| 요구사항 | 상세 내용 | D'CENT 아키텍처 대응 |
|---|---|---|
| 자산 분리 보관 | 고객의 암호자산을 CASP 자체 자산과 분리 보관 (Art. 68(1)) | 에어갭 아키텍처에서 각 기업의 프라이빗 키는 해당 기업의 D'CENT X 콜드월렛 SE에만 존재하므로 물리적 분리 자동 충족 |
| 보관 정책 | 보관 정책 수립 및 고객 공시 -- 보관 방식, 리스크, 책임 범위 (Art. 68(2)) | 3-Zone 아키텍처 문서 + 보관 정책 문서로 대응 가능 |
| 기록 의무 | 보관 암호자산의 포지션 기록 유지 및 정기 검증 (Art. 68(4)) | 대시보드의 잔액 정보(기밀 등급) + 블록체인 온체인 검증으로 대응 |
| 손해 배상 | 보안 사고로 인한 고객 자산 손실 시 배상 책임 (Art. 68(5)) | 에어갭 아키텍처로 온라인 해킹에 의한 키 유출 원천 차단 -- 배상 리스크 최소화 |
2.3.2. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 자산 분리 보관 | 적합 | 프라이빗 키가 기업 전용 SE에 물리적으로 격리. D'CENT/기타 제3자의 접근 경로 원천 차단. CASP와 고객 자산의 물리적 분리가 아키텍처 수준에서 보장. |
| 보관 정책 | 적합 | 기업이 자체 보관 정책을 수립하고 완전히 통제. |
| 기록/검증 | 적합 | 온프레미스 대시보드 + 셀프호스팅 풀노드로 독립적 포지션 검증 가능. |
| 종합 판정 | 적합 | 에어갭 아키텍처의 물리적 분리가 Art. 68 요구를 자동 충족. |
Model B (Hybrid) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 자산 분리 보관 | 적합 | 프라이빗 키는 기업 온프레미스 SE에만 존재하며 클라우드에 전혀 없음. 에어갭 보장 유지. |
| 보관 정책 | 적합 | 키 보관은 완전히 기업 통제이므로 보관 정책 수립·공시에 제약 없음. |
| 기록/검증 | 조건부 | 잔액 정보가 클라우드 DB에 저장되나, 블록체인 온체인 독립 검증으로 보완 가능. |
| 종합 판정 | 적합 | 키 보관의 물리적 분리가 에어갭으로 보장되므로 Art. 68 핵심 요구 충족. |
Model C (SaaS) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 자산 분리 보관 | 적합 | SaaS 모델에서도 프라이빗 키는 기업 전용 D'CENT X 콜드월렛 SE에만 존재. D'CENT 인프라에 키가 저장되지 않으므로 물리적 분리 유지. 이는 MPC 기반 경쟁사(키 셰어가 서버에 존재)와의 핵심 차별점. |
| 보관 정책 | 조건부 | 키 보관은 기업 통제이나, 대시보드 데이터(트랜잭션 이력, 승인 기록 등)가 D'CENT 인프라에 있으므로 보관 정책에 제3자 의존성 명시 필요. |
| 기록/검증 | 조건부 | 잔액/포지션 정보가 D'CENT 공유 노드에 의존하므로, 고객의 독립 검증 메커니즘(별도 풀노드 운영 또는 퍼블릭 익스플로러 대조) 필요. |
| 종합 판정 | 적합 | D'CENT 에어갭 아키텍처의 구조적 강점 -- 모든 배포 모델에서 Art. 68 자산 분리 요구를 물리적으로 충족. |
MiCA Art. 68 핵심 결론: D'CENT 에어갭 아키텍처는 프라이빗 키가 모든 배포 모델에서 기업 전용 SE에만 물리적으로 존재하므로, Art. 68의 자산 분리 보관 요구를 아키텍처 수준에서 자동 충족한다. 이는 Phase 20에서 발견된 한국 규제 구조적 강점(콜드월렛 보관 비율 100% 자동 충족)과 동일한 패턴이다.
2.4. Art. 69: 데이터 저장 및 기록 보관¶
2.4.1. 조항 핵심 내용¶
MiCA Art. 69는 CASP의 기록 보관(record-keeping) 의무를 규정한다.
