v0.3
엔터프라이즈 PIN 관리 체계 설계서¶
1. Executive Summary¶
본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션에서 사용되는 PIN 3종(디바이스 PIN, R3covery 카드 PIN, SLIP-39 Passphrase)의 체계적 관리 방안을 설계한다. 개인용 월렛에서 "사람이 기억하는 PIN"에 의존하는 방식은 엔터프라이즈 환경에서 단일 장애점(SPOF)을 형성하며, PIN 분실, 담당자 퇴사, 비상 상황 시 자산 접근 불가 위험을 초래한다.
핵심 설계 원칙:
| 원칙 | 설명 | 근거 |
|---|---|---|
| (1) PIN 단일 보유자 금지 | 모든 PIN은 최소 2인 이상 접근 가능한 복원 경로 확보 | SPOF 제거, DS-03(서명자 비가용) 대비 |
| (2) 셀프 커스터디 원칙 유지 | PIN을 외부 제3자(클라우드 서비스, 외부 커스터디)에게 위탁하지 않음 | self-custody-architecture.md "True Self-Custody" 원칙 |
| (3) 에어갭 준수 | PIN 관리 절차에서도 네트워크 전송 금지 | 에어갭 원칙, PIN 원격 유출 방지 |
주요 결론: PIN Shamir 분할(2-of-3 또는 3-of-5)과 봉인 봉투 에스크로를 병행하면, 단일 관리자 퇴사/비가용 시에도 PIN 복원이 가능하며, 공모 공격에 대한 방어도 확보된다. 정기 변경 정책(디바이스 PIN 6개월, R3covery 카드 PIN 12개월)과 3단계 폴백 절차로 운영 연속성을 보장한다.
2. PIN 유형 분류 및 특성 (PIN-01 기반)¶
2.1. PIN 3종 정의¶
| 항목 | 디바이스 PIN | R3covery 카드 PIN | SLIP-39 Passphrase |
|---|---|---|---|
| 대상 | D'CENT X 콜드월렛 | R3covery 카드 SE | SLIP-39 Shamir 셰어 복원 |
| 용도 | 디바이스 잠금 해제, 서명 승인 | 카드 SE 잠금 해제, 시드 복호화 | 셰어 조합 시 추가 보호 |
| 형식 | 4-8자리 숫자 | 6-8자리 숫자 | 영숫자+특수문자 12자 이상 |
| 검증 위치 | 본체 SE 내부 | 카드 SE 내부 | 소프트웨어 레벨 (오프라인 앱) |
| 시도 제한 | 10회 (추정) | 5회 (추정) [HW-CONFIRM-R03] | 제한 없음 (소프트웨어 레벨) |
| 보안 등급 | High | Critical | High |
| 변경 가능 | 가능 (현재 PIN 인증 후) | 가능 (현재 PIN 인증 후) | 불가 (셰어 재생성 필요) |
| 분실 영향 | 해당 디바이스 사용 불가 → 시드 복원으로 대체 가능 | 해당 카드 사용 불가 → 카드 재발급 또는 금속 시드 폴백 | SLIP-39 복원 불가 → R3covery 카드 또는 금속 시드 폴백 |
2.2. PIN 보안 등급 상세¶
| 보안 등급 | 정의 | 해당 PIN | 관리 수준 |
|---|---|---|---|
| Critical | 분실/탈취 시 시드 직접 노출 위험 | R3covery 카드 PIN | 최고 수준 — Shamir 분할 + 봉인 봉투 + 지리적 분산 |
| High | 분실 시 운영 중단 위험, 폴백 경로 존재 | 디바이스 PIN, SLIP-39 Passphrase | 높은 수준 — Shamir 분할 + 봉인 봉투 |
3. PIN 라이프사이클 상태 머신 (PIN-01)¶
3.1. 상태 정의¶
모든 PIN 유형에 공통으로 적용되는 4단계 상태 머신:
| 상태 | 설명 | PIN 사용 가능 | 진입 조건 |
|---|---|---|---|
| UNSET | PIN 미설정 상태 (초기 상태) | 불가 | 디바이스/카드 초기화 직후 |
