v0.5
RBAC v2 역할 체계 정의서 — 2단계 서명 아키텍처 기반¶
1. Executive Summary¶
Phase 24에서 옵션 A(오프체인 승인 + 온체인 마스터 서명 완전 분리)가 채택됨에 따라, 기존 RBAC v1 역할 체계의 근본적 재정의가 필요하다. 핵심 변화는 기존 Approver의 "승인 + 서명" 복합 역할이 Approver(오프체인 승인 전용)와 Operator(콜드월렛 서명 실행)로 물리적으로 분리되는 것이다.
1.1. v1 vs v2 핵심 변경 비교표¶
| 항목 | RBAC v1 | RBAC v2 | 변경 근거 |
|---|---|---|---|
| 역할 수 | 5개 (Super Admin, Admin, Initiator, Approver, Viewer) | 6개 (+Operator) | 승인/서명 물리적 분리 |
| Approver 역할 | 승인 + 콜드월렛 서명 | 개인 기기 오프체인 승인 전용 | Stage 1/Stage 2 분리 |
| Operator 역할 | 없음 | 콜드월렛 온체인 서명 실행 | 콜드룸 전담 운영자 |
| Approver 콜드월렛 소유 | 필수 (M-of-N 서명 참여) | 불필요 (개인 기기만) | 키 독립성 (approval_sk != master_sk) |
| Approver 물리적 위치 | 콜드룸 집결 필수 | 원격 어디서든 가능 | 오프체인 승인은 위치 무관 |
| 콜드룸 필요 인원 | M명 Approver | 1~2명 Operator | 운영 효율 대폭 개선 |
| 컴포넌트 수 | 3개 (대시보드, 오프라인 앱, 콜드월렛) | 4개 (+개인 기기) | Zone 3+ 아키텍처 확장 |
| 서명 파이프라인 | Approve → Sign (2단계) | Request → Approve → Collect → Sign → Broadcast (5단계) | 듀얼 컨트롤 원칙 강화 |
1.2. 변경 필요성¶
- CCSS Level 2+ 듀얼 컨트롤: v1에서 Approver가 승인과 서명을 동시에 수행하는 구조는 CCSS Aspect 6의 듀얼 컨트롤 요구사항에 부합하지 않음
- 운영 효율성: M명 Approver의 콜드룸 집결 요구가 일상 출금의 최대 병목 (30분+ 소요)
- Zone 3+ 확장: 개인 기기(Zone 3+)가 4번째 컴포넌트로 추가되어 권한 매트릭스 재설계 필수
- 키 독립성 활용: approval_sk와 master_sk의 수학적 독립성을 역할 분리로 반영
2. 역할 재정의 (RBAC-01)¶
2.1. Initiator (변경 최소)¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 2~10명 (재무팀, 트레저리 담당) |
| 핵심 역할 | TX 생성 및 요청, ApprovalBundle 요청 생성 |
| 콜드월렛 소유 | 불필요 (서명 권한 없음) |
| 개인 기기 소유 | 불필요 |
| 물리적 위치 | 원격 가능 (대시보드 접근만 필요) |
| 접근 컴포넌트 | 대시보드 |
v1 대비 변경점: - 기존: TX 생성 및 제출 - v2: TX 생성 + ApprovalBundle 요청 생성까지 포함 (대시보드에서 승인 요청을 Approver에게 발송)
권한 범위: - TX 생성 및 제출 (정책 사전 검증 통과 필수) - ApprovalBundle 요청 생성 (미서명 TX 해시 + 메타데이터 패키징) - 자산 잔액 조회 (담당 월렛) - TX 상태 추적 (자신이 생성한 TX — 5단계 파이프라인 상태 실시간 확인) - 화이트리스트 등록 요청 (승인은 Admin) - TX 초안(Draft) 저장 및 삭제
2.2. Approver (대폭 변경 -- "승인+서명" -> "오프체인 승인 전용")¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 3~9명 (경영진, 보안팀, 재무 임원) |
| 핵심 역할 | 개인 기기(Zone 3+)에서 approval_sk로 오프체인 승인 서명 |
| 콜드월렛 소유 | 불필요 (v1 대비 핵심 변경) |
| 개인 기기 소유 | 필수 (D'CENT X 1순위, 바이오메트릭 2순위, 카드 제한적) |
| 물리적 위치 | 어디서든 가능 (콜드룸 집결 불필요) |
| 접근 컴포넌트 | 대시보드 (승인 요청 확인) + 개인 기기 (승인 서명) |
v1 대비 핵심 변경: - v1: 콜드월렛 SE에서 블록체인 서명 (콜드룸 필수, 에어갭 MuSig2 참여) - v2: 개인 기기 SE에서 오프체인 승인 서명 (원격 가능, stateless ECDSA) - 콜드월렛 소유 요건 완전 제거 - 물리적 위치 제약 완전 해소
