본 문서는 D'CENT 엔터프라이즈 콜드월렛 커스터디 솔루션에서 R3covery 카드의 발급(Provisioning)-보관(Storage)-검증(Verification)-교체(Rotation)-폐기(Decommissioning) 전체 라이프사이클 운영 절차를 수립한다.
전제 조건:
- R3covery 카드 다중 발급: 최소 2장, 권장 3장 (Phase 16 결정: 10년 전체 고장 확률 0.0027%)
- 하이브리드 백업 의무화: R3covery 카드 단독 사용 금지, 금속 시드 또는 SLIP-39와 반드시 병행
- 카드별 상이 PIN 설정: 1장 PIN 유출 시 나머지 카드 보호 (Phase 16 결정)
Step 2.5: R3covery 카드 발급 (서명자당 카드 3장 기준, 15분/서명자)
각 서명자별, 각 카드별:
[Phase A: 카드 SE 초기화]
□ 미개봉 R3covery 카드 개봉 (봉인 상태 확인)
□ 카드 SE 초기화 확인 (공장 초기 상태)
- NFC 탭으로 카드 SE 응답 확인
- SE 상태: UNSET (PIN 미설정)
[Phase B: 카드 PIN 설정]
□ 카드별 상이 PIN 설정 (Phase 16 결정)
- 카드 1: PIN_C1 (6-8자리 숫자)
- 카드 2: PIN_C2 (상이)
- 카드 3: PIN_C3 (상이)
□ 서명자 본인만 PIN 입력 (다른 참석자 화면 미확인)
□ SE 상태 전이: UNSET → ACTIVE
□ PIN 설정 즉시 봉인 봉투 에스크로 절차 수행:
- PIN을 산성 무함유 종이에 기록
- 봉인 봉투에 삽입 → 봉인 → 증인 서명
- PIN Shamir 분할 수행 (R3covery 카드 PIN: 3-of-5 — Phase 16 결정)
[Phase C: 시드/셰어 기록]
□ 카드 모드 선택:
☐ 동일 시드 모드: 동일한 시드를 N장 카드에 각각 기록 (이중화 목적)
☐ SLIP-39 셰어 모드: 서로 다른 SLIP-39 셰어를 각 카드에 기록 (분산 목적)
□ D'CENT X 본체 SE → NFC → R3covery 카드 SE로 시드/셰어 전송
- SE-to-SE 암호화 채널 사용 (ECDH + AES-128-CCM)
- 카드 SE 내부에서 AES-256-GCM 암호화 저장
□ 기록 완료 확인 (카드 SE 응답 코드 확인)
[Phase D: 기록 검증]
□ 기록된 시드/셰어의 읽기 테스트 수행
- 카드 PIN 입력 → NFC 읽기 → 시드/셰어 복호화
- 원본과 대조 확인 (파생 주소 일치 검증)
□ 검증 성공 확인 → 검증자(Admin) 서명
[Phase E: 카드 라벨링]
□ 카드 외면에 식별 정보 기록:
- 카드 일련번호 (고유 ID)
- 발급일 (YYYY-MM-DD)
- 보관 위치 (예: "Site A - 금고 #3")
- 서명자 식별자 (이름 또는 코드)
- 카드 번호 (1/3, 2/3, 3/3)
□ 시드/셰어 내용은 절대 카드 외면에 기록 금지
[Phase F: 감사 로그 기록]
□ 발급 이벤트 기록:
- 카드 일련번호
- 발급 시각 (UTC)
- 발급자 (Admin 이름)
- 서명자 (Approver 이름)
- 카드 모드 (동일 시드 / SLIP-39 셰어)
- 세레모니 ID (해당 키 세레모니 고유 번호)
- 증인 서명
R3covery 카드 정기 검증 절차 (카드당 15분)
참여 인원: 검증자(Admin) + 증인(1인 이상) — 듀얼 컨트롤
Step 1: 봉인 무결성 확인 (2분)
□ 봉인 봉투의 변조 방지 표시 확인
- "VOID" 표시 미활성 확인
- 봉투 외면의 기록 사항(일련번호, 날짜, 서명) 대조
□ 봉인 훼손 발견 시: 즉시 보안 인시던트 프로토콜 발동 → 교체 절차 트리거
□ 봉인 정상 확인 → 개봉 (증인 입회)
Step 2: 카드 물리 상태 확인 (1분)
□ 카드 외관 손상 여부 (균열, 변형, 변색)
