v0.5
개인 서명 기기 적합성 평가 및 최소 하드웨어 요구사항¶
1. 기기 유형별 적합성 평가 매트릭스¶
1.1. 평가 대상 및 기준¶
Phase 24에서 확정된 옵션 A(오프체인 승인 + 온체인 마스터 서명 완전 분리) 아키텍처를 물리적으로 구현할 개인 서명 기기를 선정하기 위해, D'CENT이 보유한 3가지 하드웨어 기기 유형을 4개 축으로 평가한다.
평가 대상:
| 기기 유형 | 모델명 | 주요 특징 |
|---|---|---|
| D'CENT 바이오메트릭 월렛 | D'CENT Biometric Wallet | OLED 디스플레이, 지문 센서, SE(EAL5+), NFC/USB-C/BLE |
| D'CENT 카드 타입 월렛 | D'CENT Card Wallet | 카드 형태, 지문 센서, SE(EAL5+), NFC 전용, 디스플레이 없음 |
| D'CENT X | D'CENT X | 대형 터치 디스플레이, 지문 센서, SE(EAL6+), NFC/USB-C/BLE, QR 카메라 |
평가 축:
- WYSIWYS (What You See Is What You Sign) — TX 내용 확인 가능성
- 통신 — 에어갭 통신 채널 지원 범위
- 인증 — 본인 확인 방식 및 SE 키 보호 수준
- 비용 — 단가 및 대량 배포 용이성
1.2. 4축 상세 평가¶
1.2.1. WYSIWYS 평가¶
Phase 24에서 정의한 EIP-712 WYSIWYS 3계층 파싱(기본 필드/알려진 컨트랙트/미지 컨트랙트) 지원 가능성을 기기별로 평가한다.
| 평가 항목 | 바이오메트릭 | 카드 | D'CENT X |
|---|---|---|---|
| 디스플레이 유무 | O (OLED 128x64) | X (없음) | O (터치 LCD 320x480) |
| TX 금액 표시 | O | X | O |
| 수신 주소 전체 표시 | 부분 (스크롤) | X | O (전체 표시) |
| EIP-712 Layer 1 (기본 필드) | O | X | O |
| EIP-712 Layer 2 (알려진 컨트랙트) | O (축약) | X | O (상세) |
| EIP-712 Layer 3 (미지 컨트랙트 경고) | O | X | O |
delegatecall (operation=1) 경고 |
O | X | O |
| WYSIWYS 점수 | 8/10 | 0/10 | 10/10 |
카드 타입은 디스플레이가 없어 WYSIWYS가 물리적으로 불가능하다. Phase 24-03에서 이미 "고액 TX 시 카드 타입 승인 차단" 결정이 내려졌다.
1.2.2. 통신 평가¶
Zone 3+ TB-7 에어갭 요구사항(QR/NFC만 허용, BLE 비활성화 강제)을 기준으로 평가한다.
| 평가 항목 | 바이오메트릭 | 카드 | D'CENT X |
|---|---|---|---|
| NFC ISO 14443 Type A/B | O | O | O |
| NFC APDU (ISO 7816-4) | O | O | O |
| QR 카메라 (수신) | X | X | O |
| QR 디스플레이 (송신) | 부분 (소형 OLED) | X | O (대형 LCD) |
| UR type 45052 ApprovalBundle 지원 가능 | O (NFC) | O (NFC) | O (QR+NFC) |
| USB-C | O | X | O |
| BLE | 비활성화(강제) | 해당 없음 | 비활성화(강제) |
| Animated QR 지원 | 제한적 | X | O |
| 통신 점수 | 6/10 | 4/10 | 10/10 |
D'CENT X는 QR 카메라 + 대형 디스플레이를 갖추어 Animated QR 배치 전송(Phase 27 연계)에 최적이다. 바이오메트릭은 NFC 기반으로 충분하나 QR 수신이 불가하다. 카드는 NFC만 가능하나 에어갭 기본 요건은 충족한다.
