v0.2
Layer 3 E2E 비콜드룸 환경 어노테이션 (E2E Non-Cold Room Annotation)¶
1. Executive Summary¶
본 문서는 D'CENT Enterprise의 Layer 3 E2E 비콜드룸 환경 어노테이션이다. e2e-core-flow.md(Layer 1)에서 정의한 5단계 E2E 플로우의 각 Step에 대해, 비콜드룸 환경에서 추가되는 물리 절차와 보완 조치를 [NCR Annotation] Before/After {단계명} Step N: 형식으로 삽입한다.
적용 시나리오: S2(SC+ZC+NCR), S3(SC+HY+NCR), S4(SC+SA+NCR), S6(CSP+HY+NCR), S7(TI+HY+NCR), S8(TI+SA+NCR)
Phase 13 서명 어노테이션과의 관계:
- Phase 13 signing-noncoldroom-annotation.md: 서명 절차(Step 1~9)에 한정된 비콜드룸 물리 절차
- 본 문서(e2e-noncoldroom-annotation.md): 도입~긴급 대응 5단계 전체에 대한 비콜드룸 물리 절차
- 중복 방지 원칙: 서명 단계(D-Step 2)의 비콜드룸 물리 절차는 signing-noncoldroom-annotation.md를 참조로 위임
보안 등급별 적용 (non-coldroom-compensating-controls.md 기반):
| 등급 | 정의 | 비용 범위 | 적용 시나리오 |
|---|---|---|---|
| Grade A | 전용 보안실 | $5K-15K | S2(대기업 ZC), S6(수탁 HY) |
| Grade B | 강화 사무실 | $1K-5K | S3(중견기업 HY), S7(대형 TI) |
| Grade C | 표준 사무실 | $500-1K | S4(소규모 SA), S8(중소 TI) |
2. 도입 어노테이션 (Adoption Annotations)¶
[NCR Annotation] Before Adoption Step 3: 보안 등급 결정¶
e2e-core-flow.md A-Step 3(물리 환경 결정)에서 비콜드룸 보안 등급을 결정:
보안 등급 결정 기준:
| 결정 요인 | Grade A | Grade B | Grade C |
|---|---|---|---|
| 자산 규모 | $50M+ | $10M-50M | $10M 미만 |
| 규제 요건 | CCSS L2+, SOC 2 필수 | SOC 2 권장 | 내부 정책만 |
| 세그먼트 | CSP(S6) 필수, SC(S2) 권장 | SC(S3), TI(S7) | SC(S4), TI(S8) |
| 보험 요건 | 사이버 보험 가입 시 | 선택적 | 불필요 |
[NCR Annotation] After Adoption Step 3: 보완 조치 패키지 선택¶
등급 결정 후 non-coldroom-compensating-controls.md의 CC-ID 패키지 선택:
Grade A 필수 보완 조치:
| CC-ID | 보완 조치 | 비용 |
|---|---|---|
| CC-PHY-01 | 보안 캐비닛 (AMSEC BF 시리즈 또는 동등) | $1,500-3,000 |
| CC-PHY-02 | 이중 잠금 (열쇠+디지털 조합) | $200-500 |
| CC-PHY-03 | 앵커링 (캐비닛 바닥/벽 고정) | $100-300 |
| CC-PROC-01 | 듀얼 컨트롤 (2인 동시 해제 절차) | 절차 비용만 |
| CC-PROC-02 | 봉인 관리 (탬퍼 증거 봉인 + 정기 확인) | $50-100/년 |
| CC-PROC-03 | 세션 녹화 (서명 세션 합의 하 녹화) | $200-500 |
| CC-TECH-01 | SE PIN 정책 (10회 실패 자동 삭제) | 기본 내장 |
| CC-TECH-02 | Attestation 정기 확인 | 기본 내장 |
| CC-TECH-03 | 디바이스 일련번호 관리 대장 | 절차 비용만 |
Grade B 필수 보완 조치: CC-PHY-01, CC-PHY-02, CC-PROC-01, CC-PROC-02, CC-TECH-01~03 (CC-PHY-03, CC-PROC-03은 권장)
Grade C 필수 보완 조치: CC-PHY-01, CC-PROC-02, CC-TECH-01~03 (기본 보안만)
[NCR Annotation] After Adoption Step 3: 보안 캐비닛/금고 설치¶
보완 조치 패키지 선택 후 물리 설비 설치:
- 보안 캐비닛 조달 + 설치 위치 결정 (전용 보안실 또는 사무실 내)
- 앵커링 시공 (Grade A/B)
- 이중 잠금 설정 (열쇠 보관자 지정)
- 봉인 도구 조달 (탬퍼 증거 봉인 스티커/실)
- 설치 완료 확인 + 사진 기록
3. 온보딩 어노테이션 (Onboarding Annotations)¶