□ NFC 안테나 영역 손상 여부
□ 라벨 정보 가독성 확인
□ 물리 손상 발견 시: 교체 절차 트리거 (NFC 테스트는 계속 수행)
Step 3: NFC 통신 테스트 (2분)
□ D'CENT X 본체 또는 NFC 리더로 카드 탐지
□ NFC 응답 확인 (SE 앱릿 선택 성공)
□ 통신 안정성 확인 (3회 연속 성공)
□ NFC 통신 실패 시: 교체 절차 트리거
Step 4: PIN 인증 + 시드 읽기 테스트 (5분)
□ 카드 PIN 입력 → SE 인증 성공 확인
□ 시드/셰어 읽기 수행 (SE에서 복호화 → 디바이스 표시)
□ 읽은 데이터의 파생 주소가 기존 월렛 주소와 일치하는지 확인
□ PIN 인증 실패 시: PIN 봉인 봉투 확인 → Shamir 복원 또는 교체 절차
□ 데이터 불일치 시: 즉시 보안 인시던트 → 전수 조사
Step 5: 결과 기록 및 재봉인 (5분)
□ 검증 결과 기록:
- 카드 일련번호
- 검증 일시 (UTC)
- 검증자 이름 + 서명
- 증인 이름 + 서명
- 5단계 각 결과 (PASS/FAIL)
- 특이 사항 (있을 경우)
□ 카드를 새 봉인 봉투에 재봉인 (기존 봉투 폐기)
□ 감사 로그에 검증 이벤트 기록
R3covery 카드 교체 절차 (카드당 30분)
참여 인원: 발급자(Admin) + 서명자(Approver) + 증인(1인 이상)
환경: 콜드룸 또는 격리 공간 (NFC 통신 보안)
Phase 1: 신규 카드 발급 (15분)
□ 섹션 2.3의 발급 절차 수행 (Phase A~F)
□ 신규 카드 PIN 설정 (기존과 상이한 새 PIN)
□ PIN Shamir 재분할 수행 (Phase 16 갱신 규칙: "PIN 변경 시 반드시 재분할")
Phase 2: 데이터 이전 (10분)
□ 기존 카드의 시드/셰어를 읽기 (기존 카드 PIN 인증)
- 또는: 본체 SE에서 직접 신규 카드에 기록 (기존 카드 미사용)
□ 신규 카드에 시드/셰어 기록
□ 신규 카드 읽기 검증 (파생 주소 일치 확인)
□ 이전 성공 확인
Phase 3: 기존 카드 폐기 (5분)
□ 섹션 6의 폐기 절차 수행
□ 기존 카드 SE 와이프 (WIPED 상태 전이)
□ 물리적 파쇄 (또는 보관 후 일괄 폐기)
Phase 4: 감사 기록
□ 교체 이벤트 기록:
- 기존 카드 일련번호 + 신규 카드 일련번호
- 교체 사유 (T-01~T-05)
- 교체 일시, 수행자, 증인
- PIN Shamir 재분할 완료 여부
논리적 폐기 절차 (5분):
□ 카드 PIN 입력 → SE 인증
□ SE 데이터 와이프 명령 실행
- 모든 시드/셰어 데이터 삭제
- PIN 리셋 (ACTIVE → WIPED)
- SE 내부 키 쌍 삭제
□ 와이프 완료 확인 (SE 상태 = WIPED)
□ NFC 읽기 시도 → 데이터 없음 확인
[PIN 불명/카드 잠김인 경우]
□ 논리적 폐기 불가 → 물리적 폐기만 수행
□ 감사 로그에 "논리적 폐기 불가 — 물리적 폐기만 수행" 기록
폐기 증빙 절차:
□ 폐기 증인 입회 (최소 1인, T-03 시 2인 이상)
□ 폐기 과정 사진/영상 촬영:
- 카드 일련번호 확인 사진 (폐기 전)
- 파쇄/드릴링 과정 사진 (폐기 중)
- 파쇄 결과물 사진 (폐기 후)
□ 폐기 인증서 발행:
- 카드 일련번호
- 폐기 일시 (UTC)
- 폐기 방법 (파쇄/드릴링/소각)
- 논리적 폐기 수행 여부
- 폐기 수행자 서명
- 증인 서명
□ 감사 로그에 폐기 이벤트 기록
□ 카드 목록(인벤토리)에서 해당 카드 상태를 "DECOMMISSIONED"으로 업데이트
폐기 전 필수 확인:
□ 현재 활성 카드 수(N_active)와 폐기 예정 카드 수(N_decom) 확인
□ 폐기 후 잔여 카드 수: N_remaining = N_active - N_decom
□ 최소 요건 확인: N_remaining >= 2 (최소 2장 유지)
