v0.2
Layer 2 셀프 커스터디 세그먼트 델타 (Self-Custody Segment Delta)¶
1. Executive Summary¶
본 문서는 D'CENT Enterprise의 Layer 2 셀프 커스터디(SC) 세그먼트 델타이다. e2e-core-flow.md(Layer 1)에서 정의한 5단계 E2E 플로우를 변경하지 않고, 셀프 커스터디 기업(S1~S4)에 고유한 차별화 요소를 [SC Delta] {단계명} Step N: 형식으로 기술한다.
적용 시나리오:
| 시나리오 | 조합 | 특성 | 예상 비중 |
|---|---|---|---|
| S1 | SC + Zero Cloud + 콜드룸 | 최고 보안. 대기업/금융기관/중앙은행 | 10-15% |
| S2 | SC + Zero Cloud + 비콜드룸 | 대기업, 콜드룸 미구축. Grade A/B 보완 조치 | 15-20% |
| S3 | SC + Hybrid + 비콜드룸 | 중견기업의 가장 현실적 선택. IT 부담 완화 | 25-30% (최대) |
| S4 | SC + SaaS + 비콜드룸 | 소규모/스타트업 초기 진입. Grade C 보완 조치 | 20-25% |
SC 세그먼트의 핵심 특성: - 자산 주권: 자산이 자사 소유이므로 의사결정이 내부에서 완결 - 단일 조직 거버넌스: 이사회/CISO/CFO 중심 내부 승인 체계 - 저빈도 고액 TX: 일 0~5건, 건당 금액이 큰 패턴 - 내부 감사 중심: 규제 기관보다 내부 이사회/감사위원회가 주요 리포팅 대상
전체 고객 비중: 셀프 커스터디 기업(S1~S4)은 전체 고객의 70-90%를 차지할 것으로 예상되며, D'CENT Enterprise의 핵심 타겟 세그먼트이다.
2. 도입 델타 (Adoption Delta)¶
[SC Delta] Adoption Step 1: 보안 요건 평가 -- 내부 주도¶
Layer 1의 A-Step 1은 일반적인 보안 요건 평가를 기술한다. SC 기업은 다음이 다르다:
SC 고유 특성: 평가 주체가 내부이며, 외부 고객/규제기관이 아닌 자체 보안 정책이 기준
- CISO 주도 평가: 보안 요건 평가를 CISO(Chief Information Security Officer) 또는 정보보안 담당자가 주도. 외부 컨설턴트 참여 가능하나 의사결정은 내부
- 기준점 차이: 수탁 사업자와 달리 고객사의 보안 요구를 충족할 필요가 없고, 자사 보안 정책과 규제 요건만 충족하면 됨
- 자산 규모 기반 판단: 보관 자산 규모에 따라 필요 보안 수준이 달라짐
- $1M 미만: Grade C + SaaS (S4) 충분
- $1M-50M: Grade B/A + Hybrid (S3) 권장
- $50M 이상: Grade A/콜드룸 + Zero Cloud (S1/S2) 권장
[SC Delta] Adoption Step 2: 배포 모델 선택 -- IT 역량 기반¶
Layer 1의 A-Step 2에서 SC 기업은 자사 IT 역량이 유일한 선택 기준이다 (수탁 사업자의 규제 요건, 토큰 발행의 커뮤니티 요건과 다름):
| IT 역량 | 권장 배포 모델 | 대응 시나리오 |
|---|---|---|
| 전담 IT팀 + 데이터센터 | Zero Cloud | S1 또는 S2 |
| IT 인력 1-2명, 클라우드 경험 있음 | Hybrid | S3 |
| IT 전담 없음, 외부 위탁 | SaaS | S4 |
- 성장 경로 고려: S4에서 시작하여 자산 규모 성장 시 S3 -> S2 -> S1으로 상향 전환하는 경로가 가장 일반적. 초기 선택 시 이 전환 가능성을 설명
[SC Delta] Adoption Step 4: 계약 -- 내부 승인 절차¶
- 이사회/경영진 승인: SC 기업은 솔루션 도입 결정이 이사회 또는 경영위원회 안건으로 상정되는 경우가 많음 (자산 보관 방식 변경은 재무 리스크 관련 의사결정)
- 예산 승인 프로세스: 연간 예산 계획에 포함되거나 별도 의결 필요
- 내부 법무 검토: 계약서에 대한 내부 법무팀 검토 (수탁 사업자처럼 VASP 라이선스 관련 조항 불필요)
3. 온보딩 델타 (Onboarding Delta)¶
[SC Delta] Onboarding Step 3: 키 세레모니 -- 내부 인원으로 완결¶
Layer 1의 O-Step 3 키 세레모니에서 SC 기업은 다음이 다르다:
