비콜드룸 환경 보안 보완 조치 설계
1. Executive Summary
"Same digital flow, different physical envelope" 원칙 공식 정의
D'CENT Enterprise의 디지털 서명 플로우(서명 요청 -> 정책 승인 -> 에어갭 서명 -> 브로드캐스트)와 암호학적 보안 체계(MuSig2/Safe, WYSIWYS, SE 키 격리)는 물리 환경과 무관하게 동일 하다. 콜드룸과 비콜드룸의 차이는 오직 물리적 봉투(physical envelope) -- 접근 통제, 환경 차폐, 운영 절차 강제 -- 에서만 발생한다.
따라서 비콜드룸 환경의 보완 조치는 디지털 플로우를 변경하지 않고, 물리적 봉투만을 치환하는 것으로 설계한다.
본 문서는 비콜드룸 환경에서 콜드룸에 준하는 물리 보안을 달성하기 위한 보완 조치(Compensating Controls)를 체계적으로 설계한다. threat-model-comparison.md에서 식별된 Delta High 6개, Delta Medium 9개 항목에 대해 구체적인 보완 조치를 정의하고, 배포 모델별/보안 등급별 패키지로 구성한다.
"Same digital flow, different physical envelope" 원칙은 후속 Phase 12-15 전체의 물리 환경 분기 기준이 된다.
2. 설계 원칙
비콜드룸 보완 조치 설계의 3대 원칙:
원칙 1: 디지털 플로우 불변성 (Digital Flow Invariance)
서명 요청 -> 정책 승인 -> 에어갭 서명(QR/USB-C) -> 브로드캐스트의 4단계와 MuSig2/Safe/MPC-TSS 프로토콜은 물리 환경과 무관하게 동일하다. 비콜드룸 보완 조치는 이 디지털 플로우에 어떤 변경도 가하지 않는다.
에어갭 통신 프로토콜 동일
WYSIWYS 검증 절차 동일
M-of-N 서명 임계값 동일
정책 엔진 규칙 동일
원칙 2: 물리적 봉투 치환 (Physical Envelope Substitution)
콜드룸의 각 물리적 통제를 동등한 효과의 대체 통제 로 치환한다. "동등한 효과"란 해당 공격 벡터의 위협 수준을 콜드룸 수준 또는 수용 가능한 수준으로 낮추는 것을 의미한다.
콜드룸 통제
치환 대상
치환 전략
Faraday cage
RF 차폐 캐비닛, 전파 차단 파우치
디바이스 수준 차폐로 대체
맨트랩 + 다중 인증
보안 캐비닛 이중 잠금 + 2인 동시 해제
공간 통제 -> 객체 통제로 전환
듀얼 컨트롤 강제
M-of-N 다중 서명 + 절차적 2인 원칙
물리적 강제 -> 프로토콜 강제
전용 CCTV
서명 세션 녹화(합의 하), 세션 로그
공간 감시 -> 세션 감시
봉인 관리 체계
정기 봉인 + attestation + 디바이스 일련번호 관리
봉인 빈도 강화 + 기술 검증
자동 출입 로그
디바이스 접근 대장 + 디지털 서명 세션 로그
공간 로그 -> 객체/세션 로그
원칙 3: 잔여 위험 수용 기준 (Residual Risk Acceptance)
치환이 불가능하거나 비용 대비 효과가 낮은 위협에 대해, 명시적으로 잔여 위험을 수용하고 보상 통제를 적용한다.
