v0.2
Layer 3 비콜드룸 환경 어노테이션 (Non-Cold Room Signing Annotation)¶
1. Executive Summary¶
본 문서는 D'CENT Enterprise 서명 플로우의 Layer 3 비콜드룸 환경 어노테이션이다. signing-core-flow.md(Layer 1)에서 정의한 Step 1~9의 디지털 플로우를 변경하지 않고, 비콜드룸 환경에서 추가되는 물리 절차와 보완 조치를 [NCR Annotation] Before/After Step N 형식으로 삽입한다.
적용 시나리오: S2(SC+ZC+NCR), S3(SC+Hybrid+NCR), S4(SC+SaaS+NCR), S6(CSP+Hybrid+NCR), S7(TI+Hybrid+NCR), S8(TI+SaaS+NCR)
비동기 분산 서명의 핵심 특성:
콜드룸 동기 집결 서명과의 근본적 차이는 서명자가 각자의 위치에서 각자의 시간에 서명한다는 것이다:
| 특성 | 콜드룸 (동기 집결) | 비콜드룸 (비동기 분산) |
|---|---|---|
| 서명자 위치 | 동일 콜드룸 | 각자의 사무실/보안 환경 |
| 서명 시간 | 동시 (세션 내) | 비동기 (시한 내 각자) |
| 물리 감독 | 듀얼 컨트롤 + 목격자 + CCTV | 자가 점검 + 보완 조치(CC-ID) |
| SLA 목표 | 12-24시간 | 4-8시간 |
| 장점 | 최고 수준 물리 보안 | 신속성, 지역/시간대 분산 가능 |
| 단점 | 스케줄링 비용, 지리적 제약 | 물리 감독 약화 -> 보완 조치 필수 |
보안 등급별 차등 절차: 비콜드룸 환경은 Grade A(전용 보안실, $5K-15K), Grade B(강화 사무실, $1K-5K), Grade C(표준 사무실, $500-1K)의 3단계로 구분되며, 각 등급에 따라 물리 절차의 엄격도가 달라진다. 디지털 플로우는 동일하다.
2. 비동기 분산 서명 모델¶
2.1. 비동기 서명 세션 라이프사이클¶
세션 개시 서명 수집 (대기) 정족수 달성 완료
[Step 1-2] [Step 3-7 x M명] [Step 8] [Step 9]
┌──────────┐ ┌──────────────┐ ┌──────────┐ ┌──────────┐
│ TX 생성 │────▶│ 서명자 1 서명 │────▶│ M개 수집 │────▶│ TX 확인 │
│ 정책 승인 │ │ 서명자 2 서명 │ │ 서명 집계 │ │ 완료 처리 │
│ 서명 요청 │ │ ...대기... │ │ 블록체인 │ │ │
│ │ │ 서명자 M 서명 │ │ 전파 │ │ │
└──────────┘ └──────────────┘ └──────────┘ └──────────┘
↑ 비동기: 각자 시간에
각자 위치에서 수행
2.2. 비동기 서명의 프로토콜별 고려사항¶
MuSig2 nonce 동기화 이슈:
MuSig2는 Round 1(nonce 교환)에서 M명 모두의 nonce가 필요하므로 완전 비동기가 불가능하다:
| 단계 | 동기 필요 여부 | 비동기 환경 처리 방안 |
|---|---|---|
| Round 1 (nonce 교환) | 동기 필요 (M명 모두 nonce 제출 후 집계) | 시한(deadline) 설정: M명이 시한 내에 각자 nonce 제출. 시한 초과 시 미제출자에게 추가 알림 |
| Round 2 (부분 서명) | 비동기 가능 (각자 독립 서명) | 각 서명자가 자신의 시간에 서명 수행 |
비동기 nonce 교환 프로세스:
- 대시보드에서 MuSig2 세션 시작 + M명에게 nonce 요청 알림
- 각 서명자가 자신의 환경에서 D'CENT X로 nonce 생성 (Step 3-4 + nonce 생성)
- 각 서명자가 nonce를 대시보드로 반환 (Step 7 경로)
- M명 nonce 수집 완료 -> aggregated nonce 계산 -> Round 2 진행
- 각 서명자에게 Round 2 데이터 전달 -> 각자 시간에 WYSIWYS 확인 + 서명
nonce 시한: MuSig2 세션의 nonce 유효 시간은 최대 4시간이다. 비동기 환경에서 4시간 내 M명 모두의 nonce를 수집하지 못하면 세션 만료 -> 새 세션 재시작이 필요하다. 이를 감안하여 서명 요청 시 서명자의 가용 시간을 사전 확인한다.
