v0.2

Layer 1 E2E 핵심 플로우 (End-to-End Core Flow)

1. Executive Summary

본 문서는 D'CENT Enterprise 커스터디 솔루션의 Layer 1 E2E 핵심 플로우를 정의한다. Phase 12에서 확정된 3계층 레이어드 문서 구조(Layer 1 Core Flow / Layer 2 Segment Delta / Layer 3 Environment Annotation)의 E2E 버전으로서, 도입부터 긴급 대응까지 전체 제품 여정을 세그먼트/환경 중립적으로 기술한다.

signing-core-flow.md와의 관계:

signing-core-flow.md(Phase 13)는 서명 절차(Step 1~9)에 한정된 Layer 1이다. 본 문서는 그 서명 절차를 포함하는 상위 레벨 E2E 플로우로서, 도입(Adoption) -> 온보딩(Onboarding) -> 일상 운영(Daily Operations) -> 관리(Administration) -> 긴급 대응(Emergency Response)의 5단계 전체 여정을 다룬다.

설계 원칙:

• 세그먼트 중립: 셀프 커스터디/수탁 사업자/토큰 발행 주체에 대한 언급 없음 (Layer 2 Delta에서 처리)
• 환경 중립: 콜드룸/비콜드룸 물리 환경에 대한 언급 없음 (Layer 3 Annotation에서 처리)
• "Same digital flow, different physical envelope" 원칙 완전 준수
• 번호부 Step 체계: 각 단계 내 번호부 Step을 부여하여 Layer 2/3이 [Delta] {단계명} Step N: 또는 [Annotation] Before/After {단계명} Step N: 형식으로 참조

Step 참조 체계:

단계	Step 범위	Layer 2 참조 형식	Layer 3 참조 형식
도입	A-Step 1 ~ A-Step 5	[Delta] Adoption Step N:	[Annotation] Before/After Adoption Step N:
온보딩	O-Step 1 ~ O-Step 8	[Delta] Onboarding Step N:	[Annotation] Before/After Onboarding Step N:
일상 운영	D-Step 1 ~ D-Step 5	[Delta] Daily Step N:	[Annotation] Before/After Daily Step N:
관리	M-Step 1 ~ M-Step 6	[Delta] Admin Step N:	[Annotation] Before/After Admin Step N:
긴급 대응	E-Step 1 ~ E-Step 5	[Delta] Emergency Step N:	[Annotation] Before/After Emergency Step N:

적용 범위: S1~S8 전체 시나리오.

---

2. 도입 (Adoption)

솔루션 평가부터 계약/라이선스 확보까지의 사전 준비 단계. 이 단계가 완료되어야 온보딩에 진입할 수 있다.

A-Step 1: 보안 요건 평가

• 시작 조건: 조직이 암호화폐 자산 보관/관리 솔루션 도입을 결정
• 액션:
• 현재 자산 보관 현황 파악 (자산 유형, 규모, 보관 방식, 위험 노출도)
• 내부 보안 정책 확인 (키 관리 정책, 접근 통제 정책, 사고 대응 체계 유무)
• 외부 규제 요건 파악 (관할권별 적용 규제, 인증 요건, 보고 의무)
• 보안 목표 수준 설정 (CCSS Level 목표, SOC 2/ISO 27001 인증 계획)
• 산출물: 보안 요건 평가 보고서 (현황, 목표, 갭 분석)
• 게이트: 보안 요건이 D'CENT Enterprise 지원 범위 내인지 확인

A-Step 2: 배포 모델 선택

• 시작 조건: A-Step 1 보안 요건 평가 완료
• 액션:
• IT 역량 평가 (전담 인력, 인프라 운영 경험, 데이터센터 보유 여부)
• 데이터 주권 요건 확인 (온프레미스 필수 여부, 클라우드 허용 범위)
• 배포 모델 3개 비교 (Zero Cloud / Hybrid / SaaS)
  • Zero Cloud: 모든 인프라 자체 운영, IT 인력 2-3명 풀타임 필요
  • Hybrid: 서명/키 온프레미스 + 대시보드 클라우드, IT 인력 1-2명 필요
  • SaaS: D'CENT 호스팅 인프라, 콜드월렛만 보유, IT 인력 불필요
• 비용 모델 비교 (초기 투자 + 월간 운영비 + 인력 비용)
• 배포 모델 확정 (상향 전환 가능성 고려)
• 산출물: 배포 모델 선정 보고서 (선정 근거, 비용 분석, 전환 로드맵)
• 게이트: 경영진/보안 위원회가 배포 모델을 최종 승인

