콜드룸 vs 비콜드룸 위협 모델 비교 분석
1. Executive Summary
본 문서는 D'CENT Enterprise 커스터디 솔루션을 운영하는 두 가지 물리 환경 -- 콜드룸(전용 보안실)과 비콜드룸(일반 사무실/보안 캐비닛) -- 의 위협 모델을 공격 벡터별로 비교 분석한다.
핵심 원칙: "Same digital flow, different physical envelope"
D'CENT Enterprise의 디지털 보안 체계(에어갭, MuSig2/Safe 다중 서명, WYSIWYS 하드웨어 검증, SE 기반 키 격리)는 콜드룸이든 비콜드룸이든 동일하게 작동 한다. 차이는 오직 물리적 환경(physical envelope)에서 발생하며, 이 문서는 그 물리적 차이가 만들어내는 위협 수준의 델타(Delta)를 정량적으로 분석한다.
핵심 발견:
디지털 공격 벡터에서 콜드룸/비콜드룸 차이는 zero이다. 에어갭 디바이스는 어떤 환경에서든 네트워크에 연결되지 않으므로, 원격 공격에 대한 보호 수준이 동일하다.물리적 공격 벡터에서만 차이가 발생한다. 18개 물리적 공격 벡터 중 6개에서 High Delta, 5개에서 Medium Delta가 식별되었다.에어갭 디바이스(D'CENT X)가 환경 독립적으로 완화하는 위협이 상당하다. 비콜드룸에서도 SE, 에어갭, WYSIWYS가 물리적 디바이스 탈취 이후의 공격을 효과적으로 차단한다.
2. 위협 모델링 방법론
2.1. STRIDE 프레임워크 확장
기존 Phase 5의 STRIDE 위협 모델(stride-threat-model.md)은 디지털 Trust Boundary(TB-1 ~ TB-5)에서의 위협을 분석하였다. 본 문서는 이를 물리적 환경 관점 으로 확장한다.
구분
Phase 5 STRIDE
본 문서 (물리 환경 확장)
분석 대상 디지털 Trust Boundary (TB-1~TB-5)
물리적 환경 (콜드룸 vs 비콜드룸)
위협 유형 네트워크/소프트웨어 기반 위협
물리적 접근/환경적 위협
공격자 외부 해커, 내부자 (논리적 접근)
물리적 침입자, 내부자 (물리적 접근)
참조 관계 기존 문서
Phase 5 보완 (중복 없이 물리 관점 추가)
2.2. 위협 수준 평가 기준
수준
정의
발생 확률 x 영향도
Critical 키 탈취 또는 비인가 서명 가능
높음 x 치명적
High 키 노출 시도 가능, 추가 방어로 차단
중간 x 치명적
Medium 운영 방해 또는 간접 정보 수집 가능
중간 x 중간
Low 위협 존재하나 실질적 피해 가능성 낮음
낮음 x 낮음
Mitigated 설계 수준에서 원천 차단됨
무시 가능
3. 공격 벡터 분류 체계
물리 환경 관련 공격 벡터를 6개 카테고리, 18개 세부 벡터로 분류한다.