| ACTIVE | PIN 설정 완료, 정상 사용 가능 | 가능 | 최초 설정 또는 잠금 해제 |
| LOCKED | 연속 실패로 인한 잠금 상태 | 불가 | 연속 N회 PIN 오류 |
| WIPED | 보안 폐기 완료 (데이터 삭제) | 불가 | 잠금 후 추가 실패 또는 긴급 폐기 |
3.2. 상태 전이 다이어그램¶
┌─────────┐
│ UNSET │ (초기 상태)
└────┬────┘
│ 키 세레모니 Step 2/3
│ (최초 PIN 설정)
▼
┌────────────────┐
┌─────│ ACTIVE │◀────────┐
│ │ (정상 사용) │ │
│ └───┬────┬───────┘ │
│ │ │ │
│ PIN │ │ PIN 변경 │ 잠금 해제
│ 오류 │ │ (ACTIVE→ACTIVE) │ (PUK 또는
│ 누적 │ │ │ Admin 쿼럼)
│ ▼ │ │
│ ┌────────┴──┐ │
│ │ LOCKED │──────────────┘
│ │ (잠금) │
│ └─────┬────┘
│ │ 추가 실패 또는
│ │ 잠금 해제 실패
│ ▼
│ ┌──────────┐
└────▶│ WIPED │
보안 침해 │ (폐기) │
긴급 폐기 └──────────┘
(DS-05)
3.3. 상태 전이 상세¶
| 전이 | 트리거 조건 | 필요 권한 (RBAC) | 감사 로그 항목 |
|---|---|---|---|
| UNSET → ACTIVE | 키 세레모니 Step 2(디바이스 PIN) 또는 Step 3(카드 PIN) 에서 최초 설정 | Approver (자신의 PIN 설정) | PIN 설정 완료, 설정 시각, 세레모니 ID |
| ACTIVE → ACTIVE | 현재 PIN 인증 성공 후 새 PIN 입력 (PIN 변경) | Approver + 증인 1인 | PIN 변경 완료, 변경 시각, 증인 서명 |
| ACTIVE → LOCKED | 연속 N회 PIN 오류 (디바이스: 10회, 카드: 5회 [HW-CONFIRM-R03]) | 자동 (SE 내부 카운터) | 잠금 발생, 잠금 시각, 실패 횟수 |
| LOCKED → ACTIVE | PUK 코드 입력 또는 Admin 쿼럼(2-of-3) 승인에 의한 잠금 해제 | Admin 쿼럼 (2-of-3) | 잠금 해제, 해제 시각, 승인 Admin 목록 |
| LOCKED → WIPED | 잠금 상태에서 추가 PUK 실패 또는 관리자 원격 폐기 명령 | Super Admin 또는 SE 자동 (SE 정책) | 폐기 실행, 폐기 시각, 트리거 사유 |
| ACTIVE → WIPED | 보안 침해 감지 시 긴급 폐기 (DS-05 연계) | Super Admin 긴급 권한 | 긴급 폐기, DS-05 인시던트 ID |
PUK(Personal Unblocking Key) 지원 여부: - PUK는 SE 칩 구현에 따라 지원 여부가 다름 - PUK 미지원 시: LOCKED → ACTIVE 전이가 불가하며, Shamir 복원 또는 카드 재발급으로 대체 - [HW-CONFIRM-R03]에서 PUK 지원 여부 함께 확인 필요
4. PIN 분리 보관 및 에스크로 절차 (PIN-01)¶
4.1. 물리적 분리 보관 원칙¶
| 원칙 | 상세 | 근거 |
|---|---|---|
| 카드-PIN 분리 | R3covery 카드와 해당 PIN은 반드시 다른 물리적 위치에 보관 | 동시 탈취 방지 (r3covery-card-technical-analysis.md R3C-T01) |
| 지리적 분산 | 최소 2개 지리적 분산 거점에 PIN 보관 | disaster-recovery.md DS-02(사이트 재해) 대비, 30km 이상 분리 |
| 디바이스-PIN 분리 | 디바이스 PIN도 디바이스와 다른 위치에 봉인 보관 | 디바이스 도난 시 PIN 동시 탈취 방지 |
보관 위치 매핑 (disaster-recovery.md 사이트 구조 준용):