A-Step 3: 물리 환경 결정

• 시작 조건: A-Step 2 배포 모델 확정
• 액션:
• 물리 보안 요건 수준 결정 (콜드룸 구축 가능 여부, 보안 등급 목표)
• 물리 환경 현황 조사 (기존 보안 시설, 인프라 공간, 네트워크 환경)
• 보안 등급별 요구사항 확인 (콜드룸 / Grade A / Grade B / Grade C)
• 물리 환경 구축/개선 계획 수립 (소요 기간, 비용, 조달 일정)
• 산출물: 물리 환경 계획서 (등급, 구축 범위, 일정, 예산)
• 게이트: 물리 환경이 최소 요구 등급을 충족하거나 구축 계획이 승인됨

A-Step 4: 계약 및 라이선스

• 시작 조건: A-Step 2, A-Step 3 완료
• 액션:
• D'CENT Enterprise 라이선스 유형 선택 (배포 모델에 따른 라이선스)
• SLA 협의 (가용성, 응답 시간, 지원 범위, 에스컬레이션 경로)
• 보안 책임 경계 합의 (어디까지 D'CENT 책임, 어디부터 고객 책임)
• 계약 체결 (NDA, 서비스 계약, 라이선스 계약)
• 하드웨어 주문 (D'CENT X 콜드월렛 수량: M-of-N 서명자 수 + 백업 디바이스 + 예비)
• 산출물: 서명된 계약서, 하드웨어 주문 확인, 라이선스 키
• 게이트: 계약 체결 완료 + 하드웨어 배송 일정 확정

A-Step 5: 도입 킥오프

• 시작 조건: A-Step 4 계약 완료
• 액션:
• 프로젝트 팀 구성 (내부 담당자 + D'CENT 온보딩 담당자)
• 온보딩 일정 수립 (단계별 마일스톤, 체크포인트, 완료 기준)
• 역할 후보자 선정 (Admin, Initiator, Approver, Viewer, Auditor 후보 리스트)
• 교육 계획 수립 (역할별 교육 내용, 일정, 실습 환경)
• 킥오프 미팅 (전체 이해관계자 + D'CENT 팀)
• 산출물: 프로젝트 계획서, 역할 후보자 리스트, 교육 계획
• 게이트: 킥오프 완료 + 온보딩 일정 합의

---

3. 온보딩 (Onboarding)

인프라 설정, 디바이스 프로비저닝, 키 세레모니, 정책 설정까지의 초기 구축 단계. 이 단계가 완료되면 첫 번째 실제 트랜잭션을 실행할 수 있다.

O-Step 1: 인프라 설정

• 시작 조건: A-Step 5 킥오프 완료 + 배포 모델별 인프라 준비 완료
• 액션:
• 배포 모델별 인프라 구축:
  • Zero Cloud: 서버, DB, 블록체인 노드, 네트워크, 방화벽 설치
  • Hybrid: 온프레미스 서명 환경 + 클라우드 대시보드 설정
  • SaaS: D'CENT 제공 인프라에 고객 계정 프로비저닝
• 네트워크 구성 (3-Zone 보안 아키텍처: Zone 1 온라인 / Zone 2 오프라인 앱 / Zone 3 콜드월렛)
• 대시보드 초기 설정 (조직 정보, 관리자 계정, MFA 설정)
• 블록체인 연결 확인 (BTC/ETH 노드 동기화 상태, RPC 접속 테스트)
• 모니터링 설정 (시스템 상태 모니터링, 알림 채널 구성)
• 산출물: 인프라 설정 체크리스트 완료, 시스템 상태 정상 확인
• 게이트: 모든 인프라 구성 요소가 정상 작동하고 연결 테스트 통과

O-Step 2: D'CENT X 디바이스 프로비저닝

• 시작 조건: O-Step 1 인프라 정상 + 하드웨어 수령 완료
• 액션:
• 하드웨어 수령 확인 (배송 봉인 상태, 일련번호 대조, 외관 검사)
• 디바이스별 용도 할당 (서명자별 배정, 백업 디바이스 지정)
• 펌웨어 버전 확인 (Enterprise 펌웨어 탑재 여부, 최신 버전 확인)
• 디바이스 초기화 (공장 초기 상태 확인 또는 리셋)
• 각 디바이스 PIN 설정 (서명자 본인만 알고 있어야 하는 6-12자리 PIN)
• 디바이스 attestation 검증 (D'CENT 정품 인증 + SE 무결성 확인)
• 디바이스 일련번호/할당 테이블 기록
• 산출물: 디바이스 프로비저닝 기록 (일련번호, 할당자, attestation 결과)
• 게이트: 모든 디바이스가 정품 인증 통과 + PIN 설정 완료