잔여 위험 수준
정의
수용 조건
보상 통제
수용 가능 에어갭 디바이스 자체 보안으로 실질적 피해 불가
D'CENT X의 SE/PIN/attestation으로 충분히 방어
정기 보안 리뷰
조건부 수용 추가 통제 적용 시 수용 가능
보완 조치 패키지 적용 필수
보완 조치 + 정기 감사
수용 불가 추가 통제 적용 후에도 위험이 높음
콜드룸 구축 필요
콜드룸 구축 또는 보안 등급 상향
3. 위협 Delta별 보완 조치 상세
3.1. Delta High 항목 (6개) -- 보완 조치 필수
PA-01: 비인가 물리 접근
항목
내용
위협 접근 권한 없는 자가 디바이스/시드에 물리적 접근
콜드룸 통제 맨트랩 + 다중 인증(배지+생체) + CCTV
보완 조치 CC-PHY-01 보안 캐비닛 + CC-PHY-02 이중 잠금 + CC-PROC-01 듀얼 컨트롤
보완 후 잔여 위험 Medium -> Low (이중 잠금 + 2인 동시 해제로 비인가 접근 대폭 감소)
비용/복잡도 낮음 (보안 캐비닛 $500-2,000, 이중 잠금 $200-500)
DV-01: 디바이스 도난
항목
내용
위협 콜드월렛 물리적 탈취
콜드룸 통제 물리 보관 통제 + 출입 로그
보완 조치 CC-PHY-01 보안 캐비닛 + CC-PHY-03 앵커링 + CC-TECH-01 SE PIN 정책
보완 후 잔여 위험 High -> Medium (탈취 시 SE PIN 10회 실패 자동 삭제가 최종 방어)
비용/복잡도 낮음
DV-02: Evil Maid 디바이스 교체
항목
내용
위협 정품 디바이스를 변조 디바이스로 교체
콜드룸 통제 봉인 관리 + 듀얼 컨트롤 + 디바이스 attestation
보완 조치 CC-PHY-04 봉인 강화 + CC-TECH-02 사전 attestation + CC-PROC-02 디바이스 인벤토리
보완 후 잔여 위험 High -> Low (attestation이 변조 디바이스를 암호학적으로 거부)
비용/복잡도 낮음 (봉인 백 소모품 + attestation은 D'CENT X 내장 기능)
EN-01: TEMPEST 전자기 도청
항목
내용
위협 디바이스 전자기파 수집으로 정보 추출
콜드룸 통제 Faraday cage
보완 조치 CC-PHY-05 RF 차폐 파우치 + CC-PROC-03 서명 위치 변경
보완 후 잔여 위험 Medium -> Low (일반 기업 위협에서 TEMPEST 공격은 발생 확률 극히 낮음. 국가 수준 위협 시 콜드룸 필수)
비용/복잡도 매우 낮음 (RF 차폐 파우치 $50-200)
OP-01: 절차 우회
항목
내용
위협 보안 절차를 편의상 건너뛰기
콜드룸 통제 체크리스트 강제 + 증인 + CCTV
보완 조치 CC-PROC-04 디지털 체크리스트 + CC-PROC-01 듀얼 컨트롤 + CC-ORG-01 정기 감사
보완 후 잔여 위험 High -> Medium (물리적 강제는 부재하나, 디지털 체크리스트 + 감사로 억제)
비용/복잡도 낮음 (대시보드 체크리스트 기능 + 감사 프로세스)
OP-02: 로깅 누락
항목
내용
위협 접근/작업 기록 누락으로 추적 불가
콜드룸 통제 자동 출입 로그 + CCTV + 체크리스트
보완 조치 CC-TECH-03 디바이스 접근 대장 + CC-TECH-04 서명 세션 자동 로그 + CC-PROC-04 디지털 체크리스트
보완 후 잔여 위험 High -> Medium (디지털 로그가 수기 기록 대체, 물리 접근 로그만 수기 의존)
비용/복잡도 중간 (대시보드 로깅 기능 + 접근 대장 프로세스)
3.2. Delta Medium 항목 (9개) -- 보완 조치 권장
공격 벡터
보완 조치
보완 후 잔여 위험
PA-02 숄더 서핑
CC-PHY-06 프라이버시 스크린 + CC-PROC-05 서명 독립 공간
Low
PA-03 강압
CC-PROC-01 듀얼 컨트롤 + CC-TECH-05 지연 서명
Medium (외부 위협 한계)
DV-03 물리적 변조
CC-PHY-01 보안 캐비닛 + CC-TECH-02 attestation
Low
EN-02 무선 신호
CC-PHY-05 RF 차폐 파우치
Low (에어갭이 기본 방어)
HU-01 내부자 공모
CC-PROC-01 듀얼 컨트롤 + CC-ORG-02 역할 분리
Medium (M명 이상 공모 한계)
HU-02 소셜 엔지니어링
CC-ORG-03 보안 교육 + WYSIWYS 의존
Low
HU-03 강압 서명
CC-PROC-01 듀얼 컨트롤 + CC-TECH-05 지연 서명 + CC-ORG-04 긴급 프로토콜
Medium
SC-01 공급망 교체
CC-PHY-04 봉인 강화 + CC-TECH-02 attestation
Low
OP-03 백업 노출
CC-PHY-07 백업 전용 금고 + CC-PROC-06 봉인 정기 검사
Low
4. 보완 조치 카탈로그
재사용 가능한 보완 조치 목록. 각 조치에 고유 ID를 부여하여 배포 모델별 패키지에서 참조한다.