Site A (Primary): 본사 보안 금고
├─ D'CENT X 콜드월렛 (운영용)
├─ R3covery 카드 PIN 봉인 봉투 (Site B 카드용)
└─ 디바이스 PIN Shamir 셰어 #1
Site B (Secondary): 원격 지사 또는 은행 금고
├─ R3covery 카드 (백업용)
├─ 디바이스 PIN 봉인 봉투 (Site A 디바이스용)
└─ R3covery 카드 PIN Shamir 셰어 #1, #2
Site C (Tertiary): 독립 보관 서비스
├─ 금속 시드 플레이트 (최후 비상)
├─ R3covery 카드 PIN Shamir 셰어 #3, #4
└─ 디바이스 PIN Shamir 셰어 #2, #3
4.2. 봉인 봉투(Tamper-Evident Envelope) 절차¶
봉투 사양:
| 항목 | 사양 |
|---|---|
| 유형 | Tamper-evident 보안 봉투 (개봉 시 "VOID" 패턴 출현) |
| 소재 | 다중 레이어 폴리에틸렌 + 접착층 |
| 일련번호 | 고유 일련번호 인쇄 (순차 번호, 바코드/QR) |
| 크기 | A6 (105x148mm) 이상 — PIN 기록 용지 + 여유 공간 |
| 보안 기능 | 개봉 흔적 표시, 일련번호 변조 방지, 복원 불가 접착 |
봉인 절차 (키 세레모니 중):
Step 1: PIN 기록
□ 산성 프리(acid-free) 용지에 PIN 기록
□ 기록자: PIN 소유자(Approver) 본인만 기록
□ 다른 참석자는 PIN 내용을 확인하지 않음
Step 2: 봉투 삽입
□ PIN 기록 용지를 봉인 봉투에 삽입
□ 봉투 봉인 (접착부 밀봉)
Step 3: 봉인 검증
□ 증인 2인 앞에서 봉인 상태 확인
□ 봉투 일련번호를 감사 로그에 기록
□ 봉인 일시, PIN 유형, 대상 디바이스/카드 ID 기록
□ 증인 2인이 봉인 확인 서명
Step 4: 보관
□ 봉인 봉투를 지정 금고에 보관
□ 금고 접근 기록 시스템에 등록
4.3. 에스크로 접근 제어¶
봉인 봉투에 보관된 PIN에 접근하는 절차:
| 단계 | 절차 | 소요 시간 | 비고 |
|---|---|---|---|
| 1 | 접근 사유서 작성 — PIN 접근이 필요한 사유를 공식 문서로 작성 | 30분 | 사유: PIN 분실, 담당자 퇴사, 정기 변경, 보안 점검 |
| 2 | Super Admin 2인 승인 — 접근 사유서를 Super Admin 쿼럼(2-of-3)이 승인 | 가변 | 긴급 시 단축 가능 (DS-05 긴급 프로토콜) |
| 3 | 금고 관리자 입회 — 금고 관리자 입회 하에 봉투 반출 | 30분 | 금고 CCTV 기록 |
| 4 | 봉투 개봉 — 증인 1인 이상 입회 하에 봉인 봉투 개봉 | 10분 | 봉인 파손 상태 확인 (사전 변조 여부) |
| 5 | PIN 사용 — PIN으로 디바이스/카드 잠금 해제 | 가변 | 에어갭 환경에서 수행 |
| 6 | PIN 변경 — 사용 후 즉시 새 PIN 설정 | 15분 | 이전 PIN 무효화 |
| 7 | 재봉인 — 새 PIN을 새 봉인 봉투에 봉인 | 15분 | Shamir 셰어도 재분할 필요 |
감사 추적 기록 항목: - 접근 일시, 접근 사유, 사유서 문서 ID - 승인 Super Admin 이름 및 승인 시각 - 금고 관리자 이름, 입회 증인 이름 - 봉투 일련번호 (개봉 전), 봉인 상태 (정상/변조 흔적) - 새 봉투 일련번호 (재봉인 후) - 전체 절차 소요 시간
5. PIN Shamir 분할 설계 (PIN-02)¶
5.1. 개념¶
PIN 자체를 Shamir Secret Sharing(SSS)으로 M-of-N 분할하여 복수 관리자가 각 셰어를 보관한다. M명의 셰어를 조합하면 원본 PIN을 복원할 수 있으며, M-1명 이하로는 PIN에 대한 어떤 정보도 얻을 수 없다.