1.2.3. 인증 평가¶
| 평가 항목 | 바이오메트릭 | 카드 | D'CENT X |
|---|---|---|---|
| 지문 인증 | O | O | O |
| PIN 인증 | O (폴백) | X (지문 전용) | O (폴백) |
| SE 등급 | CC EAL5+ | CC EAL5+ | CC EAL6+ |
| approval_sk SE 내부 생성 | O | O | O |
| approval_sk 비추출(exportable=false) | O | O | O |
| 인증 실패 잠금 | O (설정 가능) | O (3회→잠금) | O (설정 가능) |
| 인증 실패 와이프 | O (10회) | O (10회) | O (설정 가능) |
| SE attestation chain | O | O | O |
| 인증 점수 | 9/10 | 7/10 | 10/10 |
세 기기 모두 EAL5+ 이상의 SE에서 approval_sk를 안전하게 생성/보관할 수 있다. D'CENT X는 EAL6+로 최고 등급이다. 카드 타입은 PIN 폴백이 없어 지문 인식 실패 시 대안이 제한적이다.
1.2.4. 비용 평가¶
| 평가 항목 | 바이오메트릭 | 카드 | D'CENT X |
|---|---|---|---|
| 단가 범위 | 중 ($$) | 저 ($) | 고 ($$$) |
| 대량 구매 할인 가능성 | 높음 | 높음 | 중간 |
| 배포 용이성 | 보통 (충전 필요) | 높음 (배터리 불필요) | 보통 (충전 필요) |
| 교체 비용 | 중간 | 낮음 | 높음 |
| 내구성 | 보통 | 높음 (카드 형태) | 보통 |
| 분실 위험 | 중간 (소형 기기) | 높음 (지갑 보관, 혼동 가능) | 낮음 (대형 기기) |
| 비용 점수 | 7/10 | 9/10 | 5/10 |
1.3. 종합 평가 매트릭스¶
| 평가 축 | 가중치 | 바이오메트릭 | 카드 | D'CENT X |
|---|---|---|---|---|
| WYSIWYS | 35% | 8 (2.80) | 0 (0.00) | 10 (3.50) |
| 통신 | 25% | 6 (1.50) | 4 (1.00) | 10 (2.50) |
| 인증 | 25% | 9 (2.25) | 7 (1.75) | 10 (2.50) |
| 비용 | 15% | 7 (1.05) | 9 (1.35) | 5 (0.75) |
| 가중 총점 | 100% | 7.60 | 4.10 | 9.25 |
| 순위 | 2위 | 3위 | 1위 |
가중치 설정 근거: 엔터프라이즈 콜드 커스터디 환경에서 보안(WYSIWYS + 인증)이 60%로 최우선이며, 에어갭 통신 호환성 25%, 비용은 기관 고객 특성상 15%로 설정. CCSS Level 2/3에서 WYSIWYS는 필수 요건이므로 가장 높은 가중치를 부여.
2. 용도별 기기 허용 조건¶
2.1. 용도 분류 기준¶
| 용도 | 정의 | 위험 수준 | WYSIWYS 필요도 |
|---|---|---|---|
| 고액 TX 승인 | 일일 한도의 10% 이상 또는 절대 금액 기준 초과 TX | 높음 | 필수 |
| 저액 TX 승인 | 일일 한도의 10% 미만 TX | 중간 | 권장 |
| 비금전 승인 | 정책 변경, 기기 등록/해제, 화이트리스트 수정 등 | 낮음~중간 | 선택 |
2.2. 기기-용도 허용 매트릭스¶
| 용도 | 바이오메트릭 | 카드 | D'CENT X | 근거 |
|---|---|---|---|---|
| 고액 TX 승인 | O (허용) | X (차단) | O (권장) | WYSIWYS 필수 — 카드는 디스플레이 없어 TX 내용 확인 불가. Bybit 교훈상 고액 TX 블라인드 서명은 반드시 차단 |
| 저액 TX 승인 | O (허용) | O (조건부 허용) | O (허용) | 카드는 NFC 탭 + 지문으로 간소 승인. 일일 한도 10% 미만이며, 콜드월렛 SE의 WYSIWYS가 2차 확인 역할 수행 |
| 비금전 승인 | O (허용) | O (허용) | O (허용) | 정책 변경 등은 금전 손실 직접 위험 낮음. 단, 정족수 변경/Admin 교체 등 중요 정책은 바이오메트릭/D'CENT X 권장 |
| delegatecall TX | O (경고 표시) | X (차단) | O (경고 표시) | operation=1은 컨트랙트 로직 교체 가능하여 Bybit 패턴 해당. WYSIWYS 경고 필수 |
| 미지 컨트랙트 고액 TX | X (차단) | X (차단) | X (차단) | 모든 기기에서 미지 컨트랙트 고액 TX 블라인드 서명 차단 (Phase 24 EVM 설계 일관) |
2.3. 카드 타입 허용 상세 조건¶
Phase 24-03에서 결정된 "카드 타입 저액/비금전만 허용" 원칙을 구체화한다.