4.1. 물리적 통제 (CC-PHY)
ID
명칭
설명
비용
CC-PHY-01 보안 캐비닛/금고
콜드월렛과 시드 백업을 보안 등급 금고(UL-RSC Class II 이상)에 보관
$500-5,000
CC-PHY-02 이중 잠금
2개의 독립 잠금(키 + 다이얼/디지털)으로 단일 키 탈취 시 접근 불가
$200-500
CC-PHY-03 앵커링(Anchoring)
금고를 바닥/벽에 볼트 고정하여 통째 반출 방지
$100-300
CC-PHY-04 봉인 관리 강화
변조 방지 봉인 백(tamper-evident bag) + 일련번호 관리 + 사용 시마다 새 봉인
$10-50/건
CC-PHY-05 RF 차폐 파우치
Faraday bag에 디바이스 보관하여 비사용 시 전자기 차폐
$50-200
CC-PHY-06 프라이버시 스크린
서명 세션 시 디바이스 화면에 시야각 제한 필름 적용
$30-80
CC-PHY-07 백업 전용 금고
시드 백업(금속 플레이트)을 디바이스와 물리적으로 분리된 금고에 보관
$500-2,000
4.2. 절차적 통제 (CC-PROC)
ID
명칭
설명
비용
CC-PROC-01 듀얼 컨트롤
디바이스 접근 및 서명 세션 시 2인 이상 동시 참석 원칙. 금고 열쇠 분리 보관
인건비만
CC-PROC-02 디바이스 인벤토리
디바이스 일련번호, 봉인 번호, 위치를 기록한 인벤토리 대장 유지
인건비만
CC-PROC-03 서명 위치 변경
예측 불가능한 위치에서 서명 세션 수행(TEMPEST 대응)
인건비만
CC-PROC-04 디지털 체크리스트
대시보드 내 서명 세션 체크리스트 기능. 절차 완료 없이 다음 단계 불가
개발 비용
CC-PROC-05 서명 독립 공간
서명 세션 시 회의실 등 독립 공간 사용, 제3자 접근 차단
공간 비용만
CC-PROC-06 봉인 정기 검사
월 1회 이상 봉인 상태 점검, 파손/변조 확인, 검사 기록
인건비만
4.3. 기술적 통제 (CC-TECH)
ID
명칭
설명
비용
CC-TECH-01 SE PIN 정책 강화
6자리 이상 PIN, 10회 실패 시 SE 자동 삭제, PIN 변경 주기
없음 (D'CENT X 내장)
CC-TECH-02 사전 Attestation
매 서명 세션 전 디바이스 attestation 수행. 변조 디바이스 사전 차단
없음 (D'CENT X 내장)
CC-TECH-03 디바이스 접근 대장
디바이스 접근 시 디지털 기록(접근자, 시각, 목적, 반납 시각)
개발 비용
CC-TECH-04 서명 세션 자동 로그
서명 세션의 시작/종료, 참여 서명자, TX 해시를 대시보드에 자동 기록
개발 비용
CC-TECH-05 지연 서명(Time-delayed Signing)
고액 TX에 대해 서명 후 브로드캐스트까지 대기 시간(예: 24시간) 적용. 강압 상황에서 취소 가능
개발 비용
4.4. 조직적 통제 (CC-ORG)
ID
명칭
설명
비용
CC-ORG-01 정기 보안 감사
분기별 보완 조치 이행 상태 점검. 내부 또는 외부 감사
감사 비용
CC-ORG-02 역할 분리 강화
디바이스 보관 담당자와 서명자 분리, 금고 열쇠 분리 보관
인건비만
CC-ORG-03 보안 교육
서명자 대상 연 2회 이상 보안 교육(소셜 엔지니어링, WYSIWYS 확인 습관, 강압 대응)
교육 비용
CC-ORG-04 긴급 프로토콜
강압/도난/침해 시 긴급 대응 절차. 긴급 연락 체계, 자산 동결 프로세스
설계 비용만
5. 배포 모델별 보완 조치 패키지
on-premise-zero-cloud.md에서 정의한 3개 배포 모델별 보완 조치를 패키지로 구성한다.