5.2. 분할 파라미터 설계¶
| PIN 유형 | M-of-N | 분배 대상 | 근거 |
|---|---|---|---|
| 디바이스 PIN | 2-of-3 | Admin 3인 | 1명 비가용 시에도 복원 가능, 관리 부담 최소화 |
| R3covery 카드 PIN | 3-of-5 | Super Admin 2인 + Admin 3인 | 보안 등급 Critical → 높은 임계값, 다양한 역할 분산 |
| SLIP-39 Passphrase | 분할하지 않음 | - | SLIP-39 자체가 M-of-N 분할이므로 이중 분할은 복잡성만 증가 |
M-of-N 파라미터 선정 근거:
- 디바이스 PIN (2-of-3): 디바이스 PIN은 운영 중 비교적 자주 사용되므로, 복원 편의성이 중요하다. Admin 3인 중 2인이 가용하면 복원 가능.
- R3covery 카드 PIN (3-of-5): R3covery 카드 PIN은 시드에 직접 접근하는 Critical 등급이므로, 더 높은 임계값이 필요하다. Super Admin과 Admin을 혼합 분배하여 단일 역할 그룹의 공모를 방지.
- SLIP-39 Passphrase: SLIP-39 자체가 시드를 M-of-N 셰어로 분할하므로, Passphrase를 추가 분할하면 "분할의 분할"이 되어 복구 절차가 과도하게 복잡해진다.
5.3. 분할 절차¶
키 세레모니 도중 에어갭 환경에서 수행한다.
Phase A: PIN Shamir 분할 준비
□ 키 세레모니 환경에서 수행 (key-ceremony.md Step 1 환경 검증 완료 상태)
□ Shamir 분할 계산 도구 준비:
- 옵션 1: D'CENT X 디바이스 자체 내장 기능 (구현 시)
- 옵션 2: 에어갭 전용 오프라인 기기 (Raspberry Pi + TAILS OS 등)
- 금지: 온라인 컴퓨터, 클라우드 서비스, 네트워크 연결 기기
□ 봉인 봉투 N장 준비 (셰어 수만큼)
Phase B: 분할 실행
□ 원본 PIN 입력 → Shamir 분할 알고리즘 실행
□ N개 셰어 생성 확인 (각 셰어는 별도 화면/출력)
□ 각 셰어를 별도 용지에 기록
□ 각 용지를 별도 봉인 봉투에 삽입 → 봉인
□ 봉투 일련번호 기록
Phase C: 분배
□ 각 봉인 봉투를 분배 대상자에게 전달
□ 분배 대상자는 본인 봉투만 수령 (다른 셰어 미확인)
□ 분배 매핑 기록: 셰어 번호 → 수령자 → 봉투 일련번호 → 보관 장소
□ 분배 완료 후 원본 PIN은 분할 도구 메모리에서 즉시 삭제
□ 분할 도구 보안 삭제 (Factory Reset 또는 물리적 파쇄)
Phase D: 검증
□ 즉시 복원 테스트 (선택 사항이나 권장):
- M명의 셰어 수집 → 조합 → PIN 복원 → 원본 PIN과 일치 확인
- 테스트 후 복원된 PIN 기록 즉시 파쇄
□ 셰어 분배 매핑을 감사 로그에 최종 기록
5.4. 복원 절차¶
| 단계 | 절차 | 비고 |
|---|---|---|
| 1 | 복원 트리거 발생 — PIN 봉인 봉투 분실, PIN 기억 실패, 담당자 퇴사 | 접근 사유서 작성 (섹션 4.3 절차 적용) |
| 2 | 셰어 보유자 M명 소집 — 지리적 분산 보관이므로 소집에 시간 필요 | 긴급 시 화상 회의로 셰어 전달은 금지 (에어갭 위반) |