허용 조건:
| 조건 | 값 | 설정 주체 |
|---|---|---|
| TX 금액 상한 | 일일 한도의 10% 또는 정책 엔진 설정값 | Admin (대시보드 정책 설정) |
| 허용 TX 유형 | ETH/BTC 단순 전송, 화이트리스트 주소 전송 | Admin (정책 설정) |
| 차단 TX 유형 | delegatecall, 미지 컨트랙트 호출, 컨트랙트 배포 | 시스템 (펌웨어 하드코딩) |
| 비금전 허용 범위 | 화이트리스트 추가/제거, 일일 한도 조정(하향만) | Admin (정책 설정) |
| 비금전 차단 범위 | 정족수 변경, Admin/Super Admin 교체, 키 등록/폐기 | 시스템 (펌웨어 하드코딩) |
카드 타입 저액 승인 흐름:
1. 오프라인 앱 → NFC APDU (INS 0x50) → 카드 SE
2. 카드 SE: ApprovalRequest 수신 → CBOR 디코딩 → 금액 한도 검증
- 한도 초과 시: SW 0x6985 (CONDITIONS_NOT_SATISFIED) 반환 → 거부
- delegatecall 감지 시: SW 0x6986 (COMMAND_NOT_ALLOWED) 반환 → 거부
3. 한도 이내 시: 지문 센서 활성화 → 지문 인증
4. 인증 성공: ECDSA 승인 서명 생성 → NFC APDU (INS 0x51) → 응답
3. 최소 하드웨어 요구사항¶
개인 서명 기기가 옵션 A 아키텍처를 지원하기 위한 최소 사양을 MUST(필수)/SHOULD(권장)/MAY(선택) 등급으로 정의한다.
3.1. Secure Element (SE) 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| SE 인증 등급 | MUST | CC EAL5+ 이상 | CCSS Level 2/3 하드웨어 보안 기준. Zone 3+ ABSOLUTE Trust Level 유지 |
| ECDSA secp256k1 지원 | MUST | SE 내부 ECDSA secp256k1 서명 연산 | approval_sk 서명 알고리즘 (Phase 24 설계) |
| TRNG (True Random Number Generator) | MUST | SE 내부 하드웨어 난수 생성기 | approval_sk 독립 엔트로피 생성. 외부 시드 주입 금지 |
| 비휘발성 메모리 (NVM) | MUST | 최소 4KB (approval_sk + 설정 + 감사 로그) | 키 저장, 인증 카운터, 최근 승인 이력 |
| 키 비추출 보장 | MUST | exportable=false 하드웨어 강제 | approval_sk가 SE 외부로 읽히는 것을 원천 차단 |
| Side-channel attack 방어 | MUST | DPA/SPA/EMA 방어 회로 | SE 물리적 공격 방어 |
| Fault injection 방어 | MUST | 글리치 감지 및 방어 | 전압/클럭 조작 공격 방어 |
| SE attestation | SHOULD | 제조사 서명 인증서 체인 | 기기 진위 검증, 위조 기기 방어 |
| Monotonic counter | SHOULD | 하드웨어 단조 카운터 | Anti-rollback, 재사용 공격 방어 |
| CC EAL6+ | MAY | 상위 인증 등급 | 최고 보안 요구 기관용 (D'CENT X 해당) |
3.2. 통신 채널 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| NFC ISO 14443 Type A/B | MUST | NFC 포럼 준수, 통신 거리 4cm 이내 | TB-7 에어갭 1차 통신 채널. 모든 기기 유형 공통 지원 |