Safe 서명의 비동기 적합성:
Safe는 각 서명자의 ECDSA 서명이 완전히 독립적이므로 완전 비동기 지원: - nonce 교환 불필요 - 각 서명자가 임의의 순서/시간에 서명 - 서명 시한은 Safe nonce 기준 48시간
2.3. 시간대/위치 분산 서명자 구성¶
비동기 분산 서명의 핵심 이점은 지리적/시간적 분산이다:
| 분산 시나리오 | 서명자 위치 | 특성 |
|---|---|---|
| 동일 시간대, 다른 사무실 | 서울 본사 + 서울 지사 | 가장 단순. 업무 시간 겹침 100% |
| 2-3개 시간대 | 서울 + 싱가포르 + 도쿄 | 업무 시간 겹침 6-8시간. MuSig2 nonce 교환 시 겹침 시간 활용 |
| 극단적 분산 | 서울 + 런던 + 뉴욕 | 겹침 시간 2-3시간. 릴레이 방식 권장 |
3. 보안 등급별 물리 절차 분기¶
3.1. Grade A (전용 보안실)¶
| 항목 | 절차 |
|---|---|
| 환경 | 전용 보안실($5K-15K 투자), 독립 접근 통제, CCTV 설치 |
| 접근 통제 | 배지 + PIN 이중 인증, 출입 로그 자동 기록 |
| 디바이스 보관 | CC-PHY-01 보안 캐비닛 + CC-PHY-02 이중 잠금 + CC-PHY-03 앵커링 |
| 봉인 | CC-PHY-04 봉인 관리 강화 (매 접근 시 봉인 확인/교체) |
| RF 차폐 | CC-PHY-05 RF 차폐 파우치 (비사용 시 디바이스 보관) |
| 듀얼 컨트롤 | CC-PROC-01 권장 (2인 동시 접근 권장, 1인 접근 시 CCTV 필수) |
| 감시 | CCTV 권장 (설치된 경우 세션 녹화) |
| 콜드룸 대비 | Faraday cage, 맨트랩 미적용. 나머지 절차는 콜드룸에 준함 |
3.2. Grade B (강화 사무실)¶
| 항목 | 절차 |
|---|---|
| 환경 | 강화 사무실($1K-5K 투자), 잠금 캐비닛, 일반 CCTV |
| 접근 통제 | 사무실 출입카드 + 캐비닛 키 |
| 디바이스 보관 | CC-PHY-01 보안 캐비닛 + CC-PHY-04 봉인 관리 |
| 봉인 | CC-PHY-04 봉인 확인 (매 접근 시) |
| RF 차폐 | CC-PHY-05 선택 |
| 듀얼 컨트롤 | CC-PROC-01 선택 (권장하나 필수 아님) |
| 감시 | 사무실 일반 CCTV (전용 아님) |
| 보완 조치 | CC-TECH-01 PIN 정책, CC-TECH-02 attestation, CC-PROC-04 디지털 체크리스트 |
3.3. Grade C (표준 사무실)¶
| 항목 | 절차 |
|---|---|
| 환경 | 표준 사무실($500-1K 투자), 개인 금고/서랍 |
| 접근 통제 | 개인 금고 키/비밀번호 |
| 디바이스 보관 | 개인 금고 + 기본 봉인 |
| 봉인 | CC-PHY-04 기본 봉인 (비용 최소화) |
| RF 차폐 | 선택 |
| 듀얼 컨트롤 | 미적용 (개인 관리) |
| 감시 | 없음 |
| 보완 조치 MUST | CC-TECH-01 PIN 정책, CC-TECH-02 attestation, CC-TECH-03 디바이스 접근 대장, CC-TECH-04 서명 세션 자동 로그, CC-PROC-02 인벤토리, CC-PROC-04 디지털 체크리스트, CC-ORG-01 정기 감사, CC-ORG-02 역할 분리, CC-PHY-01 보안 캐비닛 (최소 7-9개 필수) |
4. [NCR Annotation] Before Step 1: 개인 서명 환경 준비¶
Step 1(TX 생성)은 대시보드에서 수행된다. 이 어노테이션은 서명자가 서명 요청을 수신하고 개인 환경에서 서명 준비를 하는 절차이다.