권한 범위: - 대시보드에서 승인 요청 확인 (TX 상세, 정책 검증 결과 조회) - 개인 기기 WYSIWYS 디스플레이에서 TX 상세 확인 - 개인 기기 SE에서 approval_sk로 승인 서명 생성 (ECDSA secp256k1) - 물리 버튼 또는 생체인증으로 최종 승인 확인 - 승인 서명을 NFC/QR로 오프라인 앱 또는 대시보드에 전달 - TX 상태 조회 (승인 대상 TX) - 자산 잔액 조회 (승인 대상 월렛)
인증 방식: | 단계 | 인증 요소 | 비고 | |------|----------|------| | 대시보드 로그인 | PIN + 인증 앱(TOTP) | 승인 요청 확인용 | | 개인 기기 승인 | 생체인증(지문) + 물리 버튼 | SE 키 접근 보호 |
기기 유형별 허용 조건 (Phase 25 결정 반영):
| 기기 유형 | 허용 범위 | 근거 |
|---|---|---|
| D'CENT X | 전체 승인 (제한 없음) | WYSIWYS 10/10, 적합성 9.25/10 |
| 바이오메트릭 | 전체 승인 (WYSIWYS 축약) | WYSIWYS 8/10, 적합성 7.60/10 |
| 카드 | 저액(일일한도 10% 미만) 및 비금전 승인만 | WYSIWYS 0/10, 디스플레이 없음 |
2.3. Operator (신규 역할)¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 1~2명 (콜드룸 운영 담당, 보안 담당자) |
| 핵심 역할 | 콜드룸에서 콜드월렛(Zone 3)을 운용하여 master_sk로 온체인 블록체인 서명 실행 |
| 콜드월렛 소유 | 필수 (마스터 키 콜드월렛 접근 권한) |
| 개인 기기 소유 | 불필요 (승인 결정권 없음) |
| 물리적 위치 | 콜드룸 필수 (에어갭 환경에서만 서명 실행) |
| 접근 컴포넌트 | 오프라인 앱 + 콜드월렛 |
역할 특성: - Operator는 승인 결정권이 없음 -- 승인 서명이 유효하면 기계적으로 서명 실행 - 콜드월렛 SE의 Approval Verifier가 M개 승인 서명을 자동 검증한 후에만 서명 가능 - Operator의 재량 판단 영역: ApprovalBundle + PSBT/EIP-712를 콜드월렛에 전달하고, WYSIWYS 화면에서 최종 확인 후 물리 버튼 클릭 - 콜드룸 내 2인 이상 입실 원칙 적용 (Operator + 증인 또는 Operator 2명)
권한 범위: - 오프라인 앱에서 ApprovalBundle + 미서명 TX 수신 (QR/NFC/USB-C) - 콜드월렛에 ApprovalBundle + TX 데이터 전달 (에어갭) - 콜드월렛 WYSIWYS 디스플레이에서 TX 상세 확인 - 콜드월렛 물리 버튼으로 서명 실행 확인 - 서명된 TX를 오프라인 앱으로 반환 (QR/NFC/USB-C) - 오프라인 앱에서 서명 완료된 TX를 대시보드에 전달 (QR/USB-C)
Operator가 할 수 없는 것: - TX 생성 또는 수정 (Initiator 영역) - 승인 결정 (Approver 영역) - 승인 서명 없이 콜드월렛 서명 실행 (Approval Verifier가 차단) - 정책 변경 (Admin 영역) - 대시보드 직접 접근 (오프라인 앱만 사용)
인증 방식: | 단계 | 인증 요소 | 비고 | |------|----------|------| | 콜드룸 물리 입실 | 물리 출입 통제 (카드 + 생체) | 2인 이상 입실 | | 콜드월렛 접근 | PIN + 생체인증(지문) | SE 키 접근 보호 | | 서명 실행 | 물리 버튼 확인 | WYSIWYS 확인 후 |
2.4. Super Admin (변경 최소)¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 1~2명 (CEO, CTO 등 최고 경영진) |
| 핵심 역할 | 시스템 초기 설정, 역할 생성/삭제, 긴급 복구 |
| 콜드월렛 소유 | 필수 (마스터 키 세트 보유) |
| 개인 기기 소유 | 선택 (Approver 겸임 시 필수) |
| 활성화 조건 | 초기 설정 및 긴급 상황에만 활성화 |
v1 대비 변경점: - 개인 기기 등록/해지 관리 권한 추가 - Operator 역할 부여/해제 권한 추가 (쿼럼 필수) - 개인 기기 공개키의 콜드월렛 SE 등록/삭제 주관 (키 세레모니 확장)