- 참여자 = 전원 내부 직원: 키 세레모니 참여자가 모두 같은 조직의 직원. 외부 고객사 서명자 참여 없음 (CSP와 가장 큰 차이)
- 내부 보안 정책 적용: 자사 보안 정책에 따라 키 세레모니 절차를 내부 기준으로 수행 (외부 감사 기준이 아닌 자체 기준)
- 시드 백업 보관: 시드 플레이트를 자사가 통제하는 장소에 보관 (은행 금고, 자사 데이터센터 금고, 대표이사 금고 등)
[SC Delta] Onboarding Step 5: 정책 초기 설정 -- 내부 거버넌스 반영¶
SC 고유 정책 패턴:
금액 구간별 M-of-N 차등 설정 (SC 표준 모델):
| 금액 구간 | 월렛 유형 | M-of-N | 승인 레벨 | 예시 |
|---|---|---|---|---|
| 소액 ($10K 미만) | Warm | 2-of-3 | 담당자 레벨 | 일상 운영비 |
| 중액 ($10K-500K) | Cold | 3-of-5 | CISO + 재무 | 거래소 입금 |
| 대액 ($500K 이상) | Cold | 4-of-5 | CISO + CFO + 이사회 | 대규모 이체 |
| 초대액 ($5M 이상) | Cold | 5-of-5 (만장일치) | 이사회 전원 | 전략적 이동 |
- 이사회 승인 임계값: 일정 금액 이상의 TX는 이사회 승인을 M-of-N에 포함. 이사회 구성원의 D'CENT X 보유 필요 여부를 사전 결정
- Cold/Warm 비율 초기 설정:
- 자산 규모 $10M 이하: Cold 80% / Warm 20% (유동성 우선)
- 자산 규모 $10M-100M: Cold 90% / Warm 10%
- 자산 규모 $100M 이상: Cold 95% / Warm 5% (보안 우선)
[SC Delta] Onboarding Step 6: 역할 배정 -- 내부 직원만¶
- 전원 내부 직원: 5역할(Admin/Initiator/Approver/Viewer/Auditor) 모두 자사 직원으로 배정
- 겸임 규칙: 소규모 조직(S4)에서는 역할 겸임이 불가피하나, Initiator와 Approver는 반드시 분리 (직무 분리 원칙)
- 경영진 역할:
- CEO/CFO: Viewer (모니터링) 또는 Approver (초대액 TX)
- CISO: Admin + Approver (보안 정책 + 서명)
- 감사위원: Auditor (감사 로그 열람 전용)
4. 일상 운영 델타 (Daily Operations Delta)¶
[SC Delta] Daily Step 1: TX 생성 -- 저빈도 고액 패턴¶
Layer 1의 D-Step 1에서 SC 기업의 TX 패턴은 다음과 같이 다르다:
| 특성 | SC 패턴 | CSP 패턴 | TI 패턴 |
|---|---|---|---|
| TX 빈도 | 일 0~5건 | 일 10~100건+ | 주 1~10건 |
| 금액 규모 | 건당 $10K~$10M | 다양 ($100~$10M) | 배치 단위 |
| TX 유형 | 거래소 입출금, OTC, 리밸런싱 | 고객별 입출금 | 베스팅/배포/유동성 |
- 배치 불필요: SC는 건별 처리가 기본 (CSP의 배치 처리와 다름)
- 고액 단건에 집중: 한 건의 TX에 대한 검증/승인에 충분한 시간을 투자
- 업무 시간 내 처리: 서명자가 같은 시간대/조직에 있으므로 업무 시간 내 처리가 기본
[SC Delta] Daily Step 3: Cold-Warm 리밸런싱 -- 자체 판단¶
- 리밸런싱 의사결정: 리밸런싱 필요성은 Warm 잔고 알림에 기반하되, 실행 결정은 재무 담당자가 자체 판단 (수탁 사업자처럼 고객 합의 불필요)
- 리밸런싱 주기: 월 1-2회 (저빈도 TX 패턴에 따라)
- 비율 조정 권한: CISO + CFO 합의로 비율 조정 (이사회 승인 불필요)
[SC Delta] Daily Step 4: 정기 리포팅 -- 내부 리포팅¶
SC 리포팅 수신자 및 포맷:
| 주기 | 수신자 | 핵심 내용 | 포맷 |
|---|---|---|---|
| 일간 | CISO, 재무팀장 | TX 요약, 잔고 변동, 이상 징후 | 대시보드 알림 |
| 주간 | CFO | 자산 현황, Cold/Warm 비율, 미처리 TX | 대시보드 리포트 |
| 월간 | 이사회/경영위원회 | 자산 종합 보고, 보안 상태, 수수료 분석 | PDF 리포트 |