O-Step 3: 키 세레모니 (Key Ceremony)

• 시작 조건: O-Step 2 디바이스 프로비저닝 완료
• 액션:
• 키 세레모니 계획 수립 (참여자, 일시, 장소, 절차, 기록 방법)
• M-of-N 구성 확정 (예: 3-of-5, 2-of-3 등 정책에 따른 임계값)
• 프로토콜별 키 생성:
  • BTC (MuSig2): 각 서명자의 D'CENT X에서 독립적으로 개별 키 쌍 생성 -> 공개키 교환 -> aggregated 공개키 계산 -> BTC 주소 도출
  • EVM (Safe): 각 서명자의 D'CENT X에서 개별 EOA 키 생성 -> Safe 컨트랙트 배포 (M-of-N 설정) -> Safe 주소 확인
• 백업 절차:
  • BIP-39 시드 구문(24단어)을 물리 매체(금속 시드 플레이트)에 기록
  • 시드 구문은 절대로 디지털 매체에 기록하지 않음
  • 시드 플레이트를 별도 보관 장소에 분산 보관 (서명자별 독립 보관)
• 키 생성 검증:
  • 각 D'CENT X 디스플레이에서 생성된 공개키 확인
  • aggregated 주소가 대시보드에 올바르게 등록되었는지 확인
  • 소액 수신 테스트 (외부 -> 생성된 주소로 소액 전송)
• 키 세레모니 기록 작성 (참여자 서명, 일시, 절차 이행 확인)
• 산출물: 키 세레모니 기록서, 월렛 주소 목록, 시드 백업 보관 확인서
• 게이트: 키 생성 완료 + 주소 검증 통과 + 시드 백업 보관 확인

O-Step 4: 월렛 구성

• 시작 조건: O-Step 3 키 세레모니 완료
• 액션:
• 월렛 구조 설정:
  • Cold 월렛 (BTC MuSig2 / EVM Safe): 장기 보관 자산의 80-95%
  • Warm 월렛 (MPC-TSS CGGMP21): 일상 운용 자산의 5-15%
  • Hot 월렛: 사용하지 않음 (에어갭 원칙)
• Cold-Warm 비율 설정 (자산 규모, TX 빈도, 유동성 요건에 따라)
• 월렛 라벨링 (용도, 체인, 프로토콜별 명확한 이름 부여)
• 월렛 대시보드 등록 (주소, 프로토콜 유형, M-of-N 설정 연결)
• 잔고 모니터링 설정 (Cold/Warm별 임계값 알림)
• 산출물: 월렛 구성 문서 (월렛 목록, 용도, 비율, 알림 설정)
• 게이트: Cold/Warm 월렛이 대시보드에 정상 표시 + 잔고 모니터링 작동 확인

O-Step 5: 정책 초기 설정

• 시작 조건: O-Step 4 월렛 구성 완료
• 액션:
• 화이트리스트 등록:
  • 출금 허용 주소 목록 등록 (거래소, OTC, 파트너 주소 등)
  • 화이트리스트 변경 정책 설정 (추가/삭제 시 M-of-N 승인 필요)
• 거래 한도 설정:
  • 건당 한도 (예: BTC 10개 이하 Warm 자동, 초과 시 Cold)
  • 일간 누적 한도
  • 월간 누적 한도
• M-of-N 정책 설정:
  • 금액 구간별 서명 임계값 (소액: 2-of-3, 대액: 3-of-5 등)
  • 정책 변경 자체의 승인 임계값 (메타 정책)
• HW 정책 엔진 설정:
  • SE 내 불변 규칙 기록 (Merkle Root 화이트리스트, 일일 한도)
  • 소프트웨어 우회 불가능한 하드웨어 레벨 정책
• 승인 워크플로우 설정:
  • 순차 승인 / 병렬 승인 모드 선택
  • 승인 타임아웃 설정 (기본 24시간)
  • 에스컬레이션 규칙 설정
• 산출물: 정책 설정 문서 (화이트리스트, 한도, M-of-N, 워크플로우)
• 게이트: 모든 정책이 대시보드 + HW 정책 엔진에 동기화 완료