□ SLIP-39 셰어 모드 시: N_remaining >= M (임계값 충족 가능 확인)
□ 미충족 시: 먼저 신규 카드 발급 → 이후 기존 카드 폐기 (순서 엄수)
즉시 대응 (1시간 이내):
□ 분실/도난 발견 즉시 Super Admin + Admin에게 보고
□ 분실 카드의 모드 확인:
- 동일 시드 모드: 시드 유출 가능성 → 높음 (PIN 보호 의존)
- SLIP-39 셰어 모드: 시드 유출 가능성 → 낮음 (단일 셰어 무가치)
□ 나머지 카드 즉시 검증 (전수 확인)
□ 보안 인시던트 기록 개시
후속 조치 (24시간 이내):
[동일 시드 모드인 경우]
□ 분실 카드 PIN에 대한 무차별 대입 위험 평가
- PIN 5회 시도 제한 [HW-CONFIRM-R03] → 위험 LOW
- 단, PIN이 단순한 경우(1234, 0000) 위험 상승
□ 위험 HIGH 판단 시: 긴급 시드 재생성 + 자산 이전 (DS-05 절차)
□ 위험 LOW 판단 시: 교체 카드 발급 + 분실 카드 무효화 확인
[SLIP-39 셰어 모드인 경우]
□ 분실된 셰어 번호 확인
□ 나머지 셰어 검증 + 보안 강화 (보관 위치 변경 검토)
□ 교체 카드 발급 (해당 셰어 재기록)
□ 시드 재생성은 불필요 (단일 셰어 유출로는 시드 복원 불가)
[공통]
□ 보안 감사 실시 (분실 원인 분석, 재발 방지 대책)
□ 감사 보고서 작성 → Super Admin/CISO 보고
Phase 16 pin-management-system-design.md의 3단계 폴백 절차를 적용한다.
Level 1: Shamir PIN 복원 (RTO 4-8시간)
□ R3covery 카드 PIN Shamir 셰어 3-of-5 수집
□ Shamir 비밀 재조립 → PIN 복원
□ 복원된 PIN으로 카드 잠금 해제 (LOCKED → ACTIVE)
□ 즉시 PIN 변경 + Shamir 재분할
Level 2: 에스크로 개봉 (RTO 8-24시간)
□ Level 1 실패 시 (Shamir 셰어 부족)
□ PIN 봉인 봉투 에스크로 개봉 (Admin 쿼럼 + 증인)
□ 에스크로 PIN으로 카드 잠금 해제
□ 즉시 PIN 변경 + 새 에스크로 봉인
Level 3: 전체 재구축 (RTO 24-48시간)
□ Level 1, 2 모두 실패 시
□ 금속 시드 또는 다른 SLIP-39 셰어로 시드 복원
□ 신규 R3covery 카드 발급 + 시드 재기록
□ 기존 잠긴 카드 폐기
하이브리드 백업 의무화(Phase 16 결정)에 의해 R3covery 카드 전량 사용 불가 시에도 시드 복구가 가능하다.
폴백 경로:
경로 A: 금속 시드 복원
□ 금속 시드 플레이트에서 BIP-39 24단어 읽기
□ 신규 디바이스에 시드 입력 → 키 복원
□ 신규 R3covery 카드 발급 (시드 재기록)
경로 B: SLIP-39 셰어 복원
□ 금속 플레이트 또는 다른 매체의 SLIP-39 셰어 M개 수집
□ 셰어 조합 → 시드 재조립
□ 신규 디바이스 + 신규 R3covery 카드 발급
경로 C: 사양서 에스크로 복원 (대형 고객 옵션)
□ R3covery 카드 사양서 에스크로에서 사양 확인
□ 호환 카드/디바이스 제작 또는 조달
□ 금속 시드/SLIP-39로 시드 복원 후 카드 재발급
→ 하이브리드 백업 의무화에 의해 경로 A 또는 B가 항상 가용
본 문서는 Phase 17 백업 옵션 카탈로그 및 운영 설계의 일부로, slip39-shamir-enterprise-design.md와 함께 Phase 17-02 백업 옵션 통합 카탈로그의 입력으로 사용된다.Phase 16의 r3covery-card-technical-analysis.md(SE 기술 제약, HW-CONFIRM)와 pin-management-system-design.md(PIN 상태 머신, Shamir 분할, 3단계 폴백)의 결정 사항을 준수한다.