추가 권한: - 개인 기기 등록/해지 관리 (approval_pk의 콜드월렛 SE 등록/삭제) - Operator 역할 부여/해제 (쿼럼 승인 — Super Admin 간) - Approval Verifier 정책(M-of-N 임계값) 변경 (콜드월렛 SE 내부) - 기존 v1 권한 전체 유지
2.5. Admin (변경 최소)¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 2~5명 (CISO, 재무 책임자, 운영 관리자) |
| 핵심 역할 | 정책 설정, 사용자 관리, 화이트리스트 관리 |
| 콜드월렛 소유 | 선택 |
| 개인 기기 소유 | 선택 (Approver 겸임 불가이므로 일반적으로 불필요) |
v1 대비 변경점: - Operator 역할 부여/해제 권한 추가 (Admin 쿼럼 승인) - 개인 기기 온보딩/오프보딩 워크플로우 관리 (Approver 기기 교체 등) - 대체 Operator 활성화/비활성화 권한
추가 권한: - Operator 역할 부여/해제 (Admin 쿼럼 승인) - Approver 개인 기기 등록 요청 승인 (Admin 쿼럼) - 개인 기기 교체 승인 (기존 기기 폐기 + 신규 기기 등록) - 기존 v1 권한 전체 유지
2.6. Viewer (변경 없음)¶
| 항목 | 설명 |
|---|---|
| 대상 인원 | 무제한 (감사팀, 컴플라이언스 담당, 외부 감사인) |
| 핵심 역할 | 읽기 전용 조회 |
| 콜드월렛 소유 | 불필요 |
| 개인 기기 소유 | 불필요 |
v1 대비 변경점: 없음. 기존 권한 범위 그대로 유지.
추가 조회 가능 항목: - 승인 서명 로그 조회 (어떤 Approver가 언제 승인했는지) - 5단계 파이프라인 상태 추적 (Request → Approve → Collect → Sign → Broadcast)
3. 동일인 허용 조건 (RBAC-01)¶
3.1. 역할 겸임 매트릭스¶
| 역할 조합 | 허용/금지 | 근거 | 규제 참조 |
|---|---|---|---|
| Initiator + Approver | 금지 | 자기 생성 TX 자기 승인 방지 (핵심 통제) | CCSS Aspect 6 직무 분리, SOC 2 CC6.1 |
| Initiator + Operator | 금지 | TX 생성자가 서명 실행까지 하면 단일 실패점(SPOF) 형성 | CCSS 듀얼 컨트롤, ISO 27001 A.6.1 |
| Initiator + Admin | 금지 | 정책 조작 + TX 생성 동시 보유 방지 | SOC 2 CC6.2, ISMS-P 4.1 |
| Initiator + Viewer | 허용 | TX 생성자의 조회 권한은 합리적 | - |
| Initiator + Super Admin | 금지 | 최고 권한 + TX 생성 동시 보유 방지 | CCSS Aspect 6, MiCA Art. 70 |
| Approver + Operator | 조건부 허용 | 아래 상세 조건 참조 | CCSS Level 2+ 듀얼 컨트롤 (조건부) |
| Approver + Admin | 금지 | 정책 변경 + 승인 동시 보유 방지 | SOC 2 CC6.2, ISO A.5.2-3 |
| Approver + Viewer | 허용 | 승인자의 조회 권한은 합리적 | - |
| Approver + Super Admin | 금지 | 최고 권한 + 승인 동시 보유 방지. Super Admin이 일상적 승인에 참여하면 위험 집중 | CCSS Aspect 6 |
| Operator + Admin | 금지 | 정책 변경 + 서명 실행 동시 보유 방지 | SOC 2 CC6.2, ISO A.6.1 |
| Operator + Viewer | 허용 | 서명 실행자의 조회 권한은 합리적 | - |
| Operator + Super Admin | 금지 | 최고 권한 + 서명 실행 동시 보유 방지 | CCSS Aspect 6 |
| Admin + Viewer | 허용 | 관리자의 조회 권한은 합리적 (v1 유지) | - |
| Admin + Super Admin | 해당 없음 | Super Admin은 Admin 권한 상속 (제한적 계층 모델) | - |
| Super Admin + Viewer | 해당 없음 | Super Admin은 전체 조회 권한 포함 | - |
3.2. Approver + Operator 겸임 상세 조건¶
Approver와 Operator의 겸임은 키 독립성(approval_sk != master_sk)을 근거로 조건부 허용한다.