O-Step 6: 역할 및 권한 배정

• 시작 조건: O-Step 5 정책 설정 완료
• 액션:
• 5역할 RBAC 배정:
  • Admin: 시스템 관리, 정책 변경 (1-2명)
  • Initiator: TX 생성 및 요청 (2-3명)
  • Approver: TX 승인 및 서명 (M-of-N 구성의 N명)
  • Viewer: 읽기 전용 모니터링 (재무/경영진)
  • Auditor: 감사 로그 접근 (내부/외부 감사인)
• Deny-by-Default 원칙 적용 (명시적으로 부여된 권한만 유효)
• 각 역할의 MFA 설정 (TOTP + 하드웨어 키 등)
• 역할별 대시보드 접근 범위 확인 (기능 제한 테스트)
• 비상 연락망 설정 (역할별 주/야간/휴일 연락처)
• 산출물: 역할 배정 매트릭스, MFA 설정 확인, 비상 연락망
• 게이트: 모든 역할자가 대시보드 접근 + MFA 인증 테스트 통과

O-Step 7: 테스트 트랜잭션

• 시작 조건: O-Step 6 역할 배정 완료
• 액션:
• 테스트 TX 시나리오 준비:
  • 소액 입금 테스트 (외부 -> Cold 월렛)
  • 소액 출금 테스트 (Cold -> 화이트리스트 주소)
  • Warm 월렛 TX 테스트
  • 한도 초과 거부 테스트
  • 화이트리스트 미등록 주소 거부 테스트
• 전체 서명 플로우 검증 (signing-core-flow.md Step 1~9 전 과정 실행)
  • TX 생성 -> 정책 검증 -> 에어갭 전달(QR/USB-C) -> WYSIWYS 확인 -> SE 서명 -> 서명 반환 -> 집계 -> 브로드캐스트
• 정책 엔진 동작 확인 (승인/거부/에스컬레이션이 설정대로 작동)
• 모니터링 알림 테스트 (TX 완료 알림, 잔고 변동 알림)
• 테스트 결과 기록 및 이슈 해결
• 산출물: 테스트 결과 보고서 (시나리오별 통과/실패, 이슈 목록)
• 게이트: 모든 테스트 시나리오 통과 + 전체 서명 플로우 정상 작동 확인

O-Step 8: 프로덕션 전환

• 시작 조건: O-Step 7 테스트 트랜잭션 전체 통과
• 액션:
• 테스트 환경에서 프로덕션 환경으로 전환 확인
• 실제 자산 입금 계획 수립 (단계적 입금: 소액 -> 중액 -> 대액)
• 첫 번째 실제 자산 입금 실행 (소액부터 시작)
• 프로덕션 모니터링 활성화
• 온보딩 완료 서명 (고객 + D'CENT 양측 확인)
• 운영 매뉴얼 인수 (역할별 운영 가이드, FAQ, 에스컬레이션 절차)
• 산출물: 프로덕션 전환 확인서, 운영 매뉴얼
• 게이트: 실제 자산이 정상 입금되고, 모든 모니터링이 활성 상태

---

4. 일상 운영 (Daily Operations)

프로덕션 환경에서의 일상적인 트랜잭션 처리, 리밸런싱, 리포팅 활동.

D-Step 1: 트랜잭션 생성 및 승인

• 시작 조건: 출금 필요 발생 (업무적 판단)
• 액션:
• Initiator가 대시보드에서 TX 생성 (signing-core-flow.md Step 1)
• Approver M명이 정책 검증 후 승인 (signing-core-flow.md Step 2)
• 정책 자동 검증:
  • 화이트리스트 확인
  • 건당/일간/월간 한도 확인
  • M-of-N 임계값 확인
  • HW 정책 엔진 규칙 확인
• 산출물: 승인된 TX (상태: READY_TO_SIGN)
• 게이트: M개 승인 도달

D-Step 2: 에어갭 서명

• 시작 조건: D-Step 1 TX 승인 완료 (READY_TO_SIGN)
• 액션:
• 에어갭 전달 (signing-core-flow.md Step 3)
• 오프라인 수신 (signing-core-flow.md Step 4)
• WYSIWYS 하드웨어 검증 (signing-core-flow.md Step 5 -- 필수, 생략 불가)
• SE 서명 실행 (signing-core-flow.md Step 6)
• 서명 반환 (signing-core-flow.md Step 7)
• 서명 집계 + 브로드캐스트 (signing-core-flow.md Step 8)
• 확인 및 완료 (signing-core-flow.md Step 9)
• 산출물: 블록체인에 전파된 서명 완료 TX
• 게이트: TX가 블록체인에서 CONFIRMED 상태

참조: 서명 절차의 상세 내용(프로토콜별 분기, QR/USB-C 통신 변종, 에러 처리 등)은 signing-core-flow.md를 참조한다. 본 문서에서는 서명 절차를 중복 기술하지 않는다.