| 요구사항 | 상세 내용 | D'CENT 커스터디 맥락 |
|---|---|---|
| 서비스 기록 보관 | 제공하는 서비스, 활동, 주문, 거래에 대한 기록 유지 (Art. 69(1)) | 대시보드의 트랜잭션 이력(극비), 승인 기록(극비), 감사 로그(극비) |
| 보존 기간 | NCA가 요구하는 기간 동안 기록 보존 -- 최소 5년 (Art. 69(2)) | 한국 특금법 5년 + MiCA 5년으로 동일 수준 |
| 데이터 형식 | NCA가 접근·분석할 수 있는 형식으로 기록 유지 (Art. 69(3)) | 표준화된 데이터 형식 + 감사 인터페이스 제공 필요 |
| 데이터 소재지 | MiCA 자체는 EU 역내 저장을 명시적으로 강제하지 않으나, GDPR + 각국 NCA 가이드라인에 의해 실질적 제한 가능 | GDPR 국외 전송 규칙과 연계 -- Plan 02에서 상세 분석 |
2.4.2. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 기록 보관 | 적합 | Event Sourcing 아키텍처로 모든 서비스 기록이 append-only 방식으로 기업 온프레미스에 보존. |
| 보존 기간 | 적합 | 기업이 자체적으로 5년+ 보존 정책 수립·실행. 스토리지 관리 자율. |
| NCA 접근 | 적합 | NCA 검사 시 기업 인프라에 직접 접근하여 기록 조회 가능. 감사 인터페이스 기업 내부 제공. |
| 종합 판정 | 적합 | 기록 보관 전체 라이프사이클을 기업이 완전 통제. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 기록 보관 | 조건부 | 클라우드 DB에 기록이 저장되므로, 데이터 보존 정책이 CSP 계약에 포함되어야 함. CMEK 암호화로 기록 무결성 보호. |
| 보존 기간 | 조건부 | CSP 리전의 장기 보존(5년+) 비용 및 정책 확인 필요. 아카이브 스토리지(S3 Glacier 등) 활용 가능. |
| NCA 접근 | 조건부 | NCA가 클라우드 인프라의 기록에 접근하려면, CSP와의 협력 또는 고객사를 통한 간접 접근 필요. 데이터 내보내기(export) 기능 필수. |
| 종합 판정 | 조건부 적합 | CSP 장기 보존 계약 + NCA 접근 가능한 데이터 내보내기 기능 제공 시 적합. |
Model C (SaaS) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 기록 보관 | 조건부 | D'CENT 인프라에 기록이 저장되므로, D'CENT의 기록 보관 정책이 MiCA 요구를 충족해야 함. 서비스 계약에 보관 의무 명시 필수. |
| 보존 기간 | 조건부 | D'CENT이 서비스 종료 시에도 5년 보존 의무를 이행할 수 있는 보장 필요. 에스크로 또는 데이터 반환 조항 필요. |
| NCA 접근 | 제약 | NCA가 D'CENT 멀티테넌트 인프라에 접근해야 하므로, D'CENT의 NCA 검사 협조 계약 필수. 타 테넌트 데이터 격리 하에서의 검사 프로토콜 수립 필요. |
| 종합 판정 | 조건부 적합 | D'CENT의 보관 정책 + 서비스 종료 시 데이터 보존 보장 + NCA 검사 협조 계약 시 적합. |
2.5. Art. 70: 제3자 위탁(Outsourcing) 규정¶
2.5.1. 조항 핵심 내용¶
MiCA Art. 70은 CASP가 운영 기능을 제3자에게 위탁(outsource)하는 경우의 요구사항을 규정한다.
| 요구사항 | 상세 내용 | D'CENT 커스터디 맥락 |
|---|---|---|
| 위탁 시 CASP 책임 유지 | 위탁 여부와 관계없이 MiCA 의무는 CASP가 부담 (Art. 70(1)) | 고객(CASP)이 D'CENT에 IT 인프라를 위탁하더라도 규제 책임은 고객에게 유지 |
| 핵심 기능 위탁 제한 | 핵심 또는 중요 기능(critical or important function)의 위탁 시 추가 요구사항 적용 (Art. 70(2)) | 커스터디의 "핵심 기능" 범위 판단 필요 -- 키 보관은 핵심, 대시보드는 중요 운영 기능 |
| NCA 사전 통지 | 핵심 기능 위탁 시 NCA에 사전 통지 (Art. 70(3)) | Model B/C에서 D'CENT에 대시보드 운영을 위탁하는 경우 통지 의무 |
| 위탁 계약 요구 | 위탁 계약에 보안 요구사항, 감사 권한, 종료 조건 포함 (Art. 70(4)) | D'CENT-고객 간 서비스 계약에 MiCA 요구 반영 필수 |
2.5.2. 배포 모델별 위탁 해당 여부¶
| 배포 모델 | 위탁 해당 여부 | 위탁 범위 | 근거 |
|---|---|---|---|
| Model A | 비적용 (위탁 없음) | - | 모든 기능을 CASP(고객)가 자체 운영. D'CENT은 소프트웨어/하드웨어 공급자로서 위탁 관계가 아닌 라이선스/구매 관계. |