[NCR Annotation] Before Onboarding Step 2: 디바이스 보관 환경 준비¶
e2e-core-flow.md O-Step 2(디바이스 프로비저닝) 이전에 보관 환경 확인:
- 보안 캐비닛 설치 완료 확인 (CC-PHY-01)
- 이중 잠금 작동 확인 (CC-PHY-02)
- 앵커링 견고성 확인 (CC-PHY-03, Grade A/B)
- 봉인 도구 준비 (CC-PROC-02)
[NCR Annotation] Before Onboarding Step 3: 비콜드룸 키 세레모니 물리 절차¶
e2e-core-flow.md O-Step 3(키 세레모니) 이전에 비콜드룸 환경에서의 키 세레모니 물리 절차:
Grade A (전용 보안실): 1. 듀얼 컨트롤 적용 (CC-PROC-01): 2인 이상 동시 참석 2. 보안 캐비닛에서 디바이스 반출 (이중 잠금 해제, 반출 기록) 3. 전자기기 반입 통제: WiFi/BT/셀룰러 비활성화 확인 (Faraday cage 대신 수동 확인) 4. 세션 녹화 합의 (CC-PROC-03) 5. 키 세레모니 수행 (Layer 1 O-Step 3 절차) 6. 디바이스 봉인 적용 (CC-PROC-02) + 보안 캐비닛 반입 + 이중 잠금 7. 세션 종료 기록 (참여자 서명)
Grade B (강화 사무실): 1. 듀얼 컨트롤 적용 (CC-PROC-01) 2. 보안 캐비닛에서 디바이스 반출 3. 키 세레모니 수행 4. 디바이스 봉인 + 보안 캐비닛 보관 5. 기록 작성
Grade C (표준 사무실): 1. 보안 캐비닛에서 디바이스 반출 2. 키 세레모니 수행 (최소 2인 참석 권장) 3. 디바이스 봉인 + 보안 캐비닛 보관 4. 기록 작성
[NCR Annotation] After Onboarding Step 3: CC-ID 적용 체크리스트 검증¶
키 세레모니 완료 후 보완 조치 적용 상태 전수 확인:
| CC-ID | 확인 항목 | 확인 결과 |
|---|---|---|
| CC-PHY-01 | 모든 디바이스가 보안 캐비닛에 보관 | O/X |
| CC-PHY-02 | 이중 잠금 정상 작동 | O/X |
| CC-PHY-03 | 앵커링 견고 (Grade A/B) | O/X/N/A |
| CC-PROC-01 | 듀얼 컨트롤 절차 이행 기록 있음 | O/X |
| CC-PROC-02 | 모든 디바이스에 봉인 적용, 봉인 ID 기록 | O/X |
| CC-PROC-03 | 세션 녹화 완료 (Grade A) | O/X/N/A |
| CC-TECH-01 | SE PIN 정책 활성화 확인 | O/X |
| CC-TECH-02 | Attestation 검증 완료 | O/X |
| CC-TECH-03 | 디바이스 일련번호 관리 대장 작성 | O/X |
4. 일상 운영 어노테이션 (Daily Operations Annotations)¶
[NCR Annotation] Before Daily Step 2: 서명 세션 비콜드룸 절차¶
서명 절차의 비콜드룸 물리 절차는 signing-noncoldroom-annotation.md에서 전체 기술한다. 본 문서에서 중복 기술하지 않으며 참조로 위임한다.
참조: signing-noncoldroom-annotation.md 전체 (비동기 분산 서명 모델, 등급별 물리 절차, 봉인 관리, 보완 조치 적용)
[NCR Annotation] After Daily Step 5: 봉인 및 보안 캐비닛 정기 확인¶
감사 로그 관리(D-Step 5)와 연계하여 비콜드룸 물리 환경 점검:
주간 점검:
| 항목 | 확인 사항 | 등급별 적용 |
|---|---|---|
| 봉인 상태 | 모든 디바이스 봉인 무결성 확인 | A/B/C 전체 |
| 캐비닛 상태 | 이중 잠금 정상, 물리 손상 없음 | A/B/C 전체 |
| 앵커링 상태 | 고정 상태 견고, 이완 없음 | A/B만 |
| 디바이스 대장 | 일련번호 대조, 누락 없음 | A/B/C 전체 |
| 접근 기록 | 지난 주 캐비닛 접근 기록 확인 | A/B만 |
월간 점검:
| 항목 | 확인 사항 | 등급별 적용 |
|---|---|---|
| Attestation | 모든 디바이스 D'CENT 정품 인증 재확인 | A/B/C 전체 |
| 보완 조치 전수 확인 | CC-ID 체크리스트 전체 재확인 | A만 |
| 보안 등급 적정성 | 자산 규모/규제 변화에 따른 등급 재평가 | A/B/C 전체 |
5. 관리 어노테이션 (Administration Annotations)¶
[NCR Annotation] Before Admin Step 1: 새 서명자 보안 환경 확인¶
새 서명자 추가(M-Step 1) 시 해당 서명자의 보안 환경 확인:
- 동일 사무실: 기존 보안 캐비닛에 새 디바이스 추가 보관