D-Step 3: Cold-Warm 리밸런싱

• 시작 조건: Warm 월렛 잔고가 설정된 임계값 하회 또는 Cold 비율 목표 이탈
• 액션:
• 리밸런싱 알림 수신 (대시보드 자동 알림: Warm 잔고 < 최소 임계값)
• 리밸런싱 TX 생성 (Cold -> Warm 또는 Warm -> Cold)
• 리밸런싱은 일반 TX와 동일한 서명 플로우 적용 (D-Step 1 -> D-Step 2)
• Cold/Warm 비율 목표 달성 확인 (예: Cold 90% / Warm 10%)
• 리밸런싱 기록 (일시, 이전 비율, 이후 비율, 사유)
• 산출물: 리밸런싱 완료 기록, 비율 정상화 확인
• 게이트: Cold/Warm 비율이 목표 범위 내

D-Step 4: 정기 리포팅

• 시작 조건: 리포팅 주기 도래 (일간/주간/월간)
• 액션:
• 자산 현황 리포트 생성:
  • 총 자산 가치 (법정 화폐 환산)
  • 체인별/월렛별 잔고
  • Cold/Warm 비율 현황
• 트랜잭션 이력 리포트:
  • 기간별 TX 목록 (입금/출금/리밸런싱)
  • 수수료 합계
  • 승인 소요 시간 통계
• 보안 상태 리포트:
  • 정책 위반 시도 횟수 (거부된 TX)
  • 디바이스 상태 (마지막 attestation 확인 일시)
  • 감사 로그 정상 기록 확인
• 리포트 배포 (설정된 수신자에게 자동/수동 전달)
• 산출물: 정기 리포트 (대시보드 내장 리포트 + 내보내기)
• 게이트: 리포트가 예정 수신자에게 전달 완료

D-Step 5: 감사 로그 관리

• 시작 조건: 상시 (자동 수행)
• 액션:
• 모든 액션에 대한 감사 로그 자동 기록:
  • TX 관련: 생성, 승인, 서명, 브로드캐스트, 완료/실패
  • 정책 관련: 정책 조회, 변경 시도, 변경 완료
  • 접근 관련: 로그인, 로그아웃, MFA 실패, 권한 변경
  • 디바이스 관련: 연결, 서명 실행, attestation 확인
• 감사 로그 무결성 보장 (append-only, 삭제/수정 불가)
• 로그 보관 주기 관리 (법적 요건에 따른 최소 보관 기간 충족)
• 정기 로그 백업 (별도 보관소에 암호화 백업)
• 산출물: 감사 로그 (연속적, 무결성 보장)
• 게이트: 로그 연속성 확인 (gap 없음) + 무결성 검증 통과

---

5. 관리 (Administration)

운영 중 발생하는 서명자 변경, 정책 조정, 디바이스 관리, 감사 대응 활동.

M-Step 1: 서명자 추가

• 시작 조건: 새 서명자 추가 필요 (인원 확충, N 풀 확대)
• 액션:
• 새 서명자 후보 선정 및 승인 (경영진/보안 위원회)
• 새 서명자에게 D'CENT X 디바이스 배정 + 프로비저닝 (O-Step 2 절차 반복)
• 새 서명자의 키 생성:
  • BTC MuSig2: 새 서명자의 개별 키 쌍 생성 -> N 풀에 공개키 추가
  • EVM Safe: 새 서명자의 EOA 키 생성 -> Safe 컨트랙트에 owner 추가 TX 실행
• M-of-N 구성 변경 필요 시 (예: 3-of-5 -> 3-of-6):
  • BTC: 새 aggregated 공개키 계산 -> 자산 이전 필요 (MuSig2 특성)
  • EVM: Safe 컨트랙트 addOwner 호출 (기존 M명 서명 필요)
• 새 서명자 역할 교육 + 테스트 서명 실행
• 서명자 변경 기록 작성
• 산출물: 서명자 추가 기록, 업데이트된 M-of-N 구성, 테스트 결과
• 게이트: 새 서명자의 테스트 서명 성공 + 기록 완료