| 3 | 보안 환경 확보 — 키 세레모니와 동일 수준 (에어갭, 증인 입회) | 전자기기 반입 금지 |
| 4 | 각자 봉투 개봉 — 증인 앞에서 Tamper-evident 봉투 개봉 | 봉인 상태 확인 |
| 5 | 셰어 조합 — 오프라인 도구에 M개 셰어 입력 → PIN 복원 | 에어갭 전용 기기 사용 |
| 6 | PIN 즉시 변경 — 복원된 PIN으로 디바이스/카드 잠금 해제 → 새 PIN 설정 | 복원된 이전 PIN은 즉시 무효화 |
| 7 | 새 셰어 재분할 — 새 PIN에 대해 Shamir 재분할 수행 | Phase B/C 절차 반복 |
| 8 | 재분배 — 새 셰어를 새 봉인 봉투에 삽입, 분배 대상자에게 재전달 | 기존 셰어 봉투는 전량 물리적 파쇄 |
5.5. 보안 분석¶
SPOF(단일 장애점) 제거: - 디바이스 PIN (2-of-3): Admin 1명 퇴사/비가용 시에도 나머지 2명으로 복원 가능 - R3covery 카드 PIN (3-of-5): 2명까지 비가용이어도 나머지 3명으로 복원 가능 - 최악의 경우(셰어 보유자 다수 동시 비가용): 금속 시드 폴백으로 자산 접근 보장
공모 공격(Collusion Attack) 분석:
| PIN 유형 | M-of-N | 공모 필요 인원 | 공모 확률 (가정) | 위험 수준 |
|---|---|---|---|---|
| 디바이스 PIN | 2-of-3 | 2명 | C(3,2)/3! = 3가지 조합 | Medium — 2명 공모 상대적으로 용이 |
| R3covery 카드 PIN | 3-of-5 | 3명 | C(5,3)/5! = 10가지 조합 | Low — 3명 공모 어려움 + Super Admin 포함 |
공모 방어 강화 방안: - Super Admin과 Admin을 혼합 분배하여 단일 역할 그룹의 공모 방지 - 셰어 보유자에 대한 정기 배경 조사 - 셰어 보유자 변경 시 즉시 재분할 - 감사 로그로 셰어 접근 시도 추적
셰어 갱신 규칙: - PIN 변경 시: 기존 셰어 전량 폐기 → 새 PIN으로 재분할 필수 - 셰어 보유자 변경 시: 동일 PIN이라도 재분할 (기존 셰어 무효화) - 봉인 봉투 변조 의심 시: 즉시 재분할
6. PIN 변경/갱신/분실 정책 (PIN-03)¶
6.1. 정기 변경 정책¶
| PIN 유형 | 권장 변경 주기 | 강제 변경 주기 | 근거 |
|---|---|---|---|
| 디바이스 PIN | 6개월 | 12개월 | 일상적 사용 빈도 높음 → 노출 위험 누적, 정책 엔진 알림 |
| R3covery 카드 PIN | 12개월 | 24개월 | 카드 접근 빈도 낮음 → 빈번한 변경은 오히려 분실 위험 증가 |
| SLIP-39 Passphrase | 변경 불가 | - | Passphrase가 셰어에 내장 → 변경 시 전체 셰어 재생성 필요 |
정책 엔진 연계: - 대시보드 정책 엔진이 PIN 변경 기한 도래 시 Admin에게 알림 발송 - 강제 변경 기한 초과 시 경고 에스컬레이션 (Super Admin 통보) - 변경 완료 후 다음 변경 기한 자동 갱신
6.2. PIN 변경 절차¶
PIN 변경 절차 (디바이스 PIN / R3covery 카드 PIN 공통):