허용 조건:
| 조건 | 요구사항 | 근거 |
|---|---|---|
| 조직 규모 | 5인 미만 소규모 조직에서만 허용 | 인력 제한으로 완전 분리가 현실적으로 불가능한 경우 |
| 동일 TX 제한 | 동일 TX에 대해 Stage 1 승인 + Stage 2 서명 동시 수행 금지 | 듀얼 컨트롤 원칙: 하나의 TX에 두 역할을 동일인이 수행하면 통제 무력화 |
| 시스템 강제 | 시스템이 Approver-Operator 겸임자의 동일 TX 서명을 자동 차단 | 인적 오류 방지를 위한 기술적 강제 |
| 감사 강화 | 겸임자의 모든 승인/서명 활동에 대해 강화된 감사 로그 기록 | 사후 감사 추적 보장 |
금지 사유 (대형 기관): - 5인 이상 조직은 Approver와 Operator를 반드시 분리 - 근거: CCSS Level 3 요구사항, SOC 2 Type II 감사 시 직무 분리 증적 필요 - 금융 규제 기관(금감원, BaFin 등)은 승인/서명 분리를 명시적으로 요구
키 독립성에 의한 안전장치: 겸임이 허용되더라도 approval_sk와 master_sk는 수학적으로 독립되어 있으므로: - 개인 기기 키(approval_sk) 유출 시: 콜드월렛 마스터 서명(master_sk)에 영향 없음 - 콜드월렛 키(master_sk) 유출 시: 오프체인 승인 체계(approval_sk)에 영향 없음 - 양쪽 키가 동시에 유출되어야 자산 탈취 가능 (공격 표면 분리)
4. 역할별 4컴포넌트 권한 매트릭스 (RBAC-02)¶
4.1. 컴포넌트-Zone 매핑¶
| 컴포넌트 | Zone | Trust Level | 주요 기능 |
|---|---|---|---|
| 온라인 대시보드 | Zone 1 | LOW | TX 생성, 정책 관리, 승인 요청 확인, 감사 로그 |
| 오프라인 서명 앱 | Zone 2 | MEDIUM | QR/NFC 브릿지, ApprovalBundle 수집, TX 중계 |
| 개인 기기 | Zone 3+ | ABSOLUTE | approval_sk 보관, 오프체인 승인 서명, WYSIWYS |
| 콜드월렛 | Zone 3 | ABSOLUTE | master_sk 보관, 온체인 블록체인 서명, Approval Verifier |
4.2. 기능 영역별 CRUD 매트릭스¶
| 기능 영역 | 컴포넌트 | Super Admin | Admin | Initiator | Approver | Operator | Viewer |
|---|---|---|---|---|---|---|---|
| TX 생성 | 대시보드 | - | - | C | - | - | - |
| TX 승인 요청 확인 | 대시보드 | R | R | R (자기 TX) | R | - | R |
| 승인 서명 생성 | 개인 기기 | - | - | - | C | - | - |
| 승인 서명 검증 | 콜드월렛 | - | - | - | - | R(자동) | - |
| 온체인 서명 실행 | 콜드월렛 | - | - | - | - | U | - |
| TX 전파 | 대시보드 | - | - | - | - | - | - |
| TX 조회 | 대시보드 | R | R | R (자기 TX) | R (승인 대상) | R (서명 대상) | R |
| ApprovalBundle 생성 | 대시보드+오프라인앱 | - | - | - | - | - | - |
| ApprovalBundle 수집 | 오프라인앱 | - | - | - | - | R | - |
| ApprovalBundle 검증 | 콜드월렛 | - | - | - | - | R(자동) | - |
| 정책 생성/수정/삭제 | 대시보드 | CUD(쿼럼) | CUD(쿼럼) | - | - | - | - |
| 정책 조회 | 대시보드 | R | R | R (적용 정책) | R (적용 정책) | - | R |
| 정책 동기화 | 오프라인앱 | - | R(sync) | - | - | R(sync) | - |
| 화이트리스트 관리 | 대시보드 | CUD(쿼럼) | CUD(쿼럼) | 요청(C) | - | - | - |
| 화이트리스트 조회 | 대시보드 | R | R | R (담당) | R | - | R |
| 사용자/역할 관리 | 대시보드 | CUD | CUD(쿼럼) | - | - | - | - |
| 사용자 조회 | 대시보드 | R | R | R (자기) | R (자기) | R (자기) | R |