M-Step 2: 서명자 교체/제거

• 시작 조건: 기존 서명자 교체 또는 제거 필요 (퇴직, 부서 이동, 보안 사고)
• 액션:
• 서명자 교체/제거 사유 기록 및 승인
• 교체 시: 새 서명자 추가 먼저 진행 (M-Step 1)
• 제거 대상 서명자의 키 비활성화:
  • BTC MuSig2: aggregated 공개키 변경 필요 -> 자산을 새 주소로 이전
  • EVM Safe: removeOwner TX 실행 (기존 M명 서명 필요)
• 제거 대상 D'CENT X 디바이스 회수:
  • 디바이스 초기화 (공장 리셋)
  • 시드 백업 파기 (물리 매체 파쇄 또는 파기 인증)
• M-of-N 임계값 조정 (필요 시)
• 교체 후 전체 서명 테스트 실행
• 산출물: 서명자 변경 기록, 디바이스 회수/파기 증적, 테스트 결과
• 게이트: 제거된 서명자의 키가 더 이상 유효하지 않음을 확인 + 전체 테스트 통과

M-Step 3: 정책 변경

• 시작 조건: 정책 변경 요청 발생 (한도 조정, 화이트리스트 변경, M-of-N 변경)
• 액션:
• 정책 변경 요청 등록 (변경 항목, 사유, 요청자)
• 메타 정책 승인: 정책 변경 자체에 M-of-N 승인 적용 (정책 변경은 TX보다 높은 임계값)
• 승인 완료 후 정책 적용:
  • 소프트웨어 정책: 대시보드에서 즉시 반영
  • HW 정책 엔진: 다음 디바이스 동기화 시 반영 (에어갭 전달)
• 정책 변경 전후 비교 기록 (감사 로그)
• 변경된 정책의 동작 테스트 (변경 의도대로 작동하는지)
• 산출물: 정책 변경 기록, 승인 증적, 변경 전후 비교, 테스트 결과
• 게이트: 정책 변경이 대시보드 + HW 정책 엔진에 모두 반영 확인

M-Step 4: 디바이스 교체/복구

• 시작 조건: D'CENT X 디바이스 장애, 분실, 또는 정기 교체 필요
• 액션:
• 장애/분실 상황 기록 (디바이스 일련번호, 사유, 발견 일시)
• 새 D'CENT X 디바이스 프로비저닝 (O-Step 2 절차)
• 키 복구:
  • 시드 백업으로부터 키 복원 (BIP-39 시드 구문 입력)
  • 복원된 키가 기존 키와 동일한지 검증 (주소 일치 확인)
• 기존 디바이스 처리:
  • 장애 디바이스: 공장 리셋 시도 -> 불가 시 물리 파기
  • 분실 디바이스: SE PIN 보호에 의존 + 긴급 키 로테이션 검토 (E-Step 2)
• 디바이스 교체 기록 작성
• 산출물: 디바이스 교체 기록, 키 복원 검증 결과
• 게이트: 새 디바이스에서 테스트 서명 성공

M-Step 5: 키 로테이션

• 시작 조건: 정기 키 로테이션 주기 도래 또는 보안 사유 발생
• 액션:
• 키 로테이션 계획 수립 (대상 월렛, 일정, 참여자)
• 새 키 세트 생성 (O-Step 3 키 세레모니 절차 반복)
• 자산 이전:
  • 기존 주소 -> 새 주소로 전체 자산 이전 TX 실행
  • 잔고 완전 이전 확인
• 기존 키 비활성화:
  • 기존 D'CENT X에서 이전 키 관련 데이터 삭제
  • 기존 시드 백업 파기
• 대시보드/정책/화이트리스트 업데이트 (새 주소 반영)
• 외부 연동 주소 변경 통보 (거래소, 파트너에 새 주소 전달)
• 산출물: 키 로테이션 기록, 자산 이전 TX 증적, 이전 키 파기 증적
• 게이트: 기존 주소 잔고 = 0 + 새 주소에 전체 자산 확인

M-Step 6: 감사 대응

• 시작 조건: 내부/외부 감사 일정 도래 (SOC 2, CCSS, ISMS-P 등)
• 액션:
• 감사 범위/기간 확인 (감사 기관과 사전 협의)
• 감사 증적 준비:
  • 감사 로그 추출 (대상 기간)
  • 정책 변경 이력
  • 서명자 변경 이력
  • 디바이스 관리 이력
  • TX 이력 및 승인 기록
• 감사 인터뷰 준비 (역할자별 운영 절차 숙지)
• 감사 수행 지원 (감사인 질의 응대, 추가 자료 제공)
• 감사 결과 수령 및 시정 조치 계획 수립 (발견 사항 있을 경우)
• 산출물: 감사 증적 패키지, 감사 결과 보고서, 시정 조치 계획
• 게이트: 감사 완료 + 시정 조치 계획 승인 (발견 사항 있을 경우)

---

6. 긴급 대응 (Emergency Response)

보안 사고, 디바이스 분실/도난, 서명자 불능 등 예외 상황에 대한 대응 절차.

