7개 규제 프레임워크 x 3개 배포 모델 종합 적합성 매트릭스
1. 문서 목적 및 범위
본 문서는 Phase 19-21에서 개별 평가된 7개 규제 프레임워크의 배포 모델별 적합성 판정을 하나의 종합 매트릭스로 통합하고, 사각지대(3개 모델이 모두 부적합한 규제-고객 조합)를 식별하여 경영진의 Go/No-Go 의사결정 기반과 Phase 23 보완 설계 입력을 제공한다.
입력 문서:
- Phase 20 Plan 01: electronic-finance-network-separation.md -- 전자금융감독규정/망분리 평가 (6셀)
- Phase 20 Plan 02: isms-p-virtual-asset-act.md -- ISMS-P/특금법 평가 (6셀) + 한국 종합 12셀 매트릭스
- Phase 21 Plan 01: mica-dora-assessment.md -- MiCA/DORA 평가 + EU 종합 매트릭스
- Phase 21 Plan 02: gdpr-eu-regulatory-matrix.md -- GDPR 평가 + EU 3규제 종합 매트릭스
판정 기준 (Phase 19-21과 동일):
판정
기호
정의
적합 O
추가 조건 없이 해당 규제를 충족한다
조건부 적합 △
명시된 조건을 충족하면 규제를 충족한다
부적합 X
구조적으로 해당 규제를 충족할 수 없거나 심각한 제약이 존재한다
2. 7개 규제 x 3개 배포 모델 종합 적합성 매트릭스
2.1. 종합 매트릭스
#
규제 프레임워크
관할
Model A (Zero Cloud)
Model B (Hybrid)
Model C (SaaS)
1
전자금융감독규정 한국
O 적합 △ 조건부 적합 △ 조건부 적합 (제약 다수)
2
금융보안원 망분리 한국
O 적합 △ 조건부 적합 X 부적합 (금융기관) / △ 조건부 적합 (비금융)
3
ISMS-P 한국
O 적합 △ 조건부 적합 △ 조건부 적합 (복잡)
4
특금법 한국
O 적합 △ 조건부 적합 △ 조건부 적합 (제약 다수)
5
MiCA EU
O 적합 △ 조건부 적합 △ 조건부 적합
6
DORA EU
O 적합 △ 조건부 적합 △ 조건부 적합
7
GDPR EU
O 적합 △ 조건부 적합 △ 조건부 적합
2.2. 셀별 판정 근거 및 핵심 조건
행 1: 전자금융감독규정 (한국, 금융감독원)
모델
판정
핵심 근거
관련 조항
조건 (조건부의 경우)
Model A O 적합
클라우드 미사용으로 제14조의2 비적용. 제15조 전산실 보호구역은 기업 자체 데이터센터로 충족.
제14조의2, 제15조
--
Model B △ 조건부 적합
대시보드/DB 클라우드 배치 시 제14조의2 적용.
제14조의2 제1~5항
(1) CSAP 인증 CSP 선택 (2) 국내 리전 데이터 저장 (3) 금감원 클라우드 이용 보고 (4) Exit Strategy 수립 (5) CMEK + VPC + IAM 보호조치
Model C △ 조건부 적합 (제약 다수)
D'CENT 호스팅 인프라의 클라우드 이용 보고, CSP 인증, 감사 권한 등 다수 요구. 금융기관 내부 통제 기준 충족 불확실.
제14조의2 전체
(1) D'CENT ISMS-P 인증 (2) CSAP CSP 국내 리전 (3) 포괄적 Exit Strategy (4) 고객 감사 권한 보장 (5) 멀티테넌트 격리 증명
행 2: 금융보안원 망분리 기준 (한국, 금융보안원)
모델
판정
핵심 근거
관련 기준
조건 (조건부의 경우)
Model A O 적합
전체 시스템이 기업 업무망 내 배치. 에어갭 콜드월렛이 망분리 원칙을 물리적으로 초월하여 충족.
업무망/인터넷망 분리, 중요업무 인터넷망 차단
--
Model B △ 조건부 적합
클라우드 VPC를 업무망에 준하는 격리 수준으로 구성해야 함.