4.1. 서명 요청 수신 확인¶
- 대시보드 알림 확인: TX가 READY_TO_SIGN 상태, 자신이 서명 대상자임을 확인
- 이메일/메시지 알림 이중 확인 (알림 채널 교차 검증)
- 서명 시한(deadline) 확인: MuSig2 = nonce 유효 시한 내, Safe = 48시간 내
4.2. 보안 등급별 디바이스 반출¶
Grade A:
- 보안실 입장 (배지 + PIN)
- 출입 로그 자동 기록
- 보안 캐비닛 이중 잠금 해제 (CC-PHY-02)
- D'CENT X 봉인 확인 (CC-PHY-04) -> 파손 시 보안 사고 보고
- 봉인 개봉, 디바이스 반출, 반출 시간 기록
Grade B:
- 사무실 입장 (출입카드)
- 캐비닛 잠금 해제
- D'CENT X 봉인 확인 -> 파손 시 보안 사고 보고
- 봉인 개봉, 디바이스 반출
Grade C:
- 개인 금고에서 D'CENT X 반출
- 봉인 확인 (적용 시) -> 파손 시 보안 사고 보고
4.3. 디바이스 attestation (CC-TECH-02)¶
모든 등급 공통:
- 오프라인 서명 앱에서 D'CENT X attestation 수행 -> 정품 확인
- attestation 실패 시: 디바이스 사용 중단, 대체 디바이스 확인, 보안 사고 보고
5. [NCR Annotation] Before Step 2: 비동기 서명 요청 확인¶
Step 2(정책 검증 + 승인)는 대시보드에서 수행된다. 이 어노테이션은 비동기 환경에서 서명자가 TX 내용을 사전 검토하는 절차이다.
5.1. 대시보드 TX 사전 검토¶
- 대시보드에서 서명 대기 TX 목록 확인
- 각 TX의 상세 내용 검토:
- 수신 주소 (화이트리스트 등록 여부 확인)
- 금액 및 자산 유형
- 요청자(Initiator) 확인
- 승인 이력 (이전 승인자 현황)
5.2. 이상 징후 판별¶
- 다음 항목에 대해 서명 전 조직 내 확인 절차 수행:
| 이상 징후 | 확인 절차 |
|---|---|
| 예상치 못한 TX (사전 안내 없는 서명 요청) | Initiator에게 직접 확인 (전화/메시지, 이메일 아님) |
| 비정상 금액 (평소 패턴 대비 과도) | Admin에게 확인 |
| 화이트리스트 외 주소 | 즉시 서명 보류 -> 화이트리스트 등록 절차 확인 |
| 비정상 시간 (영업시간 외 긴급 요청) | 에스컬레이션 기준 확인 |
| 짧은 기간 내 반복 요청 | 중복 또는 분할 공격 의심 -> 확인 |
- 이상 없음 확인 후 서명 준비 진행
6. [NCR Annotation] During Steps 3-7: 개인 환경 서명 절차¶
Step 3~7의 디지털 플로우(에어갭 전달, WYSIWYS, SE 서명, 반환)는 Layer 1과 동일하다. 이 어노테이션은 비콜드룸 개인 환경에서 추가되는 물리 절차이다.