3.1. 물리적 접근 위협 (Physical Access Threats)
ID
공격 벡터
설명
PA-01 비인가 물리 접근
접근 권한 없는 자가 디바이스/시드에 물리적으로 접근
PA-02 숄더 서핑
서명 세션 중 화면/키 입력을 훔쳐봄
PA-03 강압(Coercion)
서명자에게 물리적/정신적 위협으로 서명 강요
3.2. 디바이스 위협 (Device Threats)
ID
공격 벡터
설명
DV-01 디바이스 도난
콜드월렛의 물리적 탈취
DV-02 Evil Maid 공격
디바이스를 변조된 디바이스로 교체
DV-03 물리적 변조(Tampering)
디바이스 하드웨어의 물리적 수정(프로빙, 칩 교체 등)
3.3. 환경적 위협 (Environmental Threats)
ID
공격 벡터
설명
EN-01 전자기 도청(TEMPEST)
디바이스에서 방출되는 전자기파를 수집하여 정보 추출
EN-02 무선 신호 수집
WiFi/Bluetooth/NFC 신호를 감청하여 데이터 탈취
EN-03 네트워크 탐지
동일 네트워크에서의 트래픽 감청/중간자 공격
3.4. 인적 위협 (Human Threats)
ID
공격 벡터
설명
HU-01 내부자 공모(Collusion)
2인 이상 내부자가 공모하여 비인가 서명 시도
HU-02 소셜 엔지니어링
서명자를 속여 비인가 트랜잭션 승인 유도
HU-03 강압 서명(Duress Signing)
협박/납치하여 정당한 서명 절차를 따르되 부당한 트랜잭션 승인
3.5. 공급망 위협 (Supply Chain Threats)
ID
공격 벡터
설명
SC-01 디바이스 공급망 교체
배송 중 정품 디바이스를 변조 디바이스로 교체
SC-02 부품 변조
디바이스 내부 부품(SE, 디스플레이 등)의 공급망 수준 변조
3.6. 운영 위협 (Operational Threats)
ID
공격 벡터
설명
OP-01 절차 우회
정해진 보안 절차를 편의상 건너뛰거나 간소화
OP-02 로깅 누락
접근/작업 기록이 누락되어 사후 추적 불가
OP-03 백업 노출
시드 백업(금속 플레이트)이 비인가자에게 노출
4. 콜드룸 환경 위협 분석
콜드룸의 물리 통제(Faraday cage, 맨트랩, 듀얼 컨트롤, CCTV, 전자기 차폐)가 각 공격 벡터를 어떻게 완화하는지 분석한다.
공격 벡터
위협 수준
콜드룸 통제 수단
잔여 위협
PA-01 비인가 접근
Low 맨트랩 + 다중 인증 + CCTV
인가자 사칭(극히 낮음)
PA-02 숄더 서핑
Low 독립 작업 공간 + CCTV 각도 관리
증인의 의도적 관찰(듀얼 컨트롤로 상쇄)
PA-03 강압
Medium 듀얼 컨트롤(2인 이상), CCTV 증거
다수 공모 또는 외부 위협
DV-01 디바이스 도난
Low 물리 보관 통제 + 출입 로그
인가자의 의도적 반출
DV-02 Evil Maid
Low 봉인 관리 + 듀얼 컨트롤 + 디바이스 인증
봉인 위조 + 내부자 공모
DV-03 물리적 변조
Low 봉인 + CCTV + 접근 시간 제한
고도 숙련 공격자(시간 내 완료 어려움)
EN-01 TEMPEST
Mitigated Faraday cage 전자기 차폐
차폐 결함(정기 검사로 완화)
EN-02 무선 신호
Mitigated 전자기기 반입 금지 + 차폐
차폐 결함
EN-03 네트워크 탐지
Mitigated 네트워크 미설치
해당 없음
HU-01 내부자 공모
Medium 듀얼 컨트롤 + M-of-N 다중 서명
M명 이상의 공모
HU-02 소셜 엔지니어링
Low WYSIWYS + 체크리스트 + 증인
고도의 사전 조작
HU-03 강압 서명
Medium CCTV + 듀얼 컨트롤 + 지연 서명
외부 위협 + 다수 강압
SC-01 공급망 교체
Low 봉인 검증 + 디바이스 attestation
고도 공급망 침투
SC-02 부품 변조
Low 디바이스 attestation + 정기 검증
제조 단계 침투
OP-01 절차 우회
Low 체크리스트 강제 + 증인 + CCTV
증인-운영자 공모
OP-02 로깅 누락
Low 자동 출입 로그 + CCTV + 체크리스트
시스템 장애
OP-03 백업 노출
Low 봉인 백 + 별도 보관소 + 접근 로그
봉인 위조 + 보관소 침입
5. 비콜드룸 환경 위협 분석
비콜드룸 환경(일반 사무실, 보안 캐비닛)에서의 위협 수준. D'CENT X의 자체 보안(SE, 에어갭, WYSIWYS)이 물리 환경과 무관하게 제공하는 보호를 포함한다.