| NFC APDU (ISO 7816-4) | MUST | INS 0x50~0x71 명령 세트 지원 | Approval Signing Applet APDU 인터페이스 |
| Extended APDU | SHOULD | 최대 65,535바이트 APDU 지원 | ApprovalBundle이 255바이트 초과 시 단일 APDU 전송 |
| APDU Chaining | MUST | 다중 APDU 분할 전송/수신 | Extended APDU 미지원 시 대체 프로토콜 |
| QR 카메라 | SHOULD | 최소 VGA 해상도 카메라 | UR type 45050/45051/45052 QR 수신. Animated QR 디코딩 |
| QR 디스플레이 | SHOULD | 최소 240x240 해상도 | UR type QR 코드 생성 및 표시 |
| Animated QR 지원 | MAY | UR v2 프레임 시퀀스 인코딩/디코딩 | Phase 27 MuSig2 QR 최적화 연계 |
| USB-C | MAY | 데이터 전송 또는 충전 전용 | 펌웨어 업데이트, 디버그 용도. 승인 데이터 전송은 선택적 |
| BLE | MUST NOT | 엔터프라이즈 펌웨어에서 BLE 완전 비활성화 | CCSS Level 2/3 에어갭 요건. 원격 공격 표면 제거 |
| WiFi | MUST NOT | WiFi 모듈 미탑재 또는 하드웨어 비활성화 | 에어갭 원칙 위반 방지 |
3.3. 인증 방식 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| 생체 인증 (지문) | MUST | FAR < 0.002%, FRR < 3% | 본인 확인 1차 수단. SE 내부 매칭 |
| PIN 인증 | SHOULD | 최소 6자리 숫자 또는 영숫자 | 지문 인식 실패 시 폴백 수단 |
| 인증 실패 잠금 | MUST | 연속 N회(기본 5회) 실패 시 일시 잠금 | 무차별 대입 공격 방어 |
| 인증 실패 와이프 | MUST | 연속 M회(기본 10회) 실패 시 SE 키 소거 | 기기 탈취 후 무차별 대입 최종 방어 |
| 잠금 해제 절차 | SHOULD | Admin 원격 해제 또는 복구 코드 | 의도치 않은 잠금 시 복구 경로 |
| 인증 없는 명령 제한 | MUST | 공개키 조회(0x71), 기기 상태(0x62)만 인증 불필요 | 최소 권한 원칙 |
3.4. WYSIWYS 디스플레이 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| 디스플레이 탑재 | SHOULD | OLED/LCD, 고액 TX 승인 기기는 MUST | 고액 TX WYSIWYS 필수. 저액/비금전은 카드 타입(디스플레이 없음) 허용 |
| 최소 해상도 | SHOULD | 128x64 (OLED) 이상 | TX 금액 + 수신 주소 축약 + 수수료 3줄 표시 가능 |
| 권장 해상도 | MAY | 320x480 (LCD) 이상 | 수신 주소 전체 표시, EIP-712 파싱 상세 표시 |
| TX 정보 필수 표시 항목 | MUST (디스플레이 기기) | 전송 금액, 수신 주소(최소 앞 8 + 뒤 8자), 수수료 | 최소 WYSIWYS 요건 |
| 경고 표시 | MUST (디스플레이 기기) | delegatecall, 미지 컨트랙트, 고액 TX 경고 아이콘/텍스트 | Bybit 방어 (Phase 24 EVM 설계) |
| 물리 확인 버튼 | MUST (디스플레이 기기) | APPROVE/REJECT 물리 버튼 또는 터치 영역 | 소프트웨어 레벨 자동 승인 방지 |
| 스크롤 기능 | SHOULD | 긴 주소/데이터 스크롤 표시 | 전체 정보 확인 가능성 |
3.5. 전원 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| 배터리 수명 | SHOULD | 최소 100회 승인/충전 또는 대기 30일 | 일상 운용에서 잦은 충전 불필요 |