6.1. 목격자 부재 보완¶
콜드룸에서는 목격자가 WYSIWYS 확인 과정을 관찰하지만, 비콜드룸에서는 서명자가 혼자 수행한다. 이를 보완하기 위한 절차:
Grade A/B:
- 서명 전 D'CENT X 디스플레이 사진 촬영 (타임스탬프 포함)
- 촬영 대상: WYSIWYS에서 표시된 수신 주소 + 금액 화면
- 목적: 사후 감사 시 서명자가 올바른 내용을 확인했음을 증빙
- 대시보드 화면 캡처 + D'CENT X 디스플레이 사진을 해시 비교 (CC-PROC 참조)
- 대시보드에서 표시하는 TX 해시와 D'CENT X에서 표시하는 TX 해시를 대조
- 불일치 시 즉시 서명 거부 + 보안 사고 보고
Grade C:
- WYSIWYS 확인은 Layer 1 Step 5와 동일하게 수행 (사진 촬영은 권장하나 필수 아님)
- D'CENT X 디스플레이 표시 내용과 대시보드 표시 내용의 육안 대조
6.2. QR/USB-C 스캔 개인 환경 최적화¶
| 항목 | 권장 사항 |
|---|---|
| 배경 조명 | 균일한 간접 조명 (형광등 직접 비침 방지) |
| 고정 거치대 | 권장 -- 한 손으로 디바이스 + 한 손으로 QR 표시 불편 해소 |
| 프라이버시 | CC-PHY-06 프라이버시 스크린 (Grade A/B), 독립 공간 사용(CC-PROC-05) |
| 방해 차단 | 서명 세션 중 제3자 접근 차단 (Grade A: 보안실 잠금, Grade B: 회의실 예약) |
6.3. 서명 시작/종료 자동 기록¶
- 대시보드에서 서명 세션 시작/종료 시간 자동 기록 (CC-TECH-04)
- 기록 항목: 서명자 ID, 세션 시작 시각, 서명 완료 시각, TX 해시, 결과(승인/거부)
- 자동 기록은 수동 조작 불가 (대시보드 서버 시간 기준)
7. [NCR Annotation] After Step 8: 디바이스 보관 및 봉인¶
Step 8(서명 집계)은 대시보드에서 수행된다. 이 어노테이션은 서명 완료 후 디바이스 보관 절차이다.
7.1. 보안 등급별 보관 절차¶
Grade A:
- D'CENT X 화면 종료/잠금
- 새 봉인 백에 디바이스 삽입 (CC-PHY-04 필수)
- 새 봉인 번호 기록 (인벤토리 업데이트)
- 보안 캐비닛에 반입, 이중 잠금 (CC-PHY-02)
- 보관 로그 기록 (보관자 서명, 시간, 봉인 번호)
- 보안실 퇴장, 출입 로그 기록
Grade B:
- D'CENT X 화면 종료/잠금
- 새 봉인 적용 (CC-PHY-04 필수)
- 봉인 번호 기록
- 캐비닛에 보관, 잠금
- 보관 시간 기록
Grade C:
- D'CENT X 화면 종료/잠금
- 봉인 적용 (권장)
- 개인 금고에 보관
7.2. RF 차폐 (CC-PHY-05)¶
보관 시 추가 권장 사항: - Grade A/B: RF 차폐 파우치(Faraday bag)에 넣은 후 봉인 백에 삽입 (이중 보호) - Grade C: RF 차폐 파우치 선택 적용
8. [NCR Annotation] After Step 9: 비동기 세션 완료 처리¶
Step 9(확인 대기 + 완료)는 대시보드에서 수행된다. 이 어노테이션은 비동기 서명 세션의 종합 완료 처리이다.