E-Step 1: 키 손상 대응

• 시작 조건: 키 손상 의심 또는 확인 (비인가 TX 감지, 디바이스 무결성 실패, 내부자 위협)
• 액션:
• 즉시 조치 (15분 이내):
  • 의심 월렛의 모든 신규 TX 즉시 동결 (대시보드 긴급 동결 기능)
  • 사고 대응팀 소집 알림 발송
  • 현재 진행 중인 서명 세션 전부 중단
• 영향 범위 파악 (1시간 이내):
  • 손상 의심 키/디바이스 식별
  • 영향받는 월렛/주소 목록 작성
  • 비인가 TX 유무 확인 (블록체인 모니터링)
• 자산 보호 (4시간 이내):
  • 미손상 키를 사용하여 자산을 새 주소로 긴급 이전
  • 이전 불가 시: 추가 서명 방지를 위한 물리적 조치 (디바이스 격리)
• 근본 원인 분석:
  • 감사 로그 전수 조사
  • 디바이스 forensic 검사 (가능한 경우)
  • 공격 벡터 식별
• 복구:
  • 새 키 세레모니 실행 (O-Step 3)
  • 자산 이전 완료
  • 정책/화이트리스트 재설정
• 사후 조치:
  • 사고 보고서 작성 (타임라인, 원인, 영향, 조치, 재발 방지)
  • 재발 방지 대책 실행
• 산출물: 사고 대응 보고서, 긴급 자산 이전 TX 기록, 재발 방지 계획
• 게이트: 자산 안전 확인 + 근본 원인 파악 + 재발 방지 대책 실행

E-Step 2: 디바이스 분실/도난 대응

• 시작 조건: D'CENT X 디바이스 분실 또는 도난 확인
• 액션:
• 즉시 보고: 분실/도난 사실 Admin에 즉시 보고 (연락처, 상황, 일시, 장소)
• 위험 평가:
  • 분실 디바이스의 SE PIN 보호 상태 확인 (PIN 10회 실패 시 자동 삭제)
  • M-of-N 구성에서 분실 디바이스 1대로 단독 서명이 불가능함을 확인 (M >= 2)
  • 분실 디바이스의 시드 백업이 안전한지 확인
• 조치 결정:
  • 위험 낮음 (M-of-N + SE PIN 보호 충분): 디바이스 교체만 실행 (M-Step 4)
  • 위험 높음 (PIN 노출 의심, 시드 백업 동시 분실 등): E-Step 1 키 손상 대응 프로토콜 가동
• 디바이스 교체: M-Step 4 절차 실행
• 사고 기록: 분실/도난 사고 보고서 작성
• 산출물: 분실/도난 보고서, 위험 평가 결과, 디바이스 교체 기록
• 게이트: 대체 디바이스 정상 작동 + 자산 안전 확인

E-Step 3: 서명자 불능 대응

• 시작 조건: 서명자가 장기간 불능 상태 (질병, 사고, 사망, 퇴직, 연락 두절)
• 액션:
• 현재 M-of-N 가용성 확인:
  • 불능 서명자 제외 후 잔여 서명자 수 >= M인지 확인
  • M명 이상 가용: 정상 운영 가능, 긴급도 낮음
  • M명 미만 가용: 서명 불가 상태 -> 긴급 대응 필요
• M명 이상 가용 시:
  • 불능 서명자의 키를 비활성화 (M-Step 2 절차)
  • 후보 서명자로 교체 (사전 지정된 후보 풀에서 선정)
• M명 미만 가용 시 (Critical):
  • 시드 백업을 활용한 불능 서명자 키 복원 (M-Step 4 절차)
  • 복원된 키로 잔여 서명자와 합쳐 M명 확보
  • 즉시 서명자 교체 + 키 로테이션 실행
• 사전 예방 조치 (평시):
  • 후보 서명자 풀 유지 (N명 외 2-3명 사전 교육/디바이스 준비)
  • 시드 백업 접근 절차 사전 정의 (듀얼 컨트롤 원칙 적용)
  • N > M + 2 구성 권장 (2명 동시 불능에도 서명 가능)
• 산출물: 서명자 불능 대응 기록, 교체 기록, 키 로테이션 기록 (필요 시)
• 게이트: M-of-N 서명 능력 복원 확인 + 테스트 서명 성공