| Model B | 부분 위탁 | 대시보드 소프트웨어 운영은 기업이 직접 (클라우드 IaaS 위). CSP가 인프라 제3자에 해당하나, D'CENT에 대한 직접 위탁은 제한적(소프트웨어 라이선스 + 유지보수). | D'CENT은 소프트웨어 공급자, CSP는 인프라 제3자. 핵심 기능(키 보관/서명)은 위탁 없이 기업 통제. |
| Model C | 핵심 기능 위탁 해당 가능 | 대시보드 운영 + DB 관리 + 인프라 운영 전체를 D'CENT에 위탁. | D'CENT이 커스터디 인프라의 운영 기능을 수행하므로, Art. 70(2)의 "핵심 또는 중요 기능 위탁"에 해당할 가능성이 높음. 단, 키 보관/서명은 위탁 없음(에어갭). |
2.5.3. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 위탁 해당 여부 | 비적용 | D'CENT은 소프트웨어/하드웨어 공급자이며, 운영 기능 위탁 관계 아님. |
| 종합 판정 | 적합 | Art. 70 위탁 규정 자체가 적용되지 않아 규제 리스크 없음. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| CSP 위탁 | 조건부 | CSP(AWS/Azure 등)가 인프라 제3자에 해당하며, CASP가 CSP와의 계약에 MiCA 요구사항(감사 권한, 종료 조건 등)을 포함해야 함. |
| D'CENT 위탁 | 낮은 의존 | D'CENT은 소프트웨어 라이선스 + 유지보수 관계이므로, "핵심 기능 위탁"에 해당할 가능성 낮음. |
| NCA 통지 | 불확실 | CSP 이용이 "핵심 기능 위탁"으로 간주되는 경우 NCA 통지 필요. NCA별 해석 차이 가능. |
| 종합 판정 | 조건부 적합 | CSP 계약에 MiCA 위탁 요구사항 반영 + NCA 통지 여부 확인 시 적합. |
Model C (SaaS) -- 조건부 적합 (높은 규제 부담)
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| D'CENT 위탁 | 핵심 기능 위탁 가능성 | D'CENT이 대시보드 운영·DB 관리·인프라 운영을 수행하므로, Art. 70(2)의 추가 요구사항 적용 가능. 단, 키 보관/서명이 위탁 범위 밖(에어갭)이므로 "가장 핵심적인 기능"은 위탁되지 않음. |
| NCA 통지 | 필수 | 핵심 기능 위탁으로 분류될 경우 NCA 사전 통지 필요. |
| 위탁 계약 | 필수 | D'CENT-고객 간 계약에 보안 요구, 감사 권한, SLA, 종료 조건, 데이터 반환 등 MiCA Art. 70(4) 요구사항 전체 포함 필수. |
| CASP 책임 | 유지 | 위탁 후에도 MiCA 의무는 CASP(고객)에게 유지되므로, CASP가 D'CENT의 운영을 감독할 수 있는 메커니즘 필요. |
| 종합 판정 | 조건부 적합 | D'CENT과의 위탁 계약에 MiCA 요구사항 전체 반영 + NCA 사전 통지 + CASP 감독 메커니즘 수립 시 적합. 규제 부담이 Model A/B 대비 현저히 높음. |
2.6. Model C CASP 해당 가능성 분석¶
STATE.md의 [risk] 항목: "Model C CASP status under MiCA needs legal counsel confirmation"에 대한 구체적 분석이다.
2.6.1. 분석 프레임워크¶
D'CENT이 Model C를 운영할 때 MiCA 하에서 CASP로 분류될 가능성을 판단하기 위해, MiCA Art. 3(1)(16)의 암호자산 서비스 유형별 해당 여부를 분석한다.
| 판단 기준 | D'CENT Model C 해당 여부 | 분석 |
|---|---|---|
| (a) 보관 및 관리 (custody) | 비해당 (높은 확신) | D'CENT Model C에서도 프라이빗 키는 기업 전용 SE에만 존재한다. D'CENT은 키에 접근하거나 보관하지 않으며, "고객을 대신하여 암호자산 또는 접근 수단을 보관"하지 않는다. MiCA의 보관(custody) 정의는 "프라이빗 키의 보관 또는 통제(safekeeping or controlling)"를 핵심으로 하므로, 에어갭 아키텍처에서 D'CENT이 키를 보관하지 않는 한 비해당. |
| (b) 거래 플랫폼 운영 | 비해당 | D'CENT은 거래 매칭 플랫폼을 운영하지 않음. |
| (c) 암호자산 교환 | 비해당 | D'CENT은 법정화폐-암호자산 교환을 수행하지 않음. |
| (d) 이전 서비스 (transfer) | 경계 사례 | D'CENT 대시보드가 서명된 트랜잭션을 블록체인에 브로드캐스트하는 기능을 수행한다. 이것이 "고객을 대신한 암호자산 이전 서비스"에 해당하는지는 해석 여지가 있다. 그러나 브로드캐스트는 기술적 전달(relay)에 해당하며, 이전의 "실행(execution)"으로 보기 어렵다는 해석이 우세하다. |
| (e) 조언 서비스 | 비해당 | D'CENT은 투자 조언을 제공하지 않음. |
2.6.2. 종합 판단¶
D'CENT은 Model C 운영 시에도 CASP로 분류될 가능성이 낮다.
