v0.0

재해 복구 및 키 백업 절차 설계서¶

1. Executive Summary¶

본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션의 재해 복구(Disaster Recovery) 및 키 백업 절차를 설계한다. 5가지 재해 시나리오별 RTO/RPO를 정의하고, 금속 시드 백업, 지리적 분산 보관, 디바이스 교체, 복구 드릴 프레임워크를 포함한 종합적 복구 체계를 수립한다.

핵심 원칙: - 키 데이터는 어떤 재해 상황에서도 복구 가능해야 함 (RPO = 0) - 에어갭 원칙은 복구 과정에서도 절대 위반하지 않음 - SSS(Shamir's Secret Sharing)는 시드 백업 분산에만 제한적 사용 — 서명 키 분할에는 사용 금지 (CLAUDE.md 준수) - 정기 복구 드릴로 복구 절차의 실효성을 지속 검증

규제 근거: AC-DR-01 (RTO/RPO), AC-DR-02 (시드 백업), AC-DR-04 (디바이스 교체), AC-DR-05 (복구 드릴), AC-KM-03 (키 저장소 이중화), AC-KM-04 (지리적 분산)

2. 재해 시나리오 분류¶

2.1. 5가지 핵심 시나리오¶

#	시나리오	심각도	발생 빈도	영향 범위
DS-01	단일 디바이스 장애 (고장/분실/도난)	중간	중간	해당 서명자 1인
DS-02	사이트 재해 (화재, 자연재해)	높음	낮음	해당 보관 장소 전체
DS-03	서명자 비가용 (장기 부재/사망/해고)	중간	중간	해당 서명자 1인
DS-04	소프트웨어 장애 (대시보드/앱 데이터 손실)	중간	중간	온라인 시스템
DS-05	보안 침해 (키/시드 노출 의심)	최고	낮음	전체 월렛

2.2. 시나리오별 상세¶

DS-01: 단일 디바이스 장애¶

항목	설명
원인	하드웨어 고장, 물리적 파손, 분실, 도난
영향	해당 서명자의 서명 불가 → M-of-N 쿼럼 미달 가능
긴급도	중간 (N > M이면 다른 서명자로 계속 운영 가능)
복구 방법	백업 디바이스 활성화 또는 시드 복원

DS-02: 사이트 재해¶

항목	설명
원인	화재, 홍수, 지진, 건물 접근 불가
영향	해당 보관 장소의 모든 디바이스 + 시드 백업 접근 불가
긴급도	높음 (자산 접근 불가 기간 발생)
복구 방법	지리적 분산 백업에서 복구

DS-03: 서명자 비가용¶

항목	설명
원인	장기 출장/입원, 사망, 해고, 연락 불가
영향	해당 서명자의 서명 불가 → 장기적 쿼럼 영향
긴급도	중간 (단기: 대체 서명자, 장기: 서명자 교체)
복구 방법	대체 서명자 활성화 → 키 세레모니 → 서명자 교체

DS-04: 소프트웨어 장애¶

항목	설명
원인	서버 장애, DB 손상, 랜섬웨어, 설정 오류
영향	대시보드 접근 불가, 트랜잭션 이력 손실 가능
긴급도	높음 (온라인 운영 중단)
복구 방법	서버 백업 복원, 감사 로그 기반 데이터 재구성

DS-05: 보안 침해¶

항목	설명
원인	시드 노출 의심, 키 탈취 시도, 내부자 위협
영향	전체 자산 위험 — 즉시 자산 이전 필요
긴급도	최고 (시간이 공격자의 편)
복구 방법	긴급 자산 이전 → 새 키 세트 생성 → 전체 재구축

3. RTO/RPO 정의¶

3.1. 시나리오별 RTO/RPO¶

시나리오	RTO	RPO	비고
DS-01: 디바이스 장애	4시간	0 (키 무손실)	백업 디바이스 사전 프로비저닝 전제
DS-02: 사이트 재해	24시간	0 (지리적 분산 백업)	원격 백업 사이트 접근 시간 포함
DS-03: 서명자 비가용	2시간 (대체 서명자) / 48시간 (서명자 교체)	0	대체 서명자 사전 지정 전제
DS-04: 소프트웨어 장애	2시간	1시간 (최근 백업)	HA 구성 시 자동 Failover
DS-05: 보안 침해	1시간 (긴급 이전 시작)	0	긴급 프로토콜 즉시 발동