공격 벡터
위협 수준
기본 통제 수단
D'CENT X 자체 완화
잔여 위협
PA-01 비인가 접근
High 사무실 출입카드
--
출입카드 권한자 다수, 통제 약함
PA-02 숄더 서핑
Medium 화면 보안 필름
WYSIWYS(하드웨어 표시)
사무실 개방 환경
PA-03 강압
High 제한적
다중 서명(M-of-N)
사무실 접근 용이
DV-01 디바이스 도난
High 보안 캐비닛/금고
SE PIN + 자동 삭제
캐비닛 단순 잠금
DV-02 Evil Maid
High 봉인(선택적)
디바이스 attestation
정기 봉인 미관리
DV-03 물리적 변조
Medium 보안 캐비닛
SE tamper detection
장시간 접근 가능
EN-01 TEMPEST
Medium 없음
에어갭(네트워크 미사용)
전자기 차폐 없음
EN-02 무선 신호
Medium 제한적
에어갭(WiFi/BT 미사용)
사무실 WiFi 존재
EN-03 네트워크 탐지
Mitigated --
에어갭(네트워크 미연결)
콜드월렛은 네트워크 미사용
HU-01 내부자 공모
High 제한적
M-of-N 다중 서명
물리 접근 용이
HU-02 소셜 엔지니어링
Medium 보안 교육
WYSIWYS(TX 표시 확인)
격리 환경 미보장
HU-03 강압 서명
High 제한적
다중 서명 + 시간 지연
사무실 접근 용이
SC-01 공급망 교체
Medium 봉인 선택적
디바이스 attestation
수령~사용 사이 관리 약함
SC-02 부품 변조
Low --
디바이스 attestation
제조 단계(환경 무관)
OP-01 절차 우회
High 절차 문서
--
강제 메커니즘 부재
OP-02 로깅 누락
High 수기 기록
--
자동 로깅 부재
OP-03 백업 노출
Medium 보안 캐비닛
--
캐비닛 접근 통제 약함
6. 비교 매트릭스
6.1. 종합 비교 테이블
#
공격 벡터
콜드룸 위협
콜드룸 완화 수단
비콜드룸 위협
비콜드룸 완화 수단
Delta
1
PA-01 비인가 접근
Low
맨트랩+다중인증+CCTV
High
사무실 출입카드
High
2
PA-02 숄더 서핑
Low
독립 공간+CCTV
Medium
화면 필름+WYSIWYS
Medium
3
PA-03 강압
Medium
듀얼 컨트롤+CCTV
High
다중 서명
Medium
4
DV-01 디바이스 도난
Low
물리 보관 통제
High
보안 캐비닛+SE PIN
High
5
DV-02 Evil Maid
Low
봉인+듀얼 컨트롤
High
attestation
High
6
DV-03 물리적 변조
Low
봉인+CCTV+시간제한
Medium
SE tamper+캐비닛
Medium
7
EN-01 TEMPEST
Mitigated
Faraday cage
Medium
에어갭
High
8
EN-02 무선 신호
Mitigated
전자기기 반입 금지
Medium
에어갭
Medium
9
EN-03 네트워크 탐지
Mitigated
네트워크 미설치
Mitigated
에어갭
None
10
HU-01 내부자 공모
Medium
듀얼 컨트롤+M-of-N
High
M-of-N
Medium
11
HU-02 소셜 엔지니어링
Low
WYSIWYS+체크리스트+증인
Medium
WYSIWYS+교육
Medium
12
HU-03 강압 서명
Medium
CCTV+듀얼 컨트롤
High
다중 서명+지연
Medium
13
SC-01 공급망 교체
Low
봉인+attestation
Medium
attestation
Medium
14
SC-02 부품 변조
Low
attestation+검증
Low
attestation
None
15
OP-01 절차 우회
Low
체크리스트+증인+CCTV
High
절차 문서만
High
16
OP-02 로깅 누락
Low
자동 로그+CCTV
High
수기 기록
High
17
OP-03 백업 노출
Low
봉인+별도 보관소
Medium
보안 캐비닛
Medium
18
(종합) 디지털 공격
Mitigated
에어갭+SE+WYSIWYS
Mitigated
에어갭+SE+WYSIWYS
None
6.2. Delta 요약
Delta 수준
공격 벡터 수
해당 벡터
High 6개
PA-01, DV-01, DV-02, EN-01, OP-01, OP-02
Medium 9개
PA-02, PA-03, DV-03, EN-02, HU-01, HU-02, HU-03, SC-01, OP-03
None 3개
EN-03, SC-02, 디지털 공격 전체
Delta High 항목은 Plan 02 Task 2에서 보완 조치 설계가 필수이다.