| 항목 | 판단 |
|---|---|
| 핵심 근거 | D'CENT 에어갭 아키텍처에서 프라이빗 키는 모든 배포 모델에서 기업 전용 SE에만 존재하며, D'CENT은 키에 접근하거나 보관하지 않는다. MiCA의 보관(custody) 정의의 핵심인 "프라이빗 키의 보관 또는 통제"에 해당하지 않는다. |
| 리스크 요인 | (1) 브로드캐스트 기능의 "이전 서비스" 해당 해석 (2) NCA별 해석 차이 가능성 (3) 멀티테넌트 SaaS 플랫폼 운영이 간접적으로 "서비스 제공"으로 확대 해석될 가능성 |
| 완화 방안 | (1) 서비스 계약에서 D'CENT의 역할을 "소프트웨어 인프라 제공자(software infrastructure provider)"로 명확히 정의 (2) 키 접근 불가 구조를 기술 문서로 증명 (3) 브로드캐스트 기능을 "기술적 릴레이"로 문서화 |
| 권고 | 법률 자문(legal counsel) 확인이 여전히 권장되나, 에어갭 아키텍처의 "키 비접근" 구조는 CASP 비해당 주장의 가장 강력한 근거이다. |
2.6.3. STATE.md [risk] 항목 업데이트 권고¶
기존: [risk] Model C CASP status under MiCA needs legal counsel confirmation (Pitfall 2)
분석 후 업데이트 권고: - 리스크 수준 하향: 에어갭 아키텍처의 "키 비접근" 구조에 의해 CASP 비해당 가능성이 높으나, NCA별 해석 차이를 고려하여 법률 자문 확인은 여전히 권장 - 구체화: "D'CENT Model C에서 CASP 비해당 가능성 높음 (키 비보관 근거). 브로드캐스트의 이전 서비스 해당 여부에 대해 EU NCA별 해석 확인 필요. 법률 자문 권장"
2.7. MiCA 종합 판정 매트릭스 (4항목 x 3모델)¶
| MiCA 조항 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| Art. 67 (IT 보안/거버넌스) | 적합 -- 자체 IT 인프라 완전 통제 | 조건부 적합 -- CSP 인증 + SLA 필요 | 조건부 적합 -- D'CENT 인증 + 감사 계약 필요 |
| Art. 68 (자산 분리 보관) | 적합 -- 에어갭 물리적 분리 | 적합 -- 에어갭 유지 | 적합 -- 에어갭 유지 (구조적 강점) |
| Art. 69 (데이터 저장/기록) | 적합 -- 자체 보존 정책 | 조건부 적합 -- CSP 장기 보존 계약 필요 | 조건부 적합 -- D'CENT 보관 정책 + NCA 접근 보장 필요 |
| Art. 70 (제3자 위탁) | 적합 -- 위탁 비적용 | 조건부 적합 -- CSP 위탁 계약 | 조건부 적합 -- 핵심 기능 위탁 해당 가능, 높은 규제 부담 |
3. DORA 분석 (EU-REG-02)¶
3.1. DORA 개요¶
DORA(Digital Operational Resilience Act, Regulation (EU) 2022/2554)는 EU 금융 부문의 디지털 운영 복원력을 강화하기 위한 규제로, 2025년 1월 17일부터 적용된다. DORA는 금융 기관(은행, 보험사, 투자회사)뿐 아니라 CASP를 포함한 암호자산 서비스 제공자에게도 적용된다(Art. 2(1)(f)).
DORA의 D'CENT 커스터디 관련 핵심 영역:
| DORA 영역 | 핵심 내용 | D'CENT 관련성 |
|---|---|---|
| ICT 리스크 관리 (Art. 5-16) | ICT 리스크 관리 프레임워크 수립·유지 | CASP(고객)의 ICT 리스크 관리에 D'CENT 솔루션이 포함 |
| ICT 관련 사고 보고 (Art. 17-23) | 주요 ICT 사고의 NCA 보고 의무 | 대시보드/인프라 사고 발생 시 보고 의무 |
| 디지털 운영 복원력 테스트 (Art. 24-27) | 정기적 ICT 시스템 테스트, TLPT(Threat-Led Penetration Testing) | 배포 모델별 테스트 범위·책임 차이 |
| ICT 제3자 리스크 관리 (Art. 28-30) | ICT 서비스 제공자에 대한 관리·감독 의무 | 핵심 -- D'CENT/CSP가 ICT 제3자에 해당하는지 |
3.2. Art. 28: ICT 제3자 서비스 제공자 관리 의무¶
3.2.1. 조항 핵심 내용¶
| 요구사항 | 상세 내용 | D'CENT 커스터디 맥락 |
|---|---|---|
| ICT 제3자 리스크 관리 전략 | ICT 제3자 서비스 이용에 관한 전략 수립 (Art. 28(2)) | CASP(고객)가 D'CENT/CSP 이용에 관한 ICT 제3자 리스크 전략 수립 필요 |
| ICT 제3자 서비스 등록부 | 모든 ICT 제3자 서비스 계약의 등록부(register) 유지 (Art. 28(3)) | D'CENT/CSP와의 계약이 등록부에 포함되어야 함 |
| 사전 평가 | ICT 제3자 서비스 이용 전 리스크 평가 실시 (Art. 28(4)) | CASP가 D'CENT 솔루션 도입 전 ICT 리스크 평가 수행 필요 |
| 집중 리스크 | ICT 제3자에 대한 과도한 집중(concentration) 리스크 평가 (Art. 28(5)) | Model C에서 D'CENT에 대한 집중 리스크 평가 필요 |
3.2.2. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| ICT 제3자 해당 | 최소 | D'CENT은 소프트웨어/하드웨어 공급자. 운영 서비스 제공이 아니므로 ICT 제3자 서비스 범위가 매우 제한적(유지보수/업데이트). |