| 분기 | 감사위원회 | 감사 로그 요약, 정책 변경 이력, 사고 기록 | 감사 패키지 |
- 규제 리포팅 차이: SC 기업은 자산 보관 자체에 대한 규제 리포팅이 CSP보다 경미 (VASP가 아니므로). 단, 규제 산업(금융, 에너지 등)에 속한 SC 기업은 업종 규제에 따른 추가 리포팅 필요
5. 관리 델타 (Administration Delta)¶
[SC Delta] Admin Step 2: 서명자 교체 -- 퇴직/부서 이동¶
SC 기업에서 서명자 교체의 가장 빈번한 사유는 퇴직과 부서 이동이다:
- 퇴직 시 교체 절차:
- 퇴직 예정일 최소 2주 전 서명자 교체 절차 착수
- 후임자 선정 + 디바이스 프로비저닝 (O-Step 2)
- 퇴직자 디바이스 회수 및 초기화 (Layer 1 M-Step 2 절차)
- 퇴직자의 시드 백업 파기 (물리 매체 파쇄)
- 퇴직 후 키 접근 불가 확인
- 부서 이동 시: 이동 부서에서도 서명 역할을 유지할지 결정. 유지하지 않을 경우 퇴직과 동일한 교체 절차
- SC 특성: 수탁 사업자와 달리 고객사 통보나 외부 승인 없이 내부 결정만으로 교체 완료
[SC Delta] Admin Step 3: 정책 변경 -- 메타 정책 SC 패턴¶
정책 변경 승인 체계 (SC 표준):
| 변경 유형 | 승인 임계값 | 승인자 | 사유 예시 |
|---|---|---|---|
| 화이트리스트 추가 | 3-of-5 | CISO + Approver | 새 거래소/파트너 주소 |
| 건당 한도 조정 | 3-of-5 | CISO + CFO + Approver | 자산 규모 변경 |
| M-of-N 변경 | 4-of-5 | CISO + CFO + 이사회 | 서명 정족수 변경 |
| HW 정책 엔진 변경 | 5-of-5 (만장일치) | 전 Approver | SE 불변 규칙 변경 |
- 메타 정책: 정책 변경 자체에 TX 승인보다 높은 임계값 적용. HW 정책 엔진 변경은 만장일치 필요
[SC Delta] Admin Step 6: 감사 대응 -- 내부 감사 + 외부 인증¶
SC 기업 감사 유형:
| 감사 유형 | 빈도 | 주관 | SC 특이사항 |
|---|---|---|---|
| 내부 감사 | 분기 | 감사위원회/내부 감사팀 | SC 기업의 주요 거버넌스 활동. 정기적이고 비교적 간소 |
| SOC 2 Type II | 연간 | 외부 감사 법인 | 자산 규모 $50M+ 시 권장. 운영 효과성 평가 (6-12개월 기간) |
| ISMS-P | 연간 | 인증 기관 | 한국 규제 환경 시 필수. 정보보호 관리체계 인증 |
| CCSS | 필요 시 | 인증 기관 | Level 2 (기본) -> Level 3 (콜드룸 S1 시) |
6. 긴급 대응 델타 (Emergency Response Delta)¶
[SC Delta] Emergency Step 1: 키 손상 대응 -- 단일 조직 대응¶
Layer 1의 E-Step 1에서 SC 기업은 다음이 다르다:
- 대응 팀 = 내부 조직: CISO 중심 사고 대응팀이 내부적으로 구성. 외부 고객사 통보 불필요 (CSP와 가장 큰 차이)
- 의사결정 속도: 이사회/경영진에 직보하여 긴급 자산 이전 등 중대 결정을 신속하게 내릴 수 있음
- 외부 통보 범위: 규제 기관 (필요 시), 보험사 (사이버 보험 가입 시)에만 통보. CSP처럼 다수 고객사에 개별 통보하는 복잡한 절차 없음
[SC Delta] Emergency Step 3: 서명자 불능 -- 후보 서명자 풀¶
SC 기업 후보 서명자 관리:
- 후보 풀 구성: N명 서명자 외에 2-3명의 후보 서명자를 사전 지정 (같은 조직 내)
- 후보 요건: Approver 교육 완료, D'CENT X 디바이스 사전 배정 (시드 미생성 상태로 보관)
- 승계 순서: 사전 정의된 우선순위에 따라 자동 지정 (예: 1순위 부서장, 2순위 팀장)
- SC 특성: 후보 서명자가 같은 조직에 있으므로 교체 시 외부 협의 불필요
7. 시나리오별 차이 매트릭스 (S1~S4)¶
Layer 1 E2E Core Flow는 S1~S4 모두에 동일하게 적용된다. 물리 환경 차이는 Layer 3 어노테이션에서 처리하며, 배포 모델 차이는 주로 온보딩(O-Step 1 인프라 설정)과 관리(M-Step 4 디바이스 관리)에서 발생한다.