5.1. Zero Cloud -- 콜드룸 운영 (기준선)
콜드룸을 운영하는 Zero Cloud 배포 모델은 이 문서의 보완 조치가 불필요하다. cold-room-definition-standards.md의 물리 보안 요건을 직접 적용한다.
항목
기준선
물리 환경 전용 콜드룸 (Faraday cage, 맨트랩, 듀얼 컨트롤)
보완 조치 불필요 (콜드룸 자체가 최고 수준 물리 보안)
CCSS 대응 Level 3 가능
적합 고객 대규모 기관, 중앙은행, 국부펀드
5.2. Zero Cloud -- 비콜드룸 운영
콜드룸 없이 Zero Cloud 배포 모델을 운영하는 경우. 전체 보완 조치 패키지 적용.
분류
MUST (필수)
SHOULD (권장)
MAY (선택)
물리적 CC-PHY-01 보안 캐비닛, CC-PHY-02 이중 잠금, CC-PHY-04 봉인 관리, CC-PHY-07 백업 전용 금고
CC-PHY-03 앵커링, CC-PHY-05 RF 차폐
CC-PHY-06 프라이버시 스크린
절차적 CC-PROC-01 듀얼 컨트롤, CC-PROC-02 인벤토리, CC-PROC-04 디지털 체크리스트
CC-PROC-05 독립 공간, CC-PROC-06 봉인 검사
CC-PROC-03 위치 변경
기술적 CC-TECH-01 PIN 정책, CC-TECH-02 attestation, CC-TECH-04 세션 로그
CC-TECH-03 접근 대장, CC-TECH-05 지연 서명
--
조직적 CC-ORG-01 정기 감사, CC-ORG-02 역할 분리
CC-ORG-03 보안 교육
CC-ORG-04 긴급 프로토콜
CCSS 대응 수준: MUST 전체 적용 시 Level 2, SHOULD 포함 시 Level 2+ (Level 3 일부 충족)
5.3. Hybrid 배포 모델
온프레미스 서명 환경의 보완 조치. 대시보드는 클라우드, 키/서명은 온프레미스.
분류
MUST (필수)
SHOULD (권장)
MAY (선택)
물리적 CC-PHY-01 보안 캐비닛, CC-PHY-04 봉인 관리
CC-PHY-02 이중 잠금, CC-PHY-07 백업 금고
CC-PHY-05 RF 차폐
절차적 CC-PROC-01 듀얼 컨트롤, CC-PROC-02 인벤토리
CC-PROC-04 디지털 체크리스트
CC-PROC-05 독립 공간
기술적 CC-TECH-01 PIN 정책, CC-TECH-02 attestation
CC-TECH-04 세션 로그
CC-TECH-05 지연 서명
조직적 CC-ORG-03 보안 교육
CC-ORG-01 정기 감사
CC-ORG-02 역할 분리
CCSS 대응 수준: MUST 적용 시 Level 1+, SHOULD 포함 시 Level 2
5.4. SaaS 배포 모델
최소 물리 보안 요건. 에어갭 디바이스 자체 보안에 주로 의존.
분류
MUST (필수)
SHOULD (권장)
MAY (선택)
물리적 CC-PHY-04 봉인 관리
CC-PHY-01 보안 캐비닛
CC-PHY-05 RF 차폐
절차적 CC-PROC-02 인벤토리
CC-PROC-01 듀얼 컨트롤
--
기술적 CC-TECH-01 PIN 정책, CC-TECH-02 attestation
--
CC-TECH-05 지연 서명
조직적 CC-ORG-03 보안 교육
--
CC-ORG-01 정기 감사
CCSS 대응 수준: MUST 적용 시 Level 1, SHOULD 포함 시 Level 1+
6. 보안 수준 등급 체계
비콜드룸 환경의 보안 수준을 3개 등급으로 분류한다. 고객이 자사 환경에 적합한 수준을 선택할 수 있도록 한다.