망분리 원칙, 망연계 통제
(1) VPN/전용선 기반 연결 (2) VPC 인터넷 직접 접근 차단 (3) 망연계 솔루션 통한 데이터 이동 통제 (4) 트래픽 모니터링
Model C X 부적합 (금융기관)
SaaS는 인터넷 기반 접근으로 업무망 분리 원칙에 구조적으로 위배. 2025-2026 망분리 완화도 "비중요 업무"에 한정되어 커스터디(중요업무) 미적용.
중요업무 SaaS 이용 불가
비금융기관에 한하여 △ 조건부 적합 (망분리 규제 직접 비적용)
행 3: ISMS-P (한국, KISA)
모델
판정
핵심 근거
관련 기준
조건 (조건부의 경우)
Model A O 적합
모든 데이터가 기업 온프레미스에 저장. 기업 자체 IAM/MFA/RBAC로 접근 통제 요구 충족. 인증 범위가 명확.
보호대책 64개 항목, 접근 통제 2.5-2.6
--
Model B △ 조건부 적합
클라우드 인프라가 인증 범위에 포함되어야 함. CSP IAM과 기업 IAM 통합 관리 필요.
CSAP CSP 요구, 클라우드 보안
(1) CSAP CSP 국내 리전 (2) CMEK 적용 (3) 기업 IAM + CSP IAM 통합 (4) 인증 범위에 클라우드 포함 (5) CSP 보안 SLA
Model C △ 조건부 적합 (복잡)
고객 ISMS-P 인증 범위에 D'CENT SaaS가 "외부 위탁 시스템"으로 포함. 심사 복잡성 증가. VASP 고객의 경우 D'CENT 자체 ISMS-P가 사실상 필수.
외부 위탁 시스템 인증 범위 포함
(1) D'CENT 자체 ISMS-P 인증 (2) SOC 2 보고서 제공 (3) 고객 감사 권한 (4) 테넌트 격리 증빙
행 4: 특금법 / 가상자산이용자보호법 (한국, 금융위원회/금감원)
모델
판정
핵심 근거
관련 조항
조건 (조건부의 경우)
Model A O 적합
100% 에어갭 콜드월렛 보관으로 콜드월렛 비율 의무 자동 충족. 모든 시스템 현장 검사 즉시 대응 가능.
콜드월렛 보관 비율 80%+, 금감원 현장 검사
--
Model B △ 조건부 적합
콜드월렛 100% 보관 유지. 클라우드 데이터 추출 도구가 현장 검사 대응에 필요.
정보보호 의무, 현장 검사 협력
(1) 클라우드 데이터 추출 도구 (2) 감사 보고서 자동 생성 (3) 기업 SOC + CSP 관제 협력
Model C △ 조건부 적합 (제약 다수)
에어갭 아키텍처로 콜드월렛 비율 100% 자동 충족(구조적 강점). 그러나 D'CENT의 VASP 해당 여부 법률 검토, 금감원 검사 시 D'CENT 협력 필요.
VASP 정의, 현장 검사, CISO 지정
(1) D'CENT VASP 해당 여부 법률 자문 (2) 금감원 검사 협력 계약 (3) 데이터 추출 API (4) 테넌트 격리 증빙 (5) D'CENT CISO 지정
행 5: MiCA (EU, ESMA/각국 NCA)
모델
판정
핵심 근거
관련 조항
조건 (조건부의 경우)
Model A O 적합
IT 시스템 전체를 CASP(고객)가 직접 통제. 에어갭 아키텍처가 Art. 68 자산 분리 보관을 물리적 수준에서 자동 충족.
Art. 67 (IT 보안), Art. 68 (자산 분리), Art. 69 (기록 보관), Art. 70 (위탁)
--
Model B △ 조건부 적합
에어갭에 의한 키 보관 분리는 Model A와 동일하게 보장(Art. 68 적합). 클라우드 대시보드/DB에 대한 CSP 보안 인증 필요.
Art. 67, 69, 70
(1) CSP SOC 2 + ISO 27001 (2) CSP SLA (3) 감사 증빙 확보 (4) BCP/DR 계획
Model C △ 조건부 적합
Art. 68 자산 분리는 에어갭으로 적합(구조적 강점). Art. 67 IT 거버넌스, Art. 70 위탁 규정에서 D'CENT 의존 부담. NCA 수용 여부 불확실성.