Step 1: 변경 환경 준비
□ 에어갭 환경 확보 (키 세레모니급까지는 불필요, 네트워크 차단만 확인)
□ 증인 1인 이상 입회
Step 2: 현재 PIN 인증
□ 디바이스/카드에 현재 PIN 입력 → 인증 성공 확인
Step 3: 새 PIN 설정
□ 새 PIN 입력 → 확인 입력 → PIN 변경 완료
□ 변경 완료 메시지 확인
Step 4: Shamir 셰어 재분할
□ 새 PIN에 대해 Shamir 분할 수행 (섹션 5.3 Phase B)
□ 새 셰어를 새 봉인 봉투에 삽입 → 봉인
Step 5: 봉인 봉투 재작성
□ 새 PIN 기록 → 새 봉인 봉투에 삽입 → 봉인 → 증인 서명
Step 6: 기존 자료 폐기
□ 기존 Shamir 셰어 봉투 전량 수거 → 물리적 파쇄
□ 기존 PIN 봉인 봉투 수거 → 물리적 파쇄
□ 파쇄 완료 확인 → 감사 로그 기록
Step 7: 재분배
□ 새 셰어 봉투를 분배 대상자에게 재전달
□ 분배 매핑 업데이트 → 감사 로그 기록
6.3. 폴백 절차 (PIN 분실 시)¶
PIN 분실 시 3단계 폴백 절차를 순차적으로 시도한다.
Level 1: Shamir 셰어 복원
| 항목 | 상세 |
|---|---|
| 트리거 | PIN 기억 실패, 봉인 봉투 접근 불가 |
| 절차 | Shamir 셰어 M명 소집 → 셰어 조합 → PIN 복원 → 즉시 PIN 변경 → 셰어 재분할 |
| 소요 시간 | 2-8시간 (셰어 보유자 소집 시간 포함) |
| 성공률 | 높음 (M명 가용 시 100%) |
| 보안 수준 | 높음 (에어갭 환경, 증인 입회) |
Level 2: 봉인 봉투 에스크로
| 항목 | 상세 |
|---|---|
| 트리거 | Level 1 실패 (셰어 보유자 M명 소집 불가) |
| 절차 | Super Admin 2인 승인 → 금고 개봉 → 봉인 봉투 개봉 → PIN 확인 → 즉시 변경 |
| 소요 시간 | 4-24시간 (금고 접근 + 승인 절차) |
| 성공률 | 높음 (봉인 봉투 무결성 전제) |
| 보안 수준 | 중간 (봉인 봉투 변조 가능성 존재) |
Level 3: PIN 복원 불가 시 전체 재구축
| 항목 | 상세 |
|---|---|
| 트리거 | Level 1, 2 모두 실패 (Shamir 복원 불가 + 봉인 봉투 접근 불가/변조) |
| 절차 | R3covery 카드 폐기 → 금속 시드 또는 SLIP-39에서 시드 복구 → 새 R3covery 카드 발급 → 새 PIN 설정 |
| 소요 시간 | 24-48시간 (키 세레모니 수준의 절차 필요) |
| 성공률 | 높음 (금속 시드/SLIP-39 무결성 전제) — 하이브리드 백업 의무화(r3covery-card-technical-analysis.md 권장 전략)가 이 Level 3을 보장 |
| 보안 수준 | 높음 (키 세레모니 환경) |
폴백 절차 선택 기준:
PIN 분실 발생
│
├─ Shamir 셰어 보유자 M명 소집 가능?
│ ├─ Yes → Level 1 (Shamir 복원)
│ └─ No ↓
│
├─ 봉인 봉투 금고 접근 가능?
│ ├─ Yes → Level 2 (에스크로 개봉)
│ └─ No ↓
│
└─ 금속 시드 또는 SLIP-39 접근 가능?