8.1. 서명 수집 상태 확인¶
- 대시보드에서 모든 서명자의 부분 서명 수집 상태 확인
- 정족수(M개) 달성 확인 -> Step 8(집계) 자동 또는 수동 트리거
8.2. 정족수 미달 처리¶
M개 서명 미수집 시:
| 상황 | 대응 |
|---|---|
| 시한 내, 1-2명 미서명 | 추가 알림 발송 (대시보드 + 이메일/전화) |
| 시한 임박, 미달 예상 | Admin에게 에스컬레이션, 시한 연장 검토 |
| MuSig2 nonce 만료 | 세션 재시작 (새 nonce 필요, 기존 nonce 폐기) |
| Safe 시한 초과 (48시간) | 새 safeTxHash 생성 가능성 확인 후 재요청 |
| 대체 서명자 가용 | N풀에서 대체 서명자 지정, 추가 서명 요청 |
8.3. 세션 완료 보고¶
- 세션 완료 보고서 자동 생성 (CC-TECH-04):
- 세션 ID
- TX 목록 (해시, 금액, 상태)
- 서명자별 서명 시간
- 총 소요 시간 (첫 서명 ~ 마지막 서명)
- 이상 여부
- Admin이 보고서 확인 + 승인
9. 시간대/위치 분산 시나리오¶
9.1. 시나리오 A: 동일 시간대, 다른 사무실¶
| 항목 | 내용 |
|---|---|
| 예시 | 서울 본사 2명 + 서울 지사 1명 (3-of-5 서명) |
| 시간대 차이 | 0시간 |
| MuSig2 nonce 교환 | 업무 시간 내 동시 수행 가능 (1-2시간 내 완료) |
| Safe 서명 | 각자 시간에 수행 (4-8시간 내 완료) |
| 권장 서명 순서 | 순서 무관 (병렬 권장) |
| 예상 총 소요 시간 | MuSig2: 2-4시간 / Safe: 4-8시간 |
9.2. 시나리오 B: 2-3개 타임존 분산¶
| 항목 | 내용 |
|---|---|
| 예시 | 서울 2명 + 싱가포르 1명 (3-of-5 서명), 시차 1시간 |
| 시간대 차이 | 1-3시간 |
| 업무 시간 겹침 | 6-8시간 (KST 09:00-18:00 ∩ SGT 08:00-17:00 = 7시간) |
| MuSig2 nonce 교환 | 겹침 시간에 nonce 교환 수행 (2-3시간 내 완료) |
| Safe 서명 | 각자 업무 시간에 수행 |
| 권장 서명 순서 | MuSig2: 가장 먼저 퇴근하는 타임존 서명자부터 시작 |
| 예상 총 소요 시간 | MuSig2: 3-6시간 / Safe: 4-8시간 |
9.3. 시나리오 C: 극단적 분산 (12시간 시차)¶
| 항목 | 내용 |
|---|---|
| 예시 | 서울 1명 + 런던 1명 + 뉴욕 1명 (3-of-5 서명), 시차 8-14시간 |
| 시간대 차이 | 8-14시간 |
| 업무 시간 겹침 | 0-2시간 |
| MuSig2 nonce 교환 | 릴레이 방식: 서울 nonce 제출(KST 오전) -> 런던 nonce 제출(GMT 오전 = KST 저녁) -> 뉴욕 nonce 제출(EST 오전 = KST 밤) -> 다음 날 KST 오전 Round 2 시작 |
| Safe 서명 | 각자 업무 시간에 서명 (24시간 내 완료) |
| 권장 서명 순서 | 동쪽 타임존부터 서쪽으로 순차 (시간 흐름 방향) |
| 예상 총 소요 시간 | MuSig2: 8-24시간 (nonce 4시간 시한 주의) / Safe: 8-24시간 |
MuSig2 nonce 시한 주의: 극단적 시차에서는 nonce 4시간 유효 시한 내 M명 모두의 nonce 수집이 어려울 수 있다. 이 경우 Safe 프로토콜을 권장하거나, nonce 시한 정책을 연장(최대 8시간)하는 것을 검토한다 (-> DEEP-03 심화 리서치 항목).
10. 보완 조치 체크리스트¶
10.1. Grade별 MUST/SHOULD/MAY 분류¶
non-coldroom-compensating-controls.md의 CC-ID 카탈로그를 서명 세션 관점에서 재분류한다.