Grade A: 콜드룸에 준하는 물리 보안
항목
기준
물리 환경 전용 보안실 (콜드룸 아님 -- Faraday cage 없음), 독립 공간, 전용 접근 통제
보완 조치 MUST + SHOULD 전체 적용 (18개 조치 중 15개+)
CCSS 대응 Level 2+ (Level 3 물리 요건 일부 미달: 전자기 차폐)
적합 고객 대기업, 금융기관, 높은 AUC ($50M+), CCSS Level 2 인증 추진 기업
투자 비용 $5,000-15,000 (보안실 개조 + 장비)
Grade B: 강화된 사무실 보안
항목
기준
물리 환경 일반 사무실 내 보안 캐비닛/금고 + 절차적 통제
보완 조치 MUST 전체 + SHOULD 일부 적용 (18개 조치 중 10-14개)
CCSS 대응 Level 2 (물리 보안 일부 미달, 에어갭 디바이스 보안으로 보상)
적합 고객 중견기업, AUC $10M-50M, SOC 2 인증 추진 기업
투자 비용 $1,000-5,000 (보안 캐비닛 + 절차 수립)
Grade C: 기본 사무실 보안
항목
기준
물리 환경 일반 사무실, 에어갭 디바이스 자체 보안에 주로 의존
보완 조치 MUST만 적용 (18개 조치 중 7-9개)
CCSS 대응 Level 1 (기본 보안, 에어갭이 대부분의 디지털 위협 차단)
적합 고객 소규모 기업, 스타트업, AUC < $10M, 초기 도입 단계
투자 비용 $500-1,000 (봉인 관리 + 기본 보안)
등급별 비교 요약
비교 항목
Grade A
Grade B
Grade C
콜드룸
보완 조치 수 15+
10-14
7-9
N/A
CCSS 대응 Level 2+
Level 2
Level 1
Level 3
투자 비용 $5K-15K
$1K-5K
$500-1K
$50K-200K
운영 인력 전담 1명
겸임 0.5명
겸임 0.2명
전담 2-3명
적합 AUC $50M+
$10M-50M
< $10M
$100M+
위협 방어 커버리지 90%
75%
60%
98%
7. Phase 12-15 연계
7.1. Phase 12: 도입 시나리오 매트릭스
물리 환경 차원(콜드룸/비콜드룸): 본 문서의 보안 등급(Grade A/B/C)이 시나리오 매트릭스의 물리 환경 변수로 사용유효 시나리오 선별: 배포 모델 x 물리 환경 조합에서, 각 조합의 보완 조치 패키지가 현실적인지 평가하여 유효 시나리오 결정전환 경로: Grade C -> Grade B -> Grade A -> 콜드룸 상향 전환 경로 정의에 활용
7.2. Phase 13: 서명 플로우 설계
물리 환경별 분기 포인트: "Same digital flow, different physical envelope" 원칙에 따라, 서명 플로우의 디지털 부분은 동일하되 물리 절차(사전 점검, 듀얼 컨트롤, 체크리스트)만 분기콜드룸 동기 서명: cold-room-definition-standards.md의 물리 요건 + 키 세레모니 프로토콜비콜드룸 비동기 서명: 본 문서의 보완 조치 패키지(해당 등급) + 비동기 분산 서명 프로토콜
7.3. Phase 14: 세그먼트별 사용자 플로우
고객 유형별 예상 물리 환경: 셀프 커스터디 대기업(Grade A/콜드룸), 수탁 사업자(콜드룸 필수), 토큰 발행(Grade B/C)수탁 사업자 특수 요건: 고객 자산을 관리하므로 Grade A 이상 필수, CCSS Level 2+ 인증 필요
7.4. Phase 15: 도입 여정 플로우
Day-0 물리 환경 평가: 본 문서의 등급 체계 + 체크리스트(부록)로 고객 현재 물리 환경 평가Day-1 보완 조치 적용: 평가 결과에 따른 보완 조치 패키지 선택 및 적용Day-N 등급 상향: Grade C -> B -> A -> 콜드룸 전환 시점과 트리거 조건
8. 부록: 보완 조치 체크리스트
도입 기업이 자체 평가에 사용할 수 있는 체크리스트. 해당 보완 조치의 이행 여부를 체크하고, 보안 등급을 자가 평가한다.