├─ Yes → Level 3 (전체 재구축)
└─ No → 자산 접근 불가 (이 상황은 disaster-recovery.md
DS-02 사이트 전체 재해에 해당하며,
지리적 분산 보관으로 사전 방지됨)
6.4. 카드 재발급 트리거 조건¶
R3covery 카드 재발급이 필요한 5가지 조건:
| # | 트리거 조건 | 긴급도 | 절차 |
|---|---|---|---|
| 1 | PIN WIPED 상태 진입 — 연속 실패 초과로 SE 데이터 삭제 | 높음 | 금속 시드/SLIP-39에서 시드 복구 → 새 카드 발급 |
| 2 | R3covery 카드 물리적 손상 — NFC 응답 없음, 카드 파손 | 높음 | 다중 카드 중 정상 카드 사용 또는 시드 복구 → 새 카드 발급 |
| 3 | 보안 침해 의심 — DS-05 시나리오, PIN 유출 의심, 카드 도난 | 최고 | 즉시 해당 카드 폐기 → 긴급 키 세레모니 → 새 카드 발급 |
| 4 | 정기 교체 주기 도래 — 권장 3-5년 (EEPROM 수명 기반 [HW-CONFIRM-R04]) | 낮음 | 계획적 교체 → 새 카드에 동일 시드 재기록 → 기존 카드 폐기 |
| 5 | 담당자 변경 — PIN 접근 권한 재구성 필요 | 중간 | 새 카드 발급 + 새 PIN + Shamir 재분할 → 기존 카드 폐기 |
재발급 절차:
Step 1: 시드 확보
□ 정상 R3covery 카드에서 시드 복원 (해당 카드 PIN 필요)
□ 또는 금속 시드/SLIP-39에서 시드 복구
Step 2: 새 카드 발급
□ 에어갭 환경에서 D'CENT X 본체로 새 R3covery 카드에 시드 기록
□ 새 PIN 설정 (기존 PIN과 다른 값 권장)
Step 3: 새 PIN 관리
□ 새 PIN에 대해 Shamir 분할 수행
□ 봉인 봉투 작성 → 분배
Step 4: 기존 카드 폐기
□ 기존 R3covery 카드를 물리적 파쇄 (카드 파쇄기 또는 금속 절단)
□ 파쇄 증인 입회 → 감사 로그 기록
□ 기존 PIN 셰어 봉투 전량 파쇄
7. 업계 벤치마크¶
7.1. HSM PIN 관리¶
| 벤더 | 제품 | PIN 관리 방식 | 엔터프라이즈 적용 시사점 |
|---|---|---|---|
| Thales | Luna HSM | PED(PIN Entry Device)로 PIN 입력, M-of-N 인증(Blue/Black PED Key) | PED 물리 키 분배 = D'CENT Shamir 셰어 분배와 유사 |
| Utimaco | CryptoServer | 스마트카드 기반 관리자 인증, M-of-N 쿼럼 | 스마트카드 = R3covery 카드와 유사한 물리 토큰 |
| nCipher/Entrust | nShield | ACS(Administrator Card Set), K-of-N 카드 조합 | 카드 셋 = Shamir 셰어의 물리적 구현 |
시사점: HSM 업계는 이미 물리 토큰 + M-of-N 분할이 표준이다. D'CENT의 Shamir 분할 설계는 이 업계 관행에 부합한다.