| 승인 1회 소모량 | SHOULD | NFC 수신 + ECDSA 서명 + 디스플레이: < 5mAh | 배터리 수명 산정 기준 |
| 충전 방식 | SHOULD | USB-C 충전 | 표준 충전 케이블 사용 |
| 배터리 없는 기기 (카드) | MAY | NFC 전력 수확(energy harvesting)으로 동작 | 카드 타입은 NFC 리더 전력으로 SE 구동 |
| 저배터리 경고 | SHOULD | 잔여 배터리 20% 이하 시 상태 보고 | DEVICE_STATUS(0x62) 명령으로 배터리 상태 조회 |
3.6. 물리적 요구사항¶
| 항목 | 등급 | 요구사항 | 근거 |
|---|---|---|---|
| 내구성 | SHOULD | IP52 이상 (방진/방적) | 일상 휴대 환경에서의 내구성 |
| 크기 | SHOULD | 바이오메트릭: 신용카드 크기 이내. D'CENT X: 스마트폰 크기 이내 | 휴대성 — 개인 소지 기기이므로 일상 휴대 가능해야 함 |
| 무게 | SHOULD | 100g 이내 (디스플레이 기기), 10g 이내 (카드) | 휴대 부담 최소화 |
| 동작 온도 | SHOULD | -10C ~ +50C | 다양한 기후 환경 대응 |
| 내충격 | MAY | 1.5m 낙하 테스트 통과 | 일상 낙하 사고 대비 |
| 보안 인쇄/식별 | SHOULD | 기기 고유 시리얼 번호 물리 각인 | 기기 식별, 자산 관리 |
| Tamper detection | MAY | SE 접근 시도 감지 시 키 소거 | 물리적 SE 추출 공격 방어 (고보안 기관용) |
4. 기기 유형별 적합성 결론¶
4.1. 권장 기기 선정¶
1순위: D'CENT X (종합 9.25/10)¶
권장 용도: 모든 용도 (고액/저액/비금전 TX 승인)
| 강점 | 상세 |
|---|---|
| 최고 WYSIWYS | 대형 터치 디스플레이로 EIP-712 3계층 파싱 완전 표시. 수신 주소 전체 확인 가능 |
| 듀얼 통신 | QR 카메라 + NFC 동시 지원. Animated QR 배치 전송(Phase 27) 최적 |
| 최고 보안 | CC EAL6+ SE. 지문 + PIN 듀얼 인증 |
| FROST-ready | QR + NFC 듀얼 채널로 향후 FROST 프로토콜 라운드 데이터 교환에 유연 대응 |
약점: 높은 단가, 상대적으로 큰 크기
2순위: D'CENT 바이오메트릭 (종합 7.60/10)¶
권장 용도: 고액/저액/비금전 TX 승인 (범용)
| 강점 | 상세 |
|---|---|
| 충분한 WYSIWYS | OLED 디스플레이로 핵심 TX 정보 확인 가능. delegatecall 경고 표시 가능 |
| 중간 비용 | D'CENT X 대비 저렴하여 대규모 배포에 적합 |
| 검증된 제품 | 기존 D'CENT 생태계에서 가장 널리 사용되어 안정성 검증됨 |
| NFC + USB-C | NFC APDU 기반 승인 완전 지원 |
약점: QR 카메라 미탑재(Animated QR 수신 불가), OLED 크기 제한으로 긴 주소 스크롤 필요
3순위: D'CENT 카드 (종합 4.10/10, 제한적 허용)¶
허용 용도: 저액 TX 승인, 비금전 승인 전용
| 강점 | 상세 |
|---|---|
| 최저 비용 | 대량 배포 시 비용 효율 최고 |
| 배터리 불필요 | NFC 전력 수확으로 동작. 충전 관리 부담 없음 |
| 높은 내구성 | 카드 형태로 지갑 보관 가능. 물리적 파손 위험 낮음 |
약점 및 제한: WYSIWYS 완전 불가(디스플레이 없음), PIN 폴백 없음, QR 미지원. 고액 TX/delegatecall TX 승인 차단 필수.