3.2. 복구 우선순위¶

Priority 1 (즉시): 보안 침해 → 자산 보호 최우선
Priority 2 (4시간): 디바이스 장애 → 서명 기능 복원
Priority 3 (24시간): 사이트 재해/소프트웨어 → 전체 운영 복원
Priority 4 (48시간): 서명자 교체 → 장기적 거버넌스 복원

4. 키 백업 전략¶

4.1. 금속 시드 백업 (Metal Seed Backup)¶

항목	사양
형태	BIP-39 니모닉 24단어를 내화/내수 금속 플레이트에 각인
소재	스테인리스 스틸 또는 티타늄 (1,400°C 이상 내열)
복사본 수	최소 2개 (Primary + Secondary)
보관 환경	내화 금고 (UL 350 이상), 습도/온도 통제
접근 통제	물리적 키 + PIN 코드 + 접근 기록 (CCTV)

4.2. 지리적 분산 보관 (AC-KM-04)¶

보관 사이트 구성 (최소 2개, 권장 3개):

Site A (Primary): 본사 보안 금고
 - 주 콜드월렛 + 시드 백업 1
 - 접근 권한: Super Admin + 지정 Admin

Site B (Secondary): 원격 지사 또는 은행 금고
 - 시드 백업 2 + 백업 콜드월렛
 - 접근 권한: 별도 지정 Admin (Site A와 인원 분리)

Site C (Tertiary, 권장): 독립 보관 서비스 또는 법률 사무소
 - 시드 백업 3 (봉인)
 - 접근 권한: Super Admin 2인 동시 출석 + 증인

거리 요건: Site 간 최소 30km 이상 (동일 재해 영향권 회피)

4.3. 백업 무결성 검증 (분기별)¶

검증 절차:

Step 1: 일정 수립 및 참석자 확인 (Admin + 증인)
Step 2: 금속 시드 백업 물리적 상태 확인 (부식, 손상 여부)
Step 3: 시드에서 키 복원 테스트 (별도 테스트 디바이스 사용)
Step 4: 복원된 키에서 파생 주소 검증 (기존 주소와 일치 확인)
Step 5: 검증 결과 기록 (감사 로그)
Step 6: 테스트 디바이스 보안 삭제

4.4. SSS 제한적 사용 (CLAUDE.md 준수)¶

허용 범위: 시드 백업의 물리적 분산 보관 시 추가 보호 계층으로만 사용.

SSS 적용 예시 (3-of-5 시드 분할):
 - 시드 24단어 → SSS로 5개 셰어 분할
 - 3개 이상 셰어 수집 시 시드 복원 가능
 - 5개 셰어를 5개 보관 장소에 분산

주의: 이 SSS는 시드 백업의 분산 보관용이며,
      서명 시 시크릿 재구성이 필요하지 않음.
      서명 키 분할에는 MuSig2 또는 MPC-TSS 사용 (본 문서 범위 외).

5. 디바이스 교체/복구 절차 (AC-DR-04)¶

5.1. 백업 디바이스 사전 프로비저닝¶

항목	설명
수량	서명자 수의 50% (3명이면 2대 백업, 반올림)
보관	초기화 상태로 보관 (키 미생성)
위치	주 콜드월렛과 다른 보관 사이트
갱신	펌웨어 업데이트 시 백업 디바이스도 동시 갱신

5.2. 디바이스 교체 절차¶

장애 디바이스 확인
    │
    ▼
옵션 A: 시드 복원 (권장 — 빠름)
  Step 1: 백업 디바이스 수령 (Site B)
  Step 2: 시드 백업 수령 (해당 서명자의 금속 시드)
  Step 3: 백업 디바이스에 시드 입력 → 키 복원
  Step 4: 복원된 키의 주소 검증 (기존 주소 일치 확인)
  Step 5: 정상 운영 재개

옵션 B: 새 키 생성 + 자산 이전 (보안 우선 — 느림)
  Step 1: 키 세레모니 실행 (key-ceremony.md 참조)
  Step 2: 새 키 세트 생성
  Step 3: 다중 서명 재구성 (새 공개키 등록)
  Step 4: 기존 월렛에서 새 월렛으로 자산 이전
  Step 5: 기존 키 폐기 및 감사 기록

옵션 선택 기준: | 상황 | 권장 옵션 | |------|----------| | 디바이스 단순 고장 (시드 안전) | 옵션 A | | 디바이스 도난 (시드 노출 가능) | 옵션 B | | 디바이스 분실 (원인 불명) | 옵션 B (보안 우선) |