| 차원 | S1 (ZC+CR) | S2 (ZC+NCR) | S3 (HY+NCR) | S4 (SA+NCR) |
|---|---|---|---|---|
| 도입 복잡도 | 높음 (인프라+콜드룸) | 높음 (인프라) | 중간 | 낮음 |
| 온보딩 기간 | 4-8주 | 3-6주 | 2-4주 | 1-2주 |
| 인프라 관리 | 전체 자체 관리 | 전체 자체 관리 | 서명환경만 관리 | 관리 불필요 |
| IT 인력 요구 | 2-3명 풀타임 | 2-3명 풀타임 | 1-2명 풀타임 | 불필요 |
| 보안 등급 | 콜드룸 | Grade A/B | Grade B/C | Grade C |
| 감사 수준 | CCSS L3 가능 | CCSS L2 | SOC 2 | 내부 감사 |
| M-of-N 구성 | 4-of-7 / 5-of-7 | 3-of-5 / 4-of-5 | 3-of-5 | 2-of-3 |
| TX 빈도 | 주 1-3건 | 주 1-5건 | 일 1-3건 | 일 1-5건 |
| 리밸런싱 주기 | 월 1회 | 월 1-2회 | 월 2-4회 | 주 1회 |
| 키 로테이션 | 연 1회 | 연 1회 | 연 1-2회 | 연 1-2회 |
시나리오별 주요 특이사항¶
S1 (Zero Cloud + 콜드룸): - 최고 보안 시나리오. 중앙은행, 국부펀드, 대형 금융기관 - 키 세레모니, 모든 서명 세션이 콜드룸에서 수행 (Layer 3 CR Annotation 전면 적용) - CCSS Level 3 인증 추진 가능 - 모든 관리/긴급 절차가 풀 적용 (간소화 없음)
S2 (Zero Cloud + 비콜드룸): - S1과 디지털 플로우 동일, 물리 환경만 다름 (Layer 3 NCR Annotation 적용) - Grade A 또는 Grade B 보완 조치 패키지 적용 - 콜드룸 구축 계획이 있다면 S1으로 전환 가능 (물리 환경 전환 축)
S3 (Hybrid + 비콜드룸): - 가장 큰 세그먼트 (25-30%). 중견기업의 현실적 선택 - 대시보드 운영을 D'CENT에 위임하여 IT 부담 완화 - 서명/키 관리는 온프레미스 (에어갭 원칙 유지) - 일부 관리 절차(대시보드 업데이트, 노드 관리)가 D'CENT에 위임되므로 관리 부담 감소
S4 (SaaS + 비콜드룸): - 진입 장벽 최소. 소규모 기업/스타트업의 첫 번째 선택 - 인프라 관리 불필요, D'CENT X 콜드월렛만 보유 - 온보딩 1-2주 내 완료 가능 - 자산 규모 성장 시 S3 -> S2 -> S1 순차 전환 (transition-paths-document-structure.md 참조)
작성일: 2026-03-28 Phase 14 Plan 01 산출물 — Layer 2 Self-Custody Segment Delta 적용 범위: S1~S4 (셀프 커스터디 기업) 참조: e2e-core-flow.md (Layer 1 E2E Core Flow)
관련 문서¶
- Layer 3 E2E 콜드룸 환경 어노테이션 (E2E Cold Room Annotation) -- 제품 설계
- Layer 1 E2E 핵심 플로우 (End-to-End Core Flow) -- 제품 설계
- Layer 3 E2E 비콜드룸 환경 어노테이션 (E2E Non-Cold Room Annotation) -- 제품 설계
- Layer 2 수탁 사업자 세그먼트 델타 (Custody Service Provider Segment Delta) -- 제품 설계
- Layer 2 토큰 발행 주체 세그먼트 델타 (Token Issuer Segment Delta) -- 제품 설계