7. 핵심 발견: 에어갭 디바이스의 환경 독립적 보호
7.1. D'CENT X가 환경과 무관하게 제공하는 보호
보호 메커니즘
대상 위협
환경 의존성
SE(EAL5+) 키 격리 키 추출, 메모리 덤프, 사이드 채널
없음 -- 물리 환경과 무관
에어갭(QR/USB-C) 원격 공격, 네트워크 기반 키 탈취, MITM
없음 -- 디바이스가 네트워크에 미연결
WYSIWYS 디스플레이 트랜잭션 변조, 주소 교체, 금액 조작
없음 -- 하드웨어 디스플레이에서 직접 확인
다중 서명(M-of-N) 단독 서명, 단일 키 탈취
없음 -- 프로토콜 수준 보호
PIN + 자동 삭제 브루트 포스, 디바이스 도난 후 접근
없음 -- 디바이스 자체 보호
디바이스 Attestation Evil Maid, 공급망 교체
없음 -- 암호학적 검증
7.2. 환경에 의존하는 보호 (콜드룸만 제공)
보호 메커니즘
대상 위협
비콜드룸에서의 갭
전자기 차폐(Faraday cage) TEMPEST, 무선 도청
전자기 보호 없음
맨트랩 + 다중 인증 비인가 물리 접근
사무실 출입카드만
듀얼 컨트롤 강제 내부자 공모, 절차 우회
절차적 강제 약함
전용 CCTV 강압, 변조, 도난 증거
사무실 공용 CCTV만
봉인 관리 체계 Evil Maid, 변조
선택적 봉인
자동 출입 로그 로깅 누락, 감사 추적
수기 기록 의존
7.3. 핵심 결론
디지털 공격에 대해서는 콜드룸과 비콜드룸의 차이가 zero이다. D'CENT X의 에어갭 + SE + WYSIWYS는 물리 환경과 무관하게 원격 공격 벡터를 100% 차단한다.
물리적 공격에서만 차이가 발생하며, 보완 조치의 범위는 물리적 통제에 한정된다. Delta High 6개 항목은 모두 물리적 접근 통제, 환경 차폐, 운영 절차 강제에 관한 것이다.
8. 위협 시나리오
8.1. 시나리오 1: 내부자 공모에 의한 비인가 서명 시도
항목
내용
공격자 프로필 내부 직원 2명 (IT 관리자 + 서명자 1인)
목표 자산 무단 이전
공격 단계 (1) IT 관리자가 대시보드에서 TX 생성 → (2) 공모 서명자가 자신의 키로 1차 서명 → (3) 2차 서명자 확보 시도
환경
결과
콜드룸 (3)단계에서 차단: 콜드룸 입장 자체가 2인 이상 동시 필수, CCTV 녹화, 2차 서명자가 WYSIWYS로 TX 확인 시 이상 감지
비콜드룸 (3)단계 리스크 상승: 사무실에서 2차 서명자에게 소셜 엔지니어링 시도 가능, 그러나 WYSIWYS가 TX 내용 표시하므로 주의 깊은 서명자는 거부. M-of-N에서 M > 2이면 추가 공모 필요
Delta Medium -- 비콜드룸에서 소셜 엔지니어링 성공 확률 상승, WYSIWYS가 최종 방어선
8.2. 시나리오 2: 디바이스 물리적 도난 후 키 탈취 시도
항목
내용
공격자 프로필 외부 침입자 또는 내부자
목표 콜드월렛 탈취 후 키 추출
공격 단계 (1) 디바이스 물리적 확보 → (2) PIN 브루트 포스 시도 → (3) SE 사이드 채널 공격 시도
환경
결과
콜드룸 (1)단계에서 차단: 맨트랩, CCTV, 출입 로그로 탈취 자체가 극히 어려움. 탈취 시도 즉시 감지
비콜드룸 (1)단계 리스크 상승: 보안 캐비닛 잠금 파괴로 탈취 가능. 그러나 (2)에서 PIN 10회 실패 시 SE 자동 삭제, (3)에서 SE EAL5+가 사이드 채널 방어
Delta High -- 탈취 성공 확률 상승, 그러나 SE가 탈취 후 공격을 효과적으로 차단
8.3. 시나리오 3: Evil Maid 디바이스 교체 공격
항목
내용