E-Step 4: 네트워크 이상/포크 대응

• 시작 조건: 블록체인 네트워크 이상 감지 (하드 포크, 51% 공격, 네트워크 중단)
• 액션:
• 네트워크 상태 모니터링:
  • 블록 생성 중단 또는 급격한 지연 감지
  • 하드 포크 공지 확인 (프로토콜 공식 채널)
  • 네트워크 해시레이트/밸리데이터 이상 확인
• TX 중단:
  • 해당 체인의 모든 TX 일시 중단 (확정성 불확실 시)
  • 미확인 TX 목록 작성 및 추적
• 포크 대응 (하드 포크 시):
  • 포크된 체인에서의 자산 보호 (replay attack 방지)
  • 노드 업데이트 (Zero Cloud: 자체 노드 업데이트 / Hybrid/SaaS: D'CENT 노드 업데이트 확인)
  • 포크 후 잔고 확인 (양쪽 체인)
• 정상화 후:
  • TX 재개 결정 (네트워크 안정성 확인 후)
  • 미확인 TX 상태 최종 확인 (성공/실패/재전송 필요)
• 산출물: 네트워크 이상 대응 기록, TX 추적 결과
• 게이트: 네트워크 정상화 확인 + 미확인 TX 처리 완료

E-Step 5: 규제 긴급 동결

• 시작 조건: 규제 기관으로부터 자산 동결 명령 수신
• 액션:
• 동결 명령 확인:
  • 명령의 법적 유효성 확인 (발급 기관, 근거 법률, 대상 범위)
  • 법무팀/외부 법률 자문 즉시 참여
• 동결 실행:
  • 대상 월렛/주소의 출금 정책을 "전면 동결"로 변경 (M-Step 3 절차의 긴급 버전)
  • HW 정책 엔진에도 동결 반영 (다음 디바이스 동기화 시)
  • 동결 실행 일시 + 조치 내용 기록
• 동결 기간 관리:
  • 동결 상태 정기 확인 (변경 사항 없는지)
  • 규제 기관 요청에 따른 정보 제공 (잔고, TX 이력 등)
  • 동결 해제 조건 모니터링
• 동결 해제:
  • 규제 기관의 동결 해제 명령 수신
  • 출금 정책 복원 (동결 전 상태로)
  • 해제 기록 작성
• 산출물: 동결/해제 기록, 규제 대응 보고서
• 게이트: 법적 의무 충족 확인 + 감사 추적 완료

---

7. 문서 참조 관계

7.1. Layer 1 내부 참조

본 문서(E2E Core Flow)는 다음 Layer 1 문서를 직접 참조한다:

참조 문서	참조 위치	참조 내용
signing-core-flow.md	D-Step 2 (에어갭 서명)	Step 1~9 전체 서명 절차 위임
signing-core-flow.md	O-Step 7 (테스트 TX)	전체 서명 플로우 검증

7.2. Layer 2 Delta 참조 가이드

본 문서의 Step 번호를 참조하여 작성될 Layer 2 Delta 문서:

Delta 문서	참조 형식	적용 시나리오
segment-delta-self-custody.md	[SC Delta] {단계} Step N:	S1~S4
segment-delta-custody-provider.md	[CSP Delta] {단계} Step N:	S5~S6
segment-delta-token-issuer.md	[TI Delta] {단계} Step N:	S7~S8

7.3. Layer 3 Annotation 참조 가이드

Annotation 문서	참조 형식	적용 시나리오
e2e-coldroom-annotation.md	[CR Annotation] Before/After {단계} Step N:	S1, S5
e2e-noncoldroom-annotation.md	[NCR Annotation] Before/After {단계} Step N:	S2~S4, S6~S8
signing-coldroom-annotation.md	[CR Annotation] Before/After Step N: (서명 전용)	S1, S5
signing-noncoldroom-annotation.md	[NCR Annotation] Before/After Step N: (서명 전용)	S2~S4, S6~S8

---

작성일: 2026-03-28 Phase 14 Plan 01 산출물 — Layer 1 E2E Core Flow 적용 범위: S1~S8 전체 시나리오 (세그먼트/환경 중립)

---

관련 문서

• Layer 3 E2E 콜드룸 환경 어노테이션 (E2E Cold Room Annotation) -- 제품 설계
• Layer 3 E2E 비콜드룸 환경 어노테이션 (E2E Non-Cold Room Annotation) -- 제품 설계
• Layer 2 수탁 사업자 세그먼트 델타 (Custody Service Provider Segment Delta) -- 제품 설계
• Layer 2 셀프 커스터디 세그먼트 델타 (Self-Custody Segment Delta) -- 제품 설계
• Layer 2 토큰 발행 주체 세그먼트 델타 (Token Issuer Segment Delta) -- 제품 설계