7.2. 은행 금고 접근 코드¶
| 원칙 | 은행 관행 | D'CENT 대응 설계 |
|---|---|---|
| 이중 통제 (Dual Control) | 2인 이상 동시 참석 시에만 금고 개방 | Super Admin 2-of-3 승인 + 금고 관리자 입회 |
| 지식 분리 (Split Knowledge) | 코드의 절반씩만 각자 보유 | Shamir M-of-N 분할 (M-1명까지는 정보 제로) |
| 정기 코드 변경 | 6-12개월 주기 코드 변경 | 디바이스 PIN 6개월, 카드 PIN 12개월 |
| 접근 기록 | 금고실 CCTV + 접근 대장 기록 | 감사 로그 + 증인 서명 |
7.3. CCSS Level 3 요구사항¶
| CCSS 요구사항 | 설명 | D'CENT PIN 관리 충족 |
|---|---|---|
| Aspect 1: 키 생성 | 안전한 환경에서 키 생성 | 키 세레모니 환경에서 PIN 설정 |
| Aspect 3: 키 저장 | 3개 이상 지리적 분산 보관 | Site A/B/C 3개 거점 분산 보관 |
| Aspect 5: 키 사용 | 접근 시 쿼럼 인증 | Super Admin 2-of-3 승인 |
| Aspect 6: 접근 통제 | RBAC 기반, 다중 인증 | rbac-role-model.md 역할 체계 적용 |
| Aspect 8: 키 삭제 | 안전한 삭제 및 폐기 | 물리적 파쇄 + 감사 로그 |
8. Phase 17 입력 사항¶
8.1. R3covery 카드 라이프사이클 연계¶
| 라이프사이클 단계 | PIN 관리 연계점 |
|---|---|
| 발급 | 키 세레모니 중 PIN 최초 설정 + Shamir 분할 + 봉인 봉투 작성 |
| 보관 | 카드와 PIN 분리 보관, 정기 NFC 응답 테스트 시 PIN 불필요 |
| 검증 | 연 1회 카드 기능 검증 시 PIN 입력 필요 여부 결정 (NFC 응답만으로 충분할 수 있음) |
| 교체 | 카드 교체 시 새 PIN 설정 + 기존 PIN 셰어 전량 폐기 + 재분할 |
| 폐기 | 카드 폐기 시 PIN 봉인 봉투 + Shamir 셰어 전량 물리적 파쇄 |
8.2. 키 세레모니 절차 변경 사항¶
key-ceremony.md에 PIN 관리 절차를 통합하기 위한 변경 사항:
| 기존 세레모니 단계 | 추가 필요 절차 |
|---|---|
| Step 2: 디바이스 초기화 | 디바이스 PIN 설정 후 Shamir 분할 + 봉인 봉투 절차 추가 |
| Step 3: 시드 백업 | R3covery 카드 발급 + 카드 PIN 설정 + Shamir 분할 추가 |
| Step 3 이후 (신규) | PIN 셰어 분배 및 보관 장소 매핑 절차 |
| 사전 준비 (D-3) | Shamir 분할 도구, 봉인 봉투, 셰어 보관 금고 준비 추가 |
8.3. 백업 옵션 카탈로그 영향¶
| 백업 옵션 | PIN 복잡성 (UX 영향) | 비고 |
|---|---|---|
| 금속 시드 단독 | PIN 관리 불필요 | 가장 단순하나 니모닉 노출 위험 |
| R3covery 카드 단독 | PIN 관리 필수 (Card PIN + Shamir) | 금지 (하이브리드 의무화) |
| R3covery 카드 + 금속 시드 | PIN 관리 필수 + 금속 시드 보관 | 권장 (보안-편의 균형) |
| SLIP-39 + 금속 시드 | Passphrase 관리 + 셰어 보관 | 벤더 독립 극대화 |
| R3covery 카드 + SLIP-39 | 이중 PIN/Passphrase 관리 | 최고 보안, 최고 복잡성 |
본 문서는 Phase 16 R3covery 카드 분석 및 PIN 관리 설계의 Plan 02 산출물로, 엔터프라이즈 PIN 관리 체계를 설계한다. Phase 17 R3covery 카드 라이프사이클 설계와 백업 옵션 카탈로그의 입력 자료로 사용된다. key-ceremony.md(키 세레모니 절차), rbac-role-model.md(역할 체계), disaster-recovery.md(DS-01/DS-03/DS-05 재해 시나리오), self-custody-architecture.md(셀프 커스터디 원칙)를 참조한다.
관련 문서¶
- R3covery 카드 기술 심층 분석서 -- 제품 설계