| 집중 리스크 | 낮음 | 기업이 인프라 전체를 자체 운영하므로 D'CENT에 대한 운영 의존도 낮음. 하드웨어 공급 의존성만 존재. |
| 종합 판정 | 적합 | ICT 제3자 리스크 관리 부담 최소. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| ICT 제3자 해당 | CSP 해당 | CSP(AWS/Azure 등)가 ICT 제3자 서비스 제공자에 해당. D'CENT은 소프트웨어 공급자로 제한적 해당. |
| 등록부 | 필요 | CSP 계약 + D'CENT 유지보수 계약을 ICT 제3자 등록부에 포함. |
| 집중 리스크 | 중간 | CSP 단일 의존 리스크 존재. 멀티 클라우드 또는 온프레미스 전환(Model A) 옵션으로 완화 가능. |
| 종합 판정 | 조건부 적합 | CSP 리스크 평가 + 등록부 관리 + 집중 리스크 완화 전략 수립 시 적합. |
Model C (SaaS) -- 조건부 적합 (높은 관리 부담)
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| ICT 제3자 해당 | D'CENT 해당 | D'CENT이 ICT 제3자 서비스 제공자에 직접 해당. 대시보드 운영, DB 관리, 인프라 운영 전체를 수행하므로. |
| 등록부 | 필수 | D'CENT 서비스 계약을 ICT 제3자 등록부에 상세 기재. |
| 집중 리스크 | 높음 | D'CENT 단일 제공자에 대시보드/DB/인프라 전체 의존. CASP는 집중 리스크 평가를 수행하고, 대안(Model A/B 전환) 계획을 수립해야 함. |
| 사전 평가 | 필수 | D'CENT 도입 전 ICT 리스크 평가 + D'CENT의 보안 인증 검증 필요. |
| 종합 판정 | 조건부 적합 | D'CENT 리스크 평가 + 집중 리스크 완화(전환 계획) + 등록부 관리 시 적합. 관리 부담 높음. |
3.3. Art. 29: 사전 평가 및 계약 요구¶
3.3.1. 조항 핵심 내용¶
DORA Art. 29는 ICT 제3자 서비스 계약에 반드시 포함해야 하는 조항을 규정한다.
| 계약 필수 조항 | 상세 내용 | D'CENT 모델별 적용 |
|---|---|---|
| 서비스 수준(SLA) | 명확한 SLA (가용성, 성능, 보안) (Art. 29(2)(a)) | Model B: CSP SLA / Model C: D'CENT SLA |
| 데이터 소재지 | 데이터 처리·저장 위치 명시 (Art. 29(2)(b)) | 모든 모델에서 데이터 소재지 계약 명시 |
| 감사 권한 | 금융 기관의 ICT 제3자에 대한 감사 권한 (Art. 29(2)(c)) | CASP가 D'CENT/CSP를 감사할 수 있는 권한 보장 |
| 사고 통보 | ICT 사고 발생 시 금융 기관에 즉시 통보 (Art. 29(2)(d)) | D'CENT/CSP의 사고 통보 의무 |
| Exit Strategy | 서비스 종료 시 전환·철수 계획 (Art. 29(2)(e)) | Model B: CSP 전환 / Model C: D'CENT 서비스 종료 시 데이터 반환 |
| 하위 위탁(sub-outsourcing) | ICT 제3자의 하위 위탁 시 사전 승인 (Art. 29(2)(f)) | D'CENT이 CSP에 인프라를 위탁하는 경우 고객 사전 승인 |
3.3.2. 배포 모델별 적합성 판정¶
Model A (Zero Cloud) -- 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| 계약 요구 적용 | 최소 | D'CENT과의 계약은 소프트웨어 라이선스/하드웨어 구매로, ICT 제3자 서비스 계약의 범위가 제한적. |
| 종합 판정 | 적합 | Art. 29 계약 요구의 적용 범위 최소. |
Model B (Hybrid) -- 조건부 적합
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| CSP 계약 | 필수 | CSP와의 계약에 SLA, 데이터 소재지, 감사 권한, 사고 통보, Exit Strategy 전체 포함 필요. 주요 CSP(AWS/Azure)는 DORA 준수 약관(addendum)을 제공. |
| D'CENT 계약 | 권장 | 소프트웨어 유지보수 계약에 사고 통보, 보안 업데이트 SLA 포함 권장. |
| 종합 판정 | 조건부 적합 | CSP DORA 약관 적용 + D'CENT 유지보수 SLA 수립 시 적합. |
Model C (SaaS) -- 조건부 적합 (포괄적 계약 필수)
| 평가 항목 | 판정 | 근거 |
|---|---|---|
| D'CENT 계약 | 포괄적 필수 | D'CENT과의 서비스 계약에 Art. 29(2)의 모든 조항 포함 필수: SLA, 데이터 소재지, 감사 권한, 사고 통보, Exit Strategy, 하위 위탁 승인. |
| 하위 위탁 | 통제 필요 | D'CENT이 CSP에 인프라를 위탁하는 경우, CASP(고객)의 사전 승인 필요. D'CENT의 CSP 변경 시에도 고객 통지·승인 필요. |
| 종합 판정 | 조건부 적합 | D'CENT과의 포괄적 DORA 준수 계약 체결 시 적합. 계약 복잡성 높음. |
3.4. Art. 30: 핵심 ICT 제3자(Critical ICT Third-Party Provider) 지정¶
3.4.1. 조항 핵심 내용¶
DORA Art. 30-44는 핵심 ICT 제3자 서비스 제공자(critical ICT third-party provider, CTPP)에 대한 ESA(European Supervisory Authorities)의 직접 감독 프레임워크를 규정한다.