| 개인 기기 등록 | 대시보드+콜드월렛 | CUD(쿼럼) | 요청승인(U) | - | 요청(C) | - | - |
| 개인 기기 해지 | 대시보드+콜드월렛 | CUD(쿼럼) | 요청승인(U) | - | - | - | - |
| 콜드월렛 관리 | 오프라인앱+콜드월렛 | CUD(쿼럼) | - | - | - | R | - |
| Approval Verifier 정책 | 콜드월렛 | CUD(쿼럼) | - | - | - | - | - |
| 감사 로그 조회 | 대시보드 | R | R | R (자기) | R (자기) | R (자기) | R |
| 승인 서명 로그 조회 | 대시보드 | R | R | - | R (자기) | R (자기) | R |
| 리포트 생성 | 대시보드 | C | C | - | - | - | - |
| 리포트 조회 | 대시보드 | R | R | - | - | - | R |
| 시스템 설정 | 대시보드 | CUD(쿼럼) | R | - | - | - | - |
| 월렛 잔액 조회 | 대시보드 | R | R | R (담당) | R (승인 대상) | - | R |
C = Create, R = Read, U = Update, D = Delete, 쿼럼 = Admin/Super Admin 2명 이상 승인 필수 시스템 = 자동 실행 (TX 전파, ApprovalBundle 생성/수집은 시스템이 자동 수행)
4.3. 컴포넌트별 접근 범위 요약¶
| 컴포넌트 | Super Admin | Admin | Initiator | Approver | Operator | Viewer |
|---|---|---|---|---|---|---|
| 온라인 대시보드 | 전체 관리 | 관리 + 조회 | TX 생성 + 조회 | 승인 요청 확인 + 조회 | - (접근 불가) | 조회만 |
| 오프라인 서명 앱 | 긴급 복구 | 정책 동기화 | - | 승인 서명 전달 | TX 중계 + 서명 실행 | - |
| 개인 기기 | 기기 관리 | - | - | 승인 서명 생성 | - | - |
| 콜드월렛 | 마스터 키 관리 | - | - | - | 서명 실행 | - |
5. v1 -> v2 변경 영향 분석¶
5.1. 주요 변경점 diff 요약¶
| 변경 영역 | v1 상태 | v2 상태 | 영향 범위 |
|---|---|---|---|
| Approver 정의 | 승인 + 블록체인 서명 | 오프체인 승인 전용 | 모든 TX 승인 플로우 변경 |
| Approver 콜드월렛 | 필수 소유 | 소유 불필요 | 온보딩 절차 간소화 |
| Approver 물리 위치 | 콜드룸 필수 | 원격 가능 | 운영 효율 대폭 개선 |
| Operator 역할 | 존재하지 않음 | 콜드룸 전담 서명 실행 | 신규 온보딩 절차 필요 |
| 컴포넌트 수 | 3개 | 4개 (개인 기기 추가) | 권한 매트릭스 확장 |
| 서명 파이프라인 | 2단계 | 5단계 | 상태 추적 시스템 확장 |
| 인증 방식 | Approver: PIN + 생체 + 콜드월렛 | Approver: PIN + 생체 + 개인 기기 / Operator: PIN + 생체 + 콜드월렛 | 인증 체계 분리 |
5.2. 기존 Approver의 마이그레이션 경로¶
기존 v1 Approver는 v2에서 두 가지 경로 중 하나를 선택한다:
경로 A: Approver로 유지 (대다수) 1. 기존 콜드월렛 반납 (Operator에게 이관) 2. 개인 기기(D'CENT X 또는 바이오메트릭) 수령 3. 개인 기기에서 approval_sk 생성 (키 세레모니) 4. approval_pk를 콜드월렛 SE에 등록 (Super Admin 주관) 5. 테스트 승인 수행 → 정상 운영 전환
경로 B: Operator로 전환 (1~2명) 1. 기존 콜드월렛 유지 (Operator 전용으로 재지정) 2. Approver 역할 해제, Operator 역할 부여 3. 콜드룸 전담 운영자로 전환 4. 개인 기기 반납 (보유 시)
전환 일정 권장: - Phase 1 (1~2주): Operator 선정 및 교육 - Phase 2 (2~3주): 기존 Approver → v2 Approver 마이그레이션 (개인 기기 배포) - Phase 3 (1주): 테스트 서명 + 병행 운영 - Phase 4: v1 체계 완전 폐기, v2 전환 완료