Art. 67, 69, 70
(1) D'CENT SOC 2 + ISO 27001 (2) D'CENT 감사 협조 계약 (3) BCP/DR 보장 (4) NCA 통지
행 6: DORA (EU, ESA)
모델
판정
핵심 근거
관련 조항
조건 (조건부의 경우)
Model A O 적합
ICT 제3자 의존 최소. CTPP 해당 없음. 소프트웨어 유지보수 계약만으로 충분.
Art. 28 (ICT 제3자), Art. 29 (계약), Art. 30 (CTPP)
--
Model B △ 조건부 적합
CSP가 ICT 제3자로서 리스크 평가 대상. CSP의 DORA 준수 약관 적용 필요.
Art. 28-30
(1) CSP 리스크 평가 + 등록부 (2) CSP DORA 약관 적용 (3) CSP CTPP 모니터링
Model C △ 조건부 적합
D'CENT이 핵심 ICT 제3자로서 포괄적 DORA 계약 필수. 집중 리스크(D'CENT 단일 의존) 관리 필요. 장기적 CTPP 지정 가능성 모니터링.
Art. 28-30
(1) D'CENT 포괄적 DORA 계약 (2) 하위 위탁(CSP) 고객 승인 (3) 집중 리스크 관리 (4) Exit Strategy
행 7: GDPR (EU, 각국 DPA)
모델
판정
핵심 근거
관련 조항
조건 (조건부의 경우)
Model A O 적합
EU 역내 배치 시 국외 전송 이슈 없음. 한국 배치 시에도 적정성 결정(2022.12)에 의해 합법적 전송. Controller만 존재하여 DPA 불필요.
Art. 44-49 (국외 전송), Art. 24-28 (Controller/Processor)
--
Model B △ 조건부 적합
CSP가 Processor로서 DPA 체결 필수. EU 리전 CSP 사용 시 국외 전송 없음.
Art. 28 (Processor), Art. 44-49
(1) EU 리전 CSP 사용 (2) CSP DPA 체결 (3) 데이터 주체 권리 이행 협조
Model C △ 조건부 적합
D'CENT이 GDPR Processor로서 Art. 28(3) 전체 조항 포함 DPA 체결 필수. EU 리전 운영 또는 적정성 결정 활용.
Art. 28, Art. 44-49
(1) D'CENT DPA 체결 (Art. 28(3) 전체) (2) EU 리전 운영 또는 적정성 결정 (3) 데이터 주체 권리 협조 (4) 삭제 증명 제공
3. 모델별 종합 판정
3.1. 모델별 적합/조건부/부적합 집계
배포 모델
적합 (O)
조건부 적합 (△)
부적합 (X)
종합 판정
Model A (Zero Cloud) 7 0 0 7개 규제 모두 무조건 적합
Model B (Hybrid) 0 7 0 7개 규제 모두 조건부 적합 (공통 조건 충족 시 적합)
Model C (SaaS) 0 6 1 6개 조건부 + 1개 부적합 (금융기관 망분리)
3.2. Model A (Zero Cloud): 글로벌 규제 안전 선택
항목
평가
7개 규제 종합 한국 4개 + EU 3개 전체 적합 . 추가 조건 없이 규제 적합성 보장.
핵심 강점 (1) 모든 데이터/시스템의 완전한 기업 통제 (2) 금감원/NCA 현장 검사 즉시 대응 (3) 클라우드 관련 규제 이슈 원천 배제 (4) ICT 제3자 의존 없음
약점 높은 인프라 구축/운영 비용 (전산실 보호구역, DR 센터, 보안 관제, IT 인력)
적합 고객 대기업, 은행, 증권사, 대형 VASP, EU 공공기관/국영기업, 군/방산 기업, 국부펀드
규제 관점 포지셔닝 규제 적합성 기준 최우선 권장 모델 . 시장에서 완전 온프레미스를 제공하는 유일 솔루션(Phase 21 경쟁사 벤치마킹 확인).