| 요구사항 | 상세 내용 | D'CENT 관련성 |
|---|---|---|
| CTPP 지정 기준 | 금융 부문에 대한 시스템적 중요성(systemic importance) 기반 지정 (Art. 31) | D'CENT이 EU 금융 부문에서 시스템적 중요성을 갖는지 판단 |
| ESA 직접 감독 | CTPP로 지정되면 ESA(EBA/ESMA/EIOPA)의 직접 감독 대상 (Art. 33-36) | CTPP 지정 시 ESA 감사, 정보 제공 의무, 개선 명령 대상 |
| EU 자회사 요구 | EU 역외 CTPP는 EU 역내에 자회사(subsidiary)를 설립해야 할 수 있음 (Art. 31(12)) | D'CENT(한국 법인)이 CTPP로 지정될 경우 EU 자회사 설립 필요 가능 |
3.4.2. D'CENT CTPP 지정 가능성 분석¶
| 판단 기준 | D'CENT 현황 | 분석 |
|---|---|---|
| 시스템적 중요성 | 현재 낮음 | D'CENT Enterprise는 아직 EU 시장 진출 초기 단계. AWS, Microsoft Azure, Google Cloud 등 대규모 CSP가 CTPP 지정 1차 대상. |
| 금융 기관 의존도 | 현재 없음 | EU 금융기관 고객이 없으므로 시스템적 의존 관계 미형성. |
| 대체 가능성 | 높음 | D'CENT 솔루션은 경쟁사(Ledger Enterprise, Fireblocks 등)로 대체 가능하므로, "대체 불가능(non-substitutable)" 요건 미충족. |
| 중장기 전망 | 모니터링 필요 | EU 시장 점유율이 높아지면 CTPP 지정 가능성 재평가 필요. 특히 Model C로 다수 EU 금융기관에 서비스 제공 시. |
결론: D'CENT이 현 시점에서 CTPP로 지정될 가능성은 매우 낮다. 그러나 EU 시장 확장 시 지정 가능성을 모니터링하고, CTPP 지정 대응 계획을 장기 로드맵에 포함할 것을 권장한다.
3.4.3. 배포 모델별 CTPP 리스크¶
| 배포 모델 | CTPP 관련 리스크 | 대응 |
|---|---|---|
| Model A | 없음 | D'CENT이 운영 서비스를 제공하지 않으므로 CTPP 해당 없음. CSP 미사용. |
| Model B | CSP CTPP 가능 | AWS/Azure/Google 등 주요 CSP가 CTPP로 지정될 가능성이 높음. CASP는 CSP의 CTPP 지정에 따른 추가 요구사항을 모니터링해야 함. |
| Model C | 장기 모니터링 | D'CENT의 EU 시장 확장 시 CTPP 지정 가능성 존재. 지정 시 ESA 직접 감독 + EU 자회사 요구 가능. |
3.5. DORA 종합 판정 매트릭스 (3항목 x 3모델)¶
| DORA 조항 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| Art. 28 (ICT 제3자 관리) | 적합 -- ICT 제3자 의존 최소 | 조건부 적합 -- CSP 리스크 평가 + 등록부 필요 | 조건부 적합 -- D'CENT 리스크 평가 + 집중 리스크 관리 필요 |
| Art. 29 (계약 요구) | 적합 -- 적용 범위 최소 | 조건부 적합 -- CSP DORA 약관 적용 | 조건부 적합 -- 포괄적 DORA 계약 필수 |
| Art. 30 (CTPP) | 적합 -- CTPP 해당 없음 | 조건부 적합 -- CSP CTPP 모니터링 | 조건부 적합 -- 장기 CTPP 모니터링 필요 |
4. MiCA + DORA 종합 판정표¶
4.1. 통합 매트릭스 (7항목 x 3모델)¶
| 규제 조항 | Model A (Zero Cloud) | Model B (Hybrid) | Model C (SaaS) |
|---|---|---|---|
| MiCA Art. 67 (IT 보안/거버넌스) | 적합 | 조건부 적합 | 조건부 적합 |
| MiCA Art. 68 (자산 분리 보관) | 적합 | 적합 | 적합 |
| MiCA Art. 69 (데이터 저장/기록) | 적합 | 조건부 적합 | 조건부 적합 |
| MiCA Art. 70 (제3자 위탁) | 적합 | 조건부 적합 | 조건부 적합 |
| DORA Art. 28 (ICT 제3자 관리) | 적합 | 조건부 적합 | 조건부 적합 |
| DORA Art. 29 (계약 요구) | 적합 | 조건부 적합 | 조건부 적합 |
| DORA Art. 30 (CTPP) | 적합 | 조건부 적합 | 조건부 적합 |
| 종합 | 적합 (7/7) | 조건부 적합 (1적합 + 6조건부) | 조건부 적합 (1적합 + 6조건부) |
4.2. 모델별 종합 평가¶
Model A (Zero Cloud): - MiCA/DORA 7개 평가 항목 모두 적합 - 에어갭 아키텍처 + 완전 온프레미스 배치로 ICT 제3자 의존 없음 - EU 규제 대응에 가장 유리한 배포 모델