- 원격 서명자 (비동기 분산 환경): 원격 서명자 사이트에 보안 캐비닛 추가 설치 + 해당 등급 보완 조치 적용
- 보완 조치 교육: 새 서명자에게 CC-ID 절차 교육 (봉인 확인, 듀얼 컨트롤 등)
[NCR Annotation] After Admin Step 3: 보안 등급 상향/하향 시 보완 조치 변경¶
정책 변경(M-Step 3)에서 보안 등급 변경이 포함된 경우:
상향 (예: Grade C -> Grade B): 1. 추가 보완 조치 조달 + 설치 (이중 잠금, 앵커링 등) 2. 듀얼 컨트롤 절차 신규 도입 3. CC-ID 체크리스트 업데이트 4. 상향 완료 기록
하향 (예: Grade A -> Grade B): 1. 하향 사유 기록 + 승인 (보안 등급 하향은 정책 변경의 메타 정책 적용) 2. 불필요 보완 조치 유지 또는 제거 결정 3. 잔여 위험 재평가 + 수용 기록
[NCR Annotation] After Admin Step 4: 봉인 갱신 절차¶
디바이스 교체(M-Step 4) 후 봉인 갱신:
- 기존 봉인 제거 + 제거 기록 (봉인 ID, 제거 일시, 사유)
- 새 디바이스에 새 봉인 적용 (새 봉인 ID 부여)
- 봉인 관리 대장 업데이트
- 디바이스 일련번호 대장 업데이트 (기존 -> 신규)
6. 긴급 대응 어노테이션 (Emergency Response Annotations)¶
[NCR Annotation] Before Emergency Step 1: 봉인 파손 대응¶
봉인 파손이 발견된 경우 (signing-coldroom-annotation.md 원칙: 봉인 파손 = 보안 사고 취급):
- 즉시 세션 중단: 진행 중인 서명 세션이 있으면 즉시 중단
- 봉인 파손 기록: 파손된 봉인 ID, 발견 일시, 발견자, 상태 사진 촬영
- 디바이스 무결성 확인:
- SE attestation 검증 (D'CENT 정품 + 무결성 확인)
- 디바이스 외관 검사 (물리적 탬퍼 흔적)
- 최근 서명 기록 확인 (비인가 서명 유무)
- 위험 평가:
- Attestation 통과 + 비인가 서명 없음: 봉인 교체 후 사용 재개 (봉인 자연 열화 가능)
- Attestation 실패 또는 비인가 서명 의심: E-Step 1(키 손상 대응) 전체 가동
- 사고 보고서 작성
[NCR Annotation] Before Emergency Step 2: 보안 캐비닛 강제 개방 대응¶
보안 캐비닛이 강제로 개방된 흔적이 발견된 경우:
- 즉시 현장 보존: 캐비닛 상태 사진 촬영, 주변 CCTV 확인 (사무실 CCTV)
- 디바이스 전수 확인: 모든 디바이스 존재 여부 + 봉인 상태 확인
- 디바이스 누락 시: E-Step 2(디바이스 분실/도난) 프로토콜 가동
- 디바이스 전체 존재 시: 봉인 상태에 따라 판단
- 봉인 정상: 주의 모니터링 + 캐비닛 교체/수리
- 봉인 파손: 위 봉인 파손 대응 절차 적용
- 경찰 신고: 강제 개방이 확인된 경우
- 보안 등급 재평가: 강제 개방 사고 발생 시 보안 등급 상향 검토
[NCR Annotation] Before Emergency Step 1: 비콜드룸 키 손상 평가¶
비콜드룸 환경에서의 키 손상 평가 시 고려사항:
- 보완 조치 이행 기록 확인: CC-ID 체크리스트가 최근까지 정상 이행되었는지 확인
- 접근 기록 분석: 캐비닛 접근 대장에서 비정상 접근 패턴 확인
- 듀얼 컨트롤 이행 확인: 모든 캐비닛 접근이 2인 이상이었는지 확인
- 잔여 위험 재평가: 사고 발생 시 현재 보안 등급의 잔여 위험이 수용 가능한지 재평가. 수용 불가 판단 시 보안 등급 상향 또는 콜드룸 전환 검토
작성일: 2026-03-28 Phase 14 Plan 03 산출물 -- Layer 3 E2E Non-Cold Room Annotation 적용 범위: S2~S4, S6~S8 (비콜드룸 환경 전체) 참조: e2e-core-flow.md (Layer 1), signing-noncoldroom-annotation.md (Phase 13), non-coldroom-compensating-controls.md (Phase 11)
관련 문서¶
- Layer 3 E2E 콜드룸 환경 어노테이션 (E2E Cold Room Annotation) -- 제품 설계
- Layer 1 E2E 핵심 플로우 (End-to-End Core Flow) -- 제품 설계
- Layer 2 수탁 사업자 세그먼트 델타 (Custody Service Provider Segment Delta) -- 제품 설계
- Layer 2 셀프 커스터디 세그먼트 델타 (Self-Custody Segment Delta) -- 제품 설계
- Layer 2 토큰 발행 주체 세그먼트 델타 (Token Issuer Segment Delta) -- 제품 설계