4.2. 배포 시나리오별 권장 조합¶
시나리오 1: 대형 금융기관 (3-of-5 승인 구조)¶
| 역할 | 기기 | 수량 | 근거 |
|---|---|---|---|
| Approver (고액 권한) | D'CENT X | 3대 | 최고 보안 WYSIWYS, EIP-712 완전 파싱 |
| Approver (저액/비금전) | 바이오메트릭 | 2대 | 비상 백업 겸 저액 전용 승인자 |
| 합계 | 5대 | 고액 3-of-5 중 3대 D'CENT X 보장 |
금융기관은 CCSS Level 3 + 규제 감사 요건으로 WYSIWYS 최고 수준 필요. 고액 TX는 반드시 D'CENT X 보유 Approver가 과반을 차지해야 함.
시나리오 2: 중소기업/스타트업 (2-of-3 승인 구조)¶
| 역할 | 기기 | 수량 | 근거 |
|---|---|---|---|
| Approver (전 용도) | 바이오메트릭 | 3대 | 비용 대비 충분한 WYSIWYS. NFC 기반 승인 |
| 합계 | 3대 | 비용 효율 + 보안 균형 |
바이오메트릭 월렛으로 고액/저액/비금전 모두 처리 가능. D'CENT X 대비 비용 절감.
시나리오 3: 혼합 배포 (5-of-7 승인 구조)¶
| 역할 | 기기 | 수량 | 근거 |
|---|---|---|---|
| Approver (고액 권한) | D'CENT X | 3대 | 핵심 승인자 — WYSIWYS 완전 표시 |
| Approver (범용) | 바이오메트릭 | 2대 | 보조 승인자 — 원격 저액 승인 |
| Approver (저액/비금전 전용) | 카드 | 2대 | 비상 백업 — 저액/비금전만 허용 |
| 합계 | 7대 | 기기 다양성으로 비용 최적화 + SPOF 방지 |
혼합 배포 시, 정족수(5대) 중 D'CENT X + 바이오메트릭이 최소 5대를 구성하여 고액 TX 정족수를 보장해야 함. 카드 2대는 보조 역할.
4.3. Phase 24 결정사항 재확인¶
| Phase 24 결정 | 본 문서 반영 | 상세 |
|---|---|---|
| 카드 타입 고액 TX 차단 | 섹션 2.2 매트릭스에서 명시적 차단 | WYSIWYS 불가로 인한 블라인드 서명 방지 |
| BLE 비활성화 강제 | 섹션 3.2 MUST NOT 등급 명시 | CCSS Level 2/3 에어갭 요건 |
| Zone 3+ Trust Level ABSOLUTE | 섹션 3.1 SE EAL5+ MUST | Zone 3과 동일한 하드웨어 보안 수준 |
| EIP-712 WYSIWYS 3계층 파싱 | 섹션 1.2.1에서 기기별 지원 수준 평가 | 미지 컨트랙트 고액 TX 블라인드 서명 차단 |
| delegatecall 경고 표시 | 섹션 2.2에서 기기별 대응 명시 | Bybit 교훈 반영 |
설계 기준: option-evaluation.md 옵션 A 채택 결과, zone3plus-security-architecture.md Zone 3+ Trust Level 및 TB-7 에어갭 요구사항 참조: btc-implementation.md ApprovalBundle CBOR 스키마, evm-implementation.md EIP-712 WYSIWYS 파싱 Phase 24 주요 결정: 카드 타입 고액 차단, BLE 비활성화, 5단계 파이프라인 approval_sk 독립성
관련 문서¶
- 엔터프라이즈 펌웨어 요구사항 -- 펌웨어 요구사항
- 개인 기기 키 5단계 라이프사이클 설계 -- 펌웨어 요구사항