Model B (Hybrid): - MiCA Art. 68(자산 분리) 적합 + 나머지 6개 항목 조건부 적합 - CSP 선택 시 DORA 준수 약관 적용, EU 리전 데이터 저장으로 대부분 조건 충족 가능 - 에어갭에 의한 키 보관 분리는 Model A와 동일하게 보장
Model C (SaaS): - MiCA Art. 68(자산 분리) 적합 + 나머지 6개 항목 조건부 적합 - D'CENT에 대한 ICT 제3자 의존도가 높아 계약·감사·집중 리스크 관리 부담 상당 - 에어갭에 의한 자산 분리 보관은 구조적으로 보장되므로, MPC 기반 경쟁사 대비 Art. 68 충족이 용이
4.3. Phase 20 한국 규제와의 비교 시사점¶
| 비교 항목 | 한국 규제 (Phase 20) | EU 규제 (Phase 21) |
|---|---|---|
| Model A 적합성 | 모두 적합 (4/4 프레임워크) | 모두 적합 (MiCA+DORA 7/7 항목) |
| Model B 적합성 | 조건부 적합 (4/4, 국내 리전 필수) | 조건부 적합 (6/7 조건부, EU 리전 권장) |
| Model C 적합성 | 조건부 적합 (금융기관 부적합, 비금융 가능) | 조건부 적합 (높은 규제 부담, 에어갭이 Art. 68 보장) |
| Model C 금융기관 | 부적합 (은행/증권사 망분리 위반) | 조건부 적합 (위탁 계약 + NCA 통지 시 허용 가능성) |
| 에어갭 구조적 강점 | 콜드월렛 보관 비율 100% 자동 충족 | Art. 68 자산 분리 보관 자동 충족 |
| 데이터 소재지 | 국내 저장 강제 (전자금융감독규정 제14조의2 제3항) | EU 역내 저장 권장 (GDPR + NCA 가이드라인, MiCA 자체 미강제) |
| 핵심 차이 | 한국 금융기관의 망분리 규정이 Model C를 사실상 배제 | EU는 위탁(outsourcing) 프레임워크로 Model C를 허용하되 높은 관리 부담 부과 |
핵심 시사점: 1. Model A는 한국과 EU 모두에서 가장 안전한 선택 -- 양쪽 규제 환경에서 무조건 적합 2. Model C의 금융기관 적합성에 한국-EU 차이 존재: 한국은 망분리로 사실상 배제하나, EU는 위탁 계약 프레임워크로 조건부 허용. 이는 EU 시장에서 Model C의 가능성이 한국보다 넓음을 의미 3. 에어갭 아키텍처는 한국과 EU 모두에서 구조적 규제 강점 -- 자산 분리/콜드월렛 보관 요구를 아키텍처 수준에서 자동 충족 4. 데이터 소재지 요구 강도 차이: 한국은 "국내 저장 강제"이나, EU MiCA는 자체적으로 EU 역내 저장을 강제하지 않음 (GDPR에 의한 간접 제한). 이 차이는 Phase 22 글로벌 매트릭스에서 모델별 데이터 소재지 전략 수립 시 반영 필요
5. DORA 아키텍처 반영 사항¶
5.1. 계약적 요구사항¶
DORA Art. 29 계약 요구를 충족하기 위해 D'CENT이 고객에게 제공해야 하는 계약 조항:
| 계약 조항 | Model A | Model B | Model C |
|---|---|---|---|
| SLA (가용성, 성능) | 해당 없음 (고객 자체 운영) | CSP SLA로 충족 + D'CENT SW 유지보수 SLA | D'CENT SLA 필수 (99.9%+ 가용성, 응답 시간, 복구 목표 명시) |
| 데이터 소재지 명시 | 해당 없음 | CSP 리전 명시 + 변경 통지 | D'CENT 인프라 소재지 명시 + 변경 시 사전 승인 |
| 감사 권한 | 해당 없음 | CSP SOC 2 보고서 + 고객 감사 권한 | D'CENT 감사 권한 (연 1회+ 현장 감사 또는 제3자 감사 보고서) |
| 사고 통보 | 해당 없음 | CSP 사고 통보 + D'CENT SW 취약점 통보 | D'CENT 사고 즉시 통보 (24시간 이내 초기 보고, 72시간 이내 상세 보고) |
| Exit Strategy | 해당 없음 | CSP 전환 계획 (Model A 전환 포함) | 데이터 완전 반환(export) + 서비스 종료 90일 전 통지 + 6개월 전환 지원 |
| 하위 위탁 통제 | 해당 없음 | 해당 없음 | D'CENT의 CSP 변경 시 고객 사전 승인 필요 |
| DPA (Data Processing Agreement) | 해당 없음 | CSP DPA + GDPR 준수 조항 | D'CENT DPA 필수 (GDPR Processor 역할 명시) |
5.2. 기술적 요구사항¶
| 기술적 요구 | Phase 19 설계 대응 | DORA 요구 충족 여부 | 추가 필요 사항 |
|---|---|---|---|
| 데이터 이동성 (portability) | 표준 데이터 형식(JSON/CSV) 내보내기 | 부분 충족 | Model C에서 전체 데이터(Event Store + Read DB + 감사 로그)의 표준 형식 내보내기 API 필요 |