5.3. 커스텀 역할 영향¶
| 커스텀 역할 | v1 기반 | v2 변경 사항 |
|---|---|---|
| Compliance Officer | Viewer 기반 | 변경 없음 (조회 전용 유지) |
| Treasury Manager | Initiator 기반 | 변경 최소 (자동 승인 조건에 개인 기기 승인 면제 로직 추가) |
| External Auditor | Viewer 기반 | 변경 없음 (범위 제한 유지) |
| Emergency Operator | Initiator 기반 | 변경 필요: 긴급 TX 생성 + 긴급 Operator 권한 포함 가능. 긴급 상황에서 Initiator + Operator 겸임 허용 여부 정책 결정 필요 |
Emergency Operator 특별 조건: - 긴급 상황(S-05, S-07) 한정으로 Initiator 기능 + Operator 기능 겸임 허용 검토 - 시간 제한(2시간) + 사후 감사 필수 조건 부여 - Admin 쿼럼 승인으로 긴급 활성화 → 자동 비활성화
5.4. 규제 매핑 변경점¶
| 규제 | v1 충족 방식 | v2 개선 사항 |
|---|---|---|
| CCSS Aspect 6 (직무 분리) | Initiator/Approver 분리 | Initiator/Approver/Operator 3자 분리 → 듀얼 컨트롤 강화 |
| CCSS Level 2+ (듀얼 컨트롤) | Approver 내부에서 승인+서명 동시 수행 (미충족) | Stage 1 승인 + Stage 2 서명 물리적 분리 (충족) |
| SOC 2 CC6.1 | 직무 분리 매트릭스 | 6개 역할 + Operator 추가로 직무 분리 증적 강화 |
| SOC 2 CC6.2 (MFA) | 콜드월렛 물리 버튼 | 개인 기기 생체인증 + 콜드월렛 물리 버튼 2중 MFA |
| ISO 27001 A.6.1 | 역할/책임 정의 | Operator 역할 추가로 책임 경계 명확화 |
| MiCA Art. 70 | 자산 분리 보관 | 승인 키/서명 키 물리적 분리로 자산 보호 강화 |
| ISMS-P 4.1 | 접근 통제 | 4컴포넌트 권한 매트릭스로 접근 통제 세분화 |
6. 역할별 Trust Boundary 접근 매핑¶
6.1. Trust Boundary 정의 (Zone 3+ 확장 포함)¶
| ID | Trust Boundary | Zone 간 | 통신 방식 |
|---|---|---|---|
| TB-1 | 사용자 ↔ 대시보드 | 외부 → Zone 1 | HTTPS/TLS 1.3 |
| TB-2 | 대시보드 ↔ 블록체인 노드 | Zone 1 → 외부 | RPC/WebSocket |
| TB-3 | 대시보드 ↔ 오프라인 앱 | Zone 1 → Zone 2 | QR (UR Animated) / USB-C |
| TB-4 | 오프라인 앱 ↔ 정책 캐시 | Zone 2 내부 | 로컬 |
| TB-5 | 오프라인 앱 ↔ 콜드월렛 SE | Zone 2 → Zone 3 | QR / NFC APDU / USB-C |
| TB-6 | 대시보드 ↔ 개인 기기 | Zone 1 → Zone 3+ | QR (UR) / NFC APDU |
| TB-7 | 오프라인 앱 ↔ 개인 기기 | Zone 2 → Zone 3+ | NFC APDU / QR |
6.2. 역할-Trust Boundary 교차 매트릭스¶
| 역할 | TB-1 | TB-2 | TB-3 | TB-4 | TB-5 | TB-6 | TB-7 |
|---|---|---|---|---|---|---|---|
| Super Admin | O | - | O (긴급) | - | O (키 관리) | O (기기 관리) | - |
| Admin | O | - | - | - | - | - | - |
| Initiator | O | - | - | - | - | - | - |
| Approver | O | - | - | - | - | O (승인) | O (승인) |
| Operator | - | - | O (TX 중계) | O (정책 참조) | O (서명) | - | - |
| Viewer | O | - | - | - | - | - | - |
역할별 Trust Boundary 교차 분석:
Initiator: TB-1만 교차. 대시보드에 로그인하여 TX를 생성하는 것이 유일한 경계 교차. 최소 권한 원칙에 가장 충실.