3.3. Model B (Hybrid): 조건 충족 시 글로벌 적합
항목
평가
7개 규제 종합 7개 모두 조건부 적합 . 공통 조건 패턴: (1) 인증 CSP 사용 (2) 리전별 데이터 저장 (3) 보안 인증/DPA (4) Exit Strategy.
핵심 강점 (1) Model A 대비 인프라 비용 절감 (2) 서명 인프라의 기업 통제 유지 (에어갭 보장) (3) 클라우드 탄력성 활용 (4) 한국/EU 동시 조건부 적합 가능(리전별 데이터 배치)
약점 (1) CSAP/EU 인증 CSP 선택 필요 (2) 금감원/NCA 보고 행정 부담 (3) 클라우드-온프레미스 이원 관리 복잡성 (4) Exit Strategy 수립 부담
적합 고객 중견 금융기관, IT 인프라 제한적 금융회사, 중대형 VASP/거래소, EU CASP 인가 보유 사업자
공통 조건 충족 난이도 Medium -- 주요 CSP(AWS/Azure)가 CSAP/SOC 2/ISO 27001을 이미 보유하고 DORA 약관을 제공하므로, 고객과 D'CENT의 행정적 노력으로 충족 가능.
3.4. Model C (SaaS): 금융기관 제약 / 비금융 조건부 적합
항목
평가
7개 규제 종합 6개 조건부 적합 + 1개 부적합(금융기관 망분리) . 비금융기관에는 7개 모두 조건부 적합.
핵심 강점 (1) 최소 인프라 부담 (2) 에어갭 아키텍처로 콜드월렛 비율 100%/MiCA Art. 68 자산 분리 자동 충족 (3) 빠른 도입/온보딩
약점 (1) 한국 금융기관 망분리 부적합 (구조적 한계, 해소 불가) (2) D'CENT의 ISMS-P/SOC 2/ISO 27001 인증 취득 필요 (3) 금감원 검사 협력 복잡 (4) VASP 해당 여부 법률 불확실성 (5) DORA 집중 리스크
적합 고객 비금융기관(일반 기업, Web3 스타트업), 소규모 VASP, EU 비금융 기업, 초기 도입 후 Model B/A 전환 예정 고객
부적합 해소 가능 여부 불가 -- 망분리 부적합은 SaaS의 구조적 한계(인터넷 기반 접근)에서 기인. 2025-2026 완화 정책도 커스터디(중요업무)에 미적용.
4. 사각지대 분석
4.1. 3모델 모두 부적합한 규제-고객 조합
종합 매트릭스 21셀 분석 결과: 7개 규제 프레임워크 중 3개 모델이 모두 부적합 한 규제는 없다. Model A가 7개 규제 모두 적합이므로, 어떤 규제 환경에서든 최소 1개 이상의 적합 모델이 존재한다.
그러나 특정 고객 유형에서 사실상 선택지가 제한되는 사각지대 가 존재한다:
#
사각지대
적용 규제
부적합/제약 모델
사실상 유일 적합 모델
Phase 23 입력
1
한국 은행/증권사의 Model A 의존 전자금융감독규정 + 망분리 + ISMS-P + 특금법
Model C 부적합 (망분리), Model B 4개 조건부
Model A만 4개 전체 적합 Model A의 인프라 부담 완화 방안 필요
2
소규모 고객의 Model A 비현실성 모든 규제
Model A 적합이나 인프라 비용 감당 불가
Model B/C만 현실적
소규모 고객 전용 경량 Model B 변형 검토
3
한국 금융기관 + 인프라 미보유 전자금융감독규정 + 망분리
Model C 부적합, Model A 인프라 없음
Model B가 유일 현실적 선택 Model B의 금융기관 대응 강화 설계
4.2. 조건부 적합 셀의 충족 난이도 평가
총 13개 조건부 적합 셀(Model B 7개 + Model C 6개)의 조건 충족 난이도를 평가한다.
Model B -- 조건 충족 난이도:
규제
난이도
근거
전자금융감독규정
Low CSAP CSP(AWS Seoul 등) 선택 + 금감원 보고는 표준 절차.
망분리
Medium VPN/전용선 구성은 기술적 표준이나, "중요업무" 판정 시 추가 보호조치 필요.