6. 복구 드릴 프레임워크 (AC-DR-05)¶

6.1. 드릴 주기 및 유형¶

드릴 유형	주기	참여자	목적
테이블톱 드릴	분기	Admin + 서명자 대표	절차 검토, 역할 확인
부분 복구 드릴	반기	Admin + 서명자 전원	실제 백업 디바이스로 복원 테스트
전체 복구 드릴	연간	전원 + 증인	전체 시나리오 시뮬레이션 (DS-01~DS-05)

6.2. 드릴 시나리오 (분기별 로테이션)¶

Q	시나리오	드릴 내용
Q1	DS-01: 디바이스 장애	백업 디바이스 활성화, 시드 복원, 테스트 TX
Q2	DS-03: 서명자 비가용	대체 서명자 활성화, 대체 서명자로 TX 서명
Q3	DS-05: 보안 침해	긴급 자산 이전 시뮬레이션 (테스트넷)
Q4	DS-02: 사이트 재해	원격 사이트에서 전체 복구 시뮬레이션

6.3. 드릴 성공 기준¶

기준	측정 방법	합격
RTO 달성	드릴 시작~복구 완료 시간	시나리오별 RTO 이내
키 복원 성공	시드에서 키 복원 → 주소 일치	100%
테스트 TX 성공	복원된 키로 테스트넷 TX 서명+전파	성공
절차 준수	체크리스트 항목 충족률	95% 이상
참여율	지정 참여자 출석률	90% 이상

6.4. 드릴 결과 기록¶

Disaster Recovery Drill Report
├── 드릴 일시, 참석자 목록
├── 시나리오 설명
├── 시간별 진행 기록
├── 성공 기준별 결과 (합격/불합격)
├── 발견된 문제점
├── 개선 조치 사항 (담당자, 기한)
└── 다음 드릴 일정

7. 보안 침해 대응 (DS-05)¶

7.1. 비상 절차¶

보안 침해 의심 감지
    │
    ▼
Step 1: 즉시 격리 (5분 이내)
 - 의심 디바이스 사용 중단
 - 해당 서명자의 대시보드/앱 접근 차단
 - 관련 대기 TX 모두 동결
    │
    ▼
Step 2: 긴급 자산 이전 (1시간 이내)
 - 긴급 프로토콜 발동 (축소 쿼럼 — multisig-workflow.md 참조)
 - 모든 자산을 사전 준비된 긴급 월렛으로 이전
 - 긴급 월렛: 별도 키 세트, 별도 다중 서명 구성
    │
    ▼
Step 3: 새 키 세트 생성 (24시간 이내)
 - 긴급 키 세레모니 실행 (key-ceremony.md 긴급 모드)
 - 새 키 세트로 영구 월렛 구성
    │
    ▼
Step 4: 자산 최종 이전 (48시간 이내)
 - 긴급 월렛 → 새 영구 월렛으로 이전
    │
    ▼
Step 5: 사후 분석 (7일 이내)
 - 침해 원인 분석
 - 대응 절차 검토
 - 개선 조치 수립
 - 규제 기관 보고 (필요 시)

7.2. 긴급 월렛 사전 준비¶

항목	설명
생성 시점	최초 키 세레모니 시 함께 생성
키 세트	주 키 세트와 완전히 독립
M-of-N	주 월렛과 동일 또는 축소 구성
사용 조건	보안 침해 시에만 사용 (일상 사용 금지)
검증	분기별 잔액 확인 (소액 테스트 자산 보유)

8. 컴플라이언스 매핑¶

제약조건 ID	설명	충족 방식
AC-DR-01	RTO/RPO 정의	5가지 시나리오별 RTO/RPO 명확히 정의
AC-DR-02	시드 백업 (금속 시드, 지리적 분산)	금속 플레이트, 최소 2사이트, 분기별 검증
AC-DR-04	디바이스 교체/복구 절차	2가지 옵션 (시드 복원/새 키 생성), 백업 디바이스 사전 프로비저닝
AC-DR-05	정기 복구 드릴	분기/반기/연간 드릴, 시나리오 로테이션, 성공 기준
AC-KM-03	키 저장소 이중화	Primary 디바이스 + 금속 시드 백업
AC-KM-04	지리적 분산 키 저장	최소 2사이트, 30km 이상 분리

본 문서는 Phase 3 Core Product Design의 일부로, 키 복구 시나리오가 키 세레모니(key-ceremony.md)의 복구 모드를 트리거한다. 다중 서명 워크플로우(multisig-workflow.md)의 긴급 승인 체계와 연계되어 보안 침해 대응의 서명 수집 절차를 정의한다.