Approver: TB-1 + TB-6 + TB-7 교차. - TB-1: 대시보드에서 승인 요청 확인 - TB-6: 대시보드에서 개인 기기로 승인 요청 전달 (QR/NFC) - TB-7: 오프라인 앱에서 개인 기기로 승인 요청 전달 (NFC/QR) - 주요 위협: TB-6/TB-7에서 승인 요청 변조 → WYSIWYS 방어
Operator: TB-3 + TB-4 + TB-5 교차. - TB-3: 대시보드 → 오프라인 앱으로 ApprovalBundle + TX 데이터 수신 - TB-4: 오프라인 앱 내부 정책 캐시 참조 - TB-5: 오프라인 앱 → 콜드월렛 SE로 데이터 전달 및 서명 수신 - 주요 위협: TB-5에서 ApprovalBundle 위조 → Approval Verifier 방어
Approver와 Operator의 Trust Boundary 분리: - Approver: TB-6, TB-7 (개인 기기 관련 경계) - Operator: TB-3, TB-5 (콜드월렛 관련 경계) - 교차 없음: Approver와 Operator의 Trust Boundary가 완전히 분리되어 있어, 한 역할의 경계 침해가 다른 역할에 영향을 주지 않음 - 이는 옵션 A의 키 독립성 원칙이 Trust Boundary 수준에서도 일관되게 반영된 것
7. 인증 방식: 역할별 인증 수준 (v2)¶
| 역할 | 인증 수준 | 인증 요소 | v1 대비 변경 |
|---|---|---|---|
| Super Admin | 최고 | PIN + 생체 + 콜드월렛 소유 + 2차 확인 | 변경 없음 |
| Admin | 높음 | PIN + 인증 앱(TOTP) + 디바이스 인증서 | 변경 없음 |
| Initiator | 중간 | PIN + 인증 앱(TOTP) | 변경 없음 |
| Approver | 높음 | PIN + 생체(지문) + 개인 기기 소유 | 콜드월렛 → 개인 기기로 변경 |
| Operator | 높음 | PIN + 생체(지문) + 콜드월렛 소유 + 콜드룸 물리 입실 | 신규 (콜드룸 물리 보안 추가) |
| Viewer | 기본 | PIN + 인증 앱(TOTP) | 변경 없음 |
8. 컴플라이언스 매핑 (v2)¶
| 제약조건 ID | 설명 | v1 충족 | v2 충족 | 개선 사항 |
|---|---|---|---|---|
| AC-AC-01 | RBAC 기반 역할 체계 | O | O | 6개 역할 (Operator 추가) |
| AC-AC-02 | 다중 인증 | O | O | Approver: 개인 기기 생체, Operator: 콜드월렛 + 콜드룸 물리 보안 |
| AC-AC-03 | 관리자 쿼럼 승인 | O | O | Operator 역할 부여에도 쿼럼 적용 |
| AC-AC-04 | 온보딩/오프보딩 | O | O | Approver 개인 기기 프로비저닝, Operator 온보딩 절차 추가 |
본 문서는 Phase 26 Plan 01의 산출물로, Phase 24 option-evaluation.md의 2단계 서명 아키텍처 및 Phase 25 device-evaluation.md의 기기 적합성 평가를 기반으로 작성되었다. 기존 rbac-role-model.md (Phase 3)의 v1 역할 체계를 대체하는 v2 문서이며, Plan 02 operational-scenarios-v2.md에서 본 역할 정의를 12개 운영 시나리오에 적용한다.
관련 문서¶
- 운영 시나리오 v2 — 2단계 서명 아키텍처 기반 역할 재배치 -- 제품 설계