| 벤더 종속 방지 (vendor lock-in prevention) | 3모델 전환 가능 아키텍처 | 충족 | Model C → Model B → Model A 전환 경로가 이미 설계됨 |
| 감사 인터페이스 | 감사 로그 해시 체이닝 + 독립 검증 인터페이스 | 충족 | Model C에서 고객/NCA의 실시간 감사 로그 조회 API 추가 권장 |
| CMEK (Customer-Managed Encryption Key) | Model B/C에서 CMEK 적용 설계 | 충족 | D'CENT이 고객 키 없이 데이터를 복호화할 수 없음을 기술 문서로 증명 |
| SE 사본 (정책/화이트리스트) | SE에 정책 규칙/화이트리스트 사본 저장 | 충족 | DORA exit strategy의 핵심 -- D'CENT 서비스 중단 시에도 SE 사본으로 핵심 정책 보존 |
| 독립 검증 인터페이스 | 감사 로그 무결성 독립 검증 API | 충족 | DORA 감사 권한 요구와 직접 매핑 |
5.3. Phase 19 설계와 DORA 요구 매핑¶
Phase 19에서 정의한 CMEK, SE 사본, 독립 검증 인터페이스가 DORA 요구를 어떻게 충족하는지:
| Phase 19 설계 요소 | DORA 요구 대응 | 매핑 |
|---|---|---|
| CMEK (Model B/C) | Art. 29 데이터 보호, Art. 28 집중 리스크 완화 | D'CENT/CSP가 키 없이 데이터 복호화 불가 → ICT 제3자 데이터 접근 리스크 완화 |
| SE 하드웨어 정책 사본 | Art. 29 Exit Strategy | 서비스 중단 시에도 핵심 정책(한도, 쿼럼, 화이트리스트)이 기업 보유 SE에 보존 → 벤더 종속 방지 |
| 감사 로그 해시 체이닝 | Art. 29 감사 권한, Art. 28 ICT 제3자 모니터링 | 고객/NCA가 독립적으로 감사 로그 무결성을 검증 → 제3자 신뢰 의존 없이 감사 가능 |
| 독립 검증 인터페이스 | Art. 29 감사 권한 | Model C에서 고객이 D'CENT 인프라의 데이터 무결성을 외부에서 검증 가능 → DORA 감사 요구 직접 충족 |
| 격리 스키마 (Model C) | Art. 28 집중 리스크, Art. 29 데이터 보호 | 멀티테넌트 환경에서 테넌트 간 데이터 격리 → 타 고객 사고의 전파 방지 |
| 3모델 전환 아키텍처 | Art. 29 Exit Strategy | Model C → B → A 전환 경로 → 벤더 종속 탈피 계획의 실행 가능성 증명 |
6. 참고 사항¶
6.1. 규제 해석의 불확실성¶
| 불확실 영역 | 내용 | 권고 |
|---|---|---|
| NCA별 MiCA 해석 차이 | EU 27개 회원국의 NCA가 MiCA를 세부적으로 다르게 해석할 수 있음 | 타겟 시장(독일 BaFin, 프랑스 AMF 등) NCA의 세부 가이드라인 모니터링 |
| DORA RTS/ITS | DORA 세부 기술 표준(Regulatory Technical Standards)이 2025년 중 ESA에서 추가 발표 예정 | RTS/ITS 발표 시 본 평가 업데이트 필요 |
| Model C CASP 분류 | D'CENT의 브로드캐스트 기능이 "이전 서비스"에 해당하는지 NCA별 해석 차이 가능 | 법률 자문 + 타겟 NCA 사전 협의 권장 |
6.2. 용어 정리¶
| 용어 | 영문 | 정의 |
|---|---|---|
| CASP | Crypto-Asset Service Provider | MiCA 하의 암호자산 서비스 제공자 |
| NCA | National Competent Authority | 각국 감독당국 (예: BaFin, AMF) |
| ESA | European Supervisory Authorities | EU 감독기구 (EBA, ESMA, EIOPA) |
| CTPP | Critical ICT Third-Party Provider | DORA 하의 핵심 ICT 제3자 서비스 제공자 |
| CSAP | Cloud Security Assurance Program | 한국 클라우드 보안인증 프로그램 |
| CMEK | Customer-Managed Encryption Key | 고객 관리 암호화 키 |
| SE | Secure Element | 보안 요소 (D'CENT X 콜드월렛 내장) |
| DPA | Data Processing Agreement | 데이터 처리 계약 (GDPR Art. 28) |
관련 문서¶
- 경쟁사 5사 배포 방식 비교 및 금융기관 도입 사례 조사 -- 규제 준수
- GDPR 적합성 평가 및 EU 규제 종합 매트릭스 -- 규제 준수