8.1. 물리적 통제 체크리스트
[ ] CC-PHY-01 보안 캐비닛/금고에 콜드월렛을 보관하고 있는가?
[ ] CC-PHY-02 금고에 이중 잠금(2개 독립 잠금)이 적용되어 있는가?
[ ] CC-PHY-03 금고가 바닥/벽에 볼트 고정되어 있는가?
[ ] CC-PHY-04 디바이스에 변조 방지 봉인(tamper-evident bag)을 적용하고 있는가?
[ ] CC-PHY-05 미사용 시 디바이스를 RF 차폐 파우치에 보관하고 있는가?
[ ] CC-PHY-06 서명 세션 시 프라이버시 스크린을 사용하고 있는가?
[ ] CC-PHY-07 시드 백업을 디바이스와 물리적으로 분리된 금고에 보관하고 있는가?
8.2. 절차적 통제 체크리스트
[ ] CC-PROC-01 디바이스 접근 및 서명 세션 시 2인 이상 동시 참석하는가?
[ ] CC-PROC-02 디바이스 인벤토리(일련번호, 봉인, 위치) 대장을 유지하고 있는가?
[ ] CC-PROC-03 TEMPEST 방지를 위해 서명 위치를 변경하고 있는가?
[ ] CC-PROC-04 서명 세션 시 디지털 체크리스트를 사용하고 있는가?
[ ] CC-PROC-05 서명 세션을 독립 공간(회의실 등)에서 수행하고 있는가?
[ ] CC-PROC-06 봉인 상태를 월 1회 이상 점검하고 있는가?
8.3. 기술적 통제 체크리스트
[ ] CC-TECH-01 콜드월렛 PIN이 6자리 이상이고, 10회 실패 시 자동 삭제가 설정되어 있는가?
[ ] CC-TECH-02 매 서명 세션 전 디바이스 attestation을 수행하고 있는가?
[ ] CC-TECH-03 디바이스 접근 시 디지털 기록(접근자, 시각, 목적)을 남기고 있는가?
[ ] CC-TECH-04 서명 세션의 시작/종료/참여자/TX 해시가 자동 기록되는가?
[ ] CC-TECH-05 고액 TX에 대해 지연 서명(대기 시간)이 적용되어 있는가?
8.4. 조직적 통제 체크리스트
[ ] CC-ORG-01 분기별 보완 조치 이행 상태를 감사하고 있는가?
[ ] CC-ORG-02 디바이스 보관 담당자와 서명자가 분리되어 있는가?
[ ] CC-ORG-03 서명자 대상 보안 교육을 연 2회 이상 실시하고 있는가?
[ ] CC-ORG-04 강압/도난/침해 시 긴급 대응 절차가 수립되어 있는가?
8.5. 자가 등급 평가
체크 항목 수
보안 등급
CCSS 대응
15개 이상
Grade A Level 2+
10-14개
Grade B Level 2
7-9개
Grade C Level 1
7개 미만
등급 미달 보완 필요
본 문서는 Phase 11 콜드룸 운영 비교 리서치의 일부로서, COLD-04(비콜드룸 운영 시 보안 보완 조치 설계) 요구사항을 충족한다.
"Same digital flow, different physical envelope" 원칙을 공식 정의하고, 18개 보완 조치를 ID 체계로 카탈로그화하였다.
threat-model-comparison.md의 Delta High/Medium 항목에 대한 구체적 보완 조치를 설계하고, 배포 모델별(Zero Cloud/Hybrid/SaaS) 및 보안 등급별(Grade A/B/C) 패키지로 구성하였다.
Phase 12-15의 물리 환경 분기 기준과 도입 여정의 보안 등급 평가 기준을 확립하였다.
관련 문서