공격자 프로필 물리 접근 가능한 내부자/외부자
목표 정품 콜드월렛을 변조 디바이스로 교체하여 가짜 서명 유도
공격 단계 (1) 정품 디바이스 접근 → (2) 외형 동일한 변조 디바이스로 교체 → (3) 사용자가 변조 디바이스로 서명
환경
결과
콜드룸 (1)단계에서 차단: 봉인 관리(tamper-evident bag), 듀얼 컨트롤, CCTV. 교체 시도 시 봉인 파손 감지
비콜드룸 (2)단계 리스크 상승: 봉인 관리가 느슨한 경우 교체 가능. 그러나 (3)에서 디바이스 attestation이 변조 감지. SE 기반 attestation 통과 불가
Delta High -- 교체 성공 확률 상승, attestation이 최종 방어선
8.4. 시나리오 4: TEMPEST 전자기 도청
항목
내용
공격자 프로필 국가 수준 공격자(APT), 고도 장비 보유
목표 디바이스 디스플레이/키 입력에서 방출되는 전자기파 수집으로 PIN/시드 추출
공격 단계 (1) 표적 건물 인근 감청 장비 배치 → (2) 서명 세션 중 전자기파 수집 → (3) 신호 분석으로 정보 추출
환경
결과
콜드룸 (2)단계에서 차단: Faraday cage가 전자기파 외부 유출을 차단. 감청 불가
비콜드룸 (2)단계 가능: 전자기 차폐 없이 전자기파 수집 가능. 단, SE 내부 연산은 사이드 채널 방어로 키 추출 어려움. 디스플레이/키패드 정보 추출은 이론적으로 가능
Delta High -- 국가 수준 위협에서 의미 있는 차이. 일반 기업 위협에서는 발생 확률 극히 낮음
8.5. 시나리오 5: 절차 우회에 의한 보안 약화
항목
내용
공격자 프로필 내부 운영자 (비의도적 또는 편의성 추구)
목표 서명 세션의 보안 절차를 간소화하여 편의성 확보
공격 단계 (1) 듀얼 컨트롤 생략(혼자 서명 시도) → (2) 봉인 확인 생략 → (3) 체크리스트 미작성
환경
결과
콜드룸 (1)단계에서 차단: 콜드룸 입장 자체가 2인 필수(물리적 강제). CCTV가 절차 준수를 기록. 증인이 체크리스트 서명
비콜드룸 (1-3)단계 모두 가능: 사무실에서 혼자 서명 물리적으로 가능, 봉인 생략 가능, 체크리스트 미작성 가능. 절차 준수가 자발적 의지에 의존
Delta High -- 콜드룸의 물리적 강제 메커니즘이 비콜드룸에서는 부재
9. Phase 12-15 연계
9.1. 위협 모델이 후속 Phase에 미치는 영향
Phase
활용 내용
Phase 12 시나리오 매트릭스에서 물리 환경(콜드룸/비콜드룸) 차원 적용 시, Delta High 6개 항목이 환경 선택의 핵심 판단 기준
Phase 13 서명 플로우에서 콜드룸 동기 서명과 비콜드룸 비동기 서명의 물리 보안 절차 차이를 본 문서의 비교 매트릭스 기반으로 설계
Phase 14 세그먼트별 예상 물리 환경에 따라 위협 프로필이 다름. 대규모 셀프 커스터디(콜드룸) vs 소규모 스타트업(비콜드룸)
Phase 15 Day-0 물리 환경 평가 시 본 문서의 Delta 매트릭스를 체크리스트로 사용
본 문서는 Phase 11 콜드룸 운영 비교 리서치의 일부로서, COLD-02(콜드룸 vs 비콜드룸 위협 모델 비교 분석) 요구사항을 충족한다.
Phase 5의 STRIDE 위협 모델(stride-threat-model.md)을 물리 환경 관점으로 확장하였으며, Plan 02 Task 2의 비콜드룸 보완 조치 설계의 직접 입력이 된다.
"Same digital flow, different physical envelope" 원칙의 근거를 18개 공격 벡터별 분석으로 확립하였다.
관련 문서