ISMS-P
Low CSAP CSP + CMEK + IAM 통합은 CSP 제공 기능으로 충족 가능.
특금법
Low 콜드월렛 100% 자동 충족. 데이터 추출 도구 개발이 추가 필요.
MiCA
Low CSP의 기존 보안 인증(SOC 2/ISO 27001)과 SLA로 충족.
DORA
Medium CSP DORA 약관 적용은 가능하나, ICT 제3자 등록부 관리/모니터링이 행정 부담.
GDPR
Low EU 리전 CSP 사용 + 표준 DPA(AWS/Azure 제공)로 충족.
Model C -- 조건 충족 난이도:
규제
난이도
근거
전자금융감독규정
High D'CENT ISMS-P 인증(6-12개월/5,000만-1억원) + 멀티테넌트 격리 증명 필요.
ISMS-P
High D'CENT 자체 ISMS-P 인증 + 고객 인증 범위 확대에 따른 심사 복잡성.
특금법
High D'CENT VASP 해당 여부 법률 불확실성 + 금감원 검사 협력 계약 체결 필요.
MiCA
Medium D'CENT SOC 2/ISO 27001 취득(기존 미보유) + NCA 수용 불확실성.
DORA
Medium 포괄적 DORA 계약 체결 + 집중 리스크 관리. 계약 복잡성 높음.
GDPR
Medium D'CENT 맞춤 DPA 작성 + EU 리전 운영 또는 적정성 결정 관리.
4.3. 사각지대 해소 방향 (Phase 23 입력)
#
사각지대
해소 방향
Phase 23 설계 입력
1
한국 은행/증권사 Model A 의존
Model A 경량화 변형 (Model A-Lite) -- 관리형 온프레미스로 D'CENT이 초기 구축/운영 지원을 제공하되, 인프라는 고객 데이터센터에 위치. 규제 적합성은 Model A와 동일하게 유지하면서 운영 부담 감소.Model A-Lite 아키텍처 설계, 운영 지원 범위 정의
2
소규모 고객 Model A 비현실성
Model B 경량 변형 -- 최소 구성의 Hybrid 모델. 소규모 고객의 인프라/비용 제약에 맞춘 경량화. Graduate-in-Place 경로에서 Model C → Model B-Lite → Model B → Model A 전환 지원.Model B-Lite 최소 구성 정의
3
한국 금융기관 + 인프라 미보유
Model B 금융기관 패키지 -- CSAP CSP(AWS Seoul/NHN Cloud) + VPN + 금감원 보고 템플릿을 패키지로 제공. 금융기관의 행정 부담 최소화.금융기관 대응 패키지 구성, 규제 보고 템플릿
5. 교차 분석: 한국 vs EU 규제 패턴
5.1. 배포 모델별 한국-EU 동시 적합성
배포 모델
한국 적합성 (4규제)
EU 적합성 (3규제)
글로벌 동시 적합성
Model A 4/4 적합
3/3 적합
양쪽 모두 무조건 적합 -- 글로벌 안전 선택
Model B 4/4 조건부 적합 (국내 리전)
3/3 조건부 적합 (EU 리전)
양쪽 모두 조건부 적합 -- 리전별 데이터 배치로 동시 충족 가능
Model C (금융) 부적합 (망분리)조건부 적합 (위탁 계약)
한국 금융기관 불가, EU에서만 조건부 가능
Model C (비금융) 조건부 적합
조건부 적합
양쪽 모두 조건부 적합
5.2. 핵심 규제 차이와 시사점
비교 항목
한국
EU
시사점
Model C 금융기관 허용 불허 (망분리 구조적 위배)조건부 허용 (위탁 프레임워크)한국 망분리가 Model C의 가장 강력한 제약. EU는 계약/감독으로 대응.
데이터 소재지 강제 (국내 저장 의무)간접 제한 (적정성 결정으로 완화)한국이 더 엄격. Model B/C에서 리전 선택이 한국 규제 충족의 핵심.
에어갭 강점 패턴 콜드월렛 보관 비율 100% 자동 충족
Art. 68 자산 분리 보관 자동 충족
양쪽 동일 패턴 -- D'CENT 에어갭 아키텍처의 구조적 규제 강점
위탁 프레임워크 간접 규제 (전자금융감독규정 + 특금법)
명시적 규제 (MiCA Art. 70 + DORA Art. 28-29)
EU가 위탁 관리 체계가 더 체계적. Model C의 EU 대응이 한국보다 명확.