Grade A (전용 보안실):
| 분류 | MUST (필수) | SHOULD (권장) | MAY (선택) |
|---|---|---|---|
| 물리 | CC-PHY-01, CC-PHY-02, CC-PHY-04, CC-PHY-07 | CC-PHY-03, CC-PHY-05 | CC-PHY-06 |
| 절차 | CC-PROC-01, CC-PROC-02, CC-PROC-04 | CC-PROC-05, CC-PROC-06 | CC-PROC-03 |
| 기술 | CC-TECH-01, CC-TECH-02, CC-TECH-04 | CC-TECH-03, CC-TECH-05 | -- |
| 조직 | CC-ORG-01, CC-ORG-02 | CC-ORG-03 | CC-ORG-04 |
Grade B (강화 사무실):
| 분류 | MUST (필수) | SHOULD (권장) | MAY (선택) |
|---|---|---|---|
| 물리 | CC-PHY-01, CC-PHY-04 | CC-PHY-02, CC-PHY-07 | CC-PHY-05 |
| 절차 | CC-PROC-01, CC-PROC-02 | CC-PROC-04 | CC-PROC-05 |
| 기술 | CC-TECH-01, CC-TECH-02 | CC-TECH-04 | CC-TECH-05 |
| 조직 | CC-ORG-01, CC-ORG-02 | CC-ORG-03 | -- |
Grade C (표준 사무실):
| 분류 | MUST (필수) | SHOULD (권장) | MAY (선택) |
|---|---|---|---|
| 물리 | CC-PHY-01, CC-PHY-04 | CC-PHY-07 | CC-PHY-05 |
| 절차 | CC-PROC-02, CC-PROC-04 | CC-PROC-01 | -- |
| 기술 | CC-TECH-01, CC-TECH-02, CC-TECH-03, CC-TECH-04 | CC-TECH-05 | -- |
| 조직 | CC-ORG-01, CC-ORG-02 | CC-ORG-03 | CC-ORG-04 |
10.2. 서명 세션 자가 점검 체크리스트¶
서명 전 점검 (모든 등급 공통):
- [ ] D'CENT X 봉인 상태 확인 (파손 없음)
- [ ] D'CENT X attestation 수행 (정품 확인)
- [ ] 서명 요청이 정당한 것인지 확인 (Initiator, 금액, 주소)
- [ ] 서명 시한 내인지 확인
- [ ] 서명 환경이 프라이버시 확보된 상태인지 확인
서명 중 점검:
- [ ] WYSIWYS: D'CENT X 디스플레이에 표시된 수신 주소 확인
- [ ] WYSIWYS: 금액과 수수료 확인
- [ ] WYSIWYS: 체인 정보 확인
- [ ] SE 표시와 대시보드 표시 일치 확인 (불일치 시 즉시 거부)
- [ ] 물리 버튼으로 승인 (또는 거부)
서명 후 점검:
- [ ] 부분 서명이 대시보드에 정상 반환되었는지 확인
- [ ] D'CENT X 화면 종료/잠금
- [ ] 디바이스 봉인 적용 (해당 등급 기준)
- [ ] 디바이스 안전 보관 완료
11. 감사 대응 어노테이션¶
11.1. CCSS Level 1/2 감사 시 비콜드룸 서명 증적¶
| 증적 항목 | Level 1 | Level 2 추가 | 보관 기간 |
|---|---|---|---|
| 서명 세션 자동 로그 (CC-TECH-04) | 필수 | 필수 | 3년 |
| 디바이스 접근 대장 (CC-TECH-03) | 권장 | 필수 | 3년 |
| 인벤토리 대장 (CC-PROC-02) | 필수 | 필수 | 무기한 |
| 봉인 교체 이력 (CC-PHY-04) | 권장 | 필수 | 3년 |
| Attestation 결과 기록 (CC-TECH-02) | 권장 | 필수 | 3년 |
| 자가 점검 체크리스트 기록 | 선택 | 권장 | 1년 |
| WYSIWYS 확인 사진 (Grade A/B) | 선택 | 권장 | 1년 |
11.2. 콜드룸 대비 추가 제출 항목¶
비콜드룸 감사에서는 콜드룸 감사에 비해 다음이 추가로 요구된다:
| 추가 항목 | 사유 |
|---|---|
| 보완 조치 이행 증적 | 콜드룸의 물리 통제를 CC-ID로 대체했음을 입증 |
| 잔여 위험 수용 문서 | threat-model-comparison.md의 Delta High 항목에 대한 명시적 수용 |
| 정기 보안 감사 결과 (CC-ORG-01) | 분기별 보완 조치 이행 상태 점검 기록 |
| 보안 교육 이수 기록 (CC-ORG-03) | 서명자 대상 연 2회 보안 교육 이수 증적 |
본 문서는 Phase 13 서명 플로우 설계의 Layer 3 비콜드룸 어노테이션으로, signing-core-flow.md(Layer 1)의 Step 번호를 참조하여 S2~S4, S6~S8 시나리오의 비동기 분산 서명 물리 절차를 삽입한다. non-coldroom-compensating-controls.md의 CC-ID 카탈로그와 threat-model-comparison.md의 Delta High 항목을 기반으로 설계되었다.