6. 배포 모델 우선순위 권장 (규제 적합성 기준)
6.1. 규제 적합성 기준 종합 순위
순위
배포 모델
적합 셀 수
부적합 셀 수
종합 규제 리스크
권장 대상
1순위 Model A (Zero Cloud) 7/7 (100%)
0
최소 규제 민감 고객, 금융기관, 대기업
2순위 Model B (Hybrid) 0/7 (조건부)
0
낮음 (조건 충족 시)중견 기업, 인프라 제한 금융기관, VASP
3순위 Model C (SaaS) 0/7 (조건부)
1 (금융 망분리)
중간~높음 비금융 기업, 소규모 VASP, 스타트업
6.2. D'CENT 구조적 강점 요약 (규제 관점)
모든 배포 모델에서 일관적으로 규제 적합성을 강화하는 D'CENT 에어갭 아키텍처의 구조적 강점:
#
구조적 강점
한국 규제 효과
EU 규제 효과
1
에어갭 100% 콜드월렛 가상자산이용자보호법 콜드월렛 비율 80%+ 의무 자동 충족 (100%)
MiCA Art. 68 자산 분리 보관 자동 충족
2
프라이빗 키 SE 전용 보관 키 접근 경로 원천 차단 → 보안 사고 리스크 최소화
CASP 자체 자산 분리 보장 → 배상 리스크 최소화
3
벤더 키 접근 0% 수탁 여부 논란 회피 (Model C에서도 키 비보관)
CASP 해당 범위 최소화 가능
4
SE 하드웨어 정책 사본 SaaS 모델에서도 기업의 물리적 통제 일부 보장
위탁 시에도 고객 통제 유지 증빙
7. Phase 23 전달 사항
본 매트릭스에서 식별된 사각지대와 보완 필요 사항을 Phase 23(보완 설계 및 기존 산출물 업데이트)에 전달한다.
7.1. 보완 설계 입력
#
항목
상세
우선순위
1
Model A-Lite 변형 검토 한국 은행/증권사의 운영 부담 완화를 위한 관리형 온프레미스. 규제 적합성은 Model A 유지.
높음
2
Model B 금융기관 패키지 CSAP CSP + VPN + 금감원 보고 템플릿 + 망분리 대응 가이드를 패키지화.
높음
3
Model C 비금융 전용 최적화 망분리 비적용 고객 전용 Model C 경량 온보딩 패키지. Graduate-in-Place 경로 명확화.
중간
4
D'CENT 인증 로드맵 ISMS-P, SOC 2 Type II, ISO 27001, CCSS Level 2/3 취득 로드맵 (Model C 운영 전제 조건).
높음
7.2. 기존 산출물 업데이트 필요 항목
#
기존 산출물
업데이트 사항
1
on-premise-zero-cloud.mdModel A-Lite 변형 반영, 금융기관 규제 적합성 강점 명시
2
compliance-architecture-matrix.md7x3 종합 매트릭스 결과 통합, 모델별 규제 리스크 프로파일 추가
3
security-certifications.mdD'CENT 인증 로드맵(ISMS-P/SOC 2/ISO 27001/CCSS) 추가
4
business-model.md규제 적합성 기반 GTM 전략 업데이트, 고객 세그먼트별 권장 모델 반영
8. 참고: 개별 Phase 매트릭스 출처
규제
Phase
문서
셀 수
전자금융감독규정
20-01
electronic-finance-network-separation.md 4.1절3셀
금융보안원 망분리
20-01
electronic-finance-network-separation.md 4.1절3셀
ISMS-P
20-02
isms-p-virtual-asset-act.md 4.1절3셀
특금법
20-02
isms-p-virtual-asset-act.md 4.1절3셀
MiCA
21-01
mica-dora-assessment.md 4.1절3셀
DORA
21-01
mica-dora-assessment.md 4.1절3셀
GDPR
21-02
gdpr-eu-regulatory-matrix.md 4.1절3셀
합계 21셀
관련 문서