대규모 저지연, 보안 거래 실행을 위한 디지털 자산 보관
위험, 감사 또는 컴플라이언스를 손상시키지 않으면서 시장 속도에 맞춰 움직이는 보관 및 실행 스택을 설계하는 방법.
--
요약
보관과 거래는 이제 별개의 영역이 될 수 없습니다. 오늘날 디지털 자산 시장에서 고객 자산을 안전하게 보관하는 것만으로는 충분하지 않습니다. 가격이 움직일 때 밀리초 단위로 거래를 실행하지 못하면 수익을 놓치게 되고, 최대 추출 가치(MEV), 거래 상대방 실패, 운영 병목과 같은 회피 가능한 위험에 노출됩니다. 현대적인 보관 및 실행 스택은 최첨단 보안과 고성능 엔지니어링을 결합해야 합니다. 이는 서명을 위한 다중당사계산(MPC) 및 하드웨어 보안 모듈(HSM)과 같은 기술을 통합하고, 정책 엔진 및 프라이빗 트랜잭션 라우팅을 사용해 프론트러닝을 완화하며, 오프체인 결제 정산을 통한 액티브/액티브 인프라를 활용해 거래소 위험을 줄이고 자본 효율성을 높이는 것을 의미합니다. 또한 컴플라이언스는 부가 기능이 될 수 없으며, 여행 규칙 데이터 흐름, 불변 감사 로그, SOC 2와 같은 프레임워크에 매핑된 제어를 거래 파이프라인에 직접 내장해야 합니다.
“보관 속도”가 지금 중요한 이유
과거 디지털 자산 보관업체는 한 가지 목표에 집중했습니다: 키를 잃지 않기. 이는 여전히 기본이지만, 요구사항은 진화했습니다. 오늘날 최선 실행과 시장 무결성은 동등하게 협상 불가능한 요구사항입니다. 거래가 공개 메모풀을 통과하면 정교한 행위자가 이를 보고 재정렬하거나 “샌드위치” 공격을 통해 손해를 입힐 수 있습니다. 이는 MEV의 실제 사례이며 실행 품질에 직접적인 영향을 미칩니다. 프라이빗 트랜잭션 릴레이를 사용해 민감한 주문 흐름을 공개에서 차단하는 것이 효과적인 방어책입니다.
동시에 거래소 위험도 지속적인 우려 사항입니다. 대규모 잔액을 단일 거래소에 집중하면 상당한 거래 상대방 위험이 발생합니다. 오프체인 정산 네트워크는 거래소가 제공하는 신용을 활용하면서 자산을 분리된 파산 방지 보관에 유지하도록 하여 해결책을 제공합니다. 이 모델은 안전성과 자본 효율성을 크게 향상시킵니다.
규제 당국도 격차를 메우고 있습니다. 금융 행동 태스크포스(FATF) 여행 규칙 집행과 IOSCO·금융안정위원회와 같은 기관의 권고는 디지털 자산 시장을 “동일 위험, 동일 규칙” 프레임워크로 끌어당기고 있습니다. 이는 보관 플랫폼이 처음부터 컴플라이언스 데이터 흐름과 감사 가능한 제어를 내장해야 함을 의미합니다.
설계 목표 (“좋은” 모습)
고성능 보관 스택은 몇 가지 핵심 설계 원칙을 중심으로 구축되어야 합니다:
- 예산 가능한 지연: 클라이언트 의도부터 네트워크 브로드캐스트까지의 모든 밀리초를 측정·관리·엄격한 서비스 수준 목표(SLO)로 강제합니다.
- MEV‑저항 실행: 민감한 주문은 기본적으로 프라이빗 채널을 통해 라우팅합니다. 공개 메모풀 노출은 의도적인 선택이어야 하며, 기본값이 아닙니다.
- 키 소재에 대한 실질적 보증: 개인 키는 MPC 샤드, HSM, 신뢰 실행 환경(TEE) 등 보호 경계 밖으로 절대 나가지 않아야 합니다. 키 회전, 쿼럼 적용, 강력한 복구 절차는 기본 전제입니다.
- 액티브/액티브 신뢰성: 시스템은 장애에 강해야 합니다. 이를 위해 RPC 노드와 서명자를 위한 다중 지역·다중 공급자 중복을 구축하고, 자동 회로 차단기와 킬스위치를 통해 거래소·네트워크 사고에 대응합니다.
- 컴플라이언스‑바이‑컨스트럭션: 컴플라이언스는 사후 작업이 될 수 없습니다. 아키텍처는 여행 규칙 데이터, AML/KYT 검사, 불변 감사 트레일을 위한 훅을 내장하고, 모든 제어를 SOC 2 신뢰 서비스 기준에 직접 매핑해야 합니다.
레퍼런스 아키텍처
다음 다이어그램은 위 목표를 충족하는 보관 및 실행 플랫폼의 고수준 아키텍처를 보여줍니다.
- Policy & Risk Engine 은 모든 명령의 중앙 관문입니다. 여행 규칙 페이로드, 속도 제한, 주소 위험 점수, 서명 쿼럼 요구사항 등을 평가한 뒤에야 키 소재에 접근합니다.
- Signer Orchestrator 는 자산·정책에 가장 적합한 제어 평면으로 서명 요청을 지능적으로 라우팅합니다. 가능한 옵션:
- MPC (Multi‑Party Computation) – t‑of‑n ECDSA/EdDSA와 같은 임계 서명 방식을 사용해 신뢰를 여러 파티·디바이스에 분산합니다.
- HSMs (Hardware Security Modules) – 하드웨어 기반 키 보관, 결정적 백업·회전 정책을 제공합니다.
- Trusted Execution Environments (예: AWS Nitro Enclaves) – 서명 코드를 격리하고 키를 attested된 소프트웨어에 직접 바인딩합니다.
- Execution Router 는 최적 경로로 트랜잭션을 전송합니다. 대규모·민감 주문은 프라이빗 트랜잭션 제출을 기본으로 하여 프론트러닝을 방지하고, 필요 시 공개 제출로 전환합니다. 또한 다중 공급자 RPC 페일오버 를 활용해 네트워크 정전 상황에서도 고가용성을 유지합니다.
- Observability Layer 는 시스템 상태를 실시간으로 제공합니다. 메모풀·새 블록 구독, 거래 후 정산, 불변 감사 기록 을 통해 모든 결정·서명·브로드캐스트를 기록합니다.
보안 구성 요소 (왜 중요한가)
- 임계 서명 (MPC): 키를 여러 파티가 나눠 보관하므로 단일 머신·인간이 단독으로 자금을 이동시킬 수 없습니다. 최신 MPC 프로토콜은 생산 환경 지연 예산에 맞는 빠르고 악의적 공격에 안전한 서명을 지원합니다.
- HSM 및 FIPS 정렬: HSM은 변조 방지 하드웨어와 문서화된 보안 정책으로 키 경계를 강제합니다. FIPS 140‑3·NIST SP 800‑57 등 표준에 맞추면 감사 가능한 보안 보장을 제공합니다.
- Attested TEEs: 신뢰 실행 환경은 특정 측정된 코드와 격리된 엔클레이브에 키를 바인딩합니다. 키 관리 서비스(KMS)와 연계해 정책적으로 attested 워크로드에만 키를 제공하도록 할 수 있어 승인된 코드만 서명하도록 보장합니다.
- MEV 보호를 위한 프라이빗 릴레이: 프라이빗 릴레이는 민감 트랜잭션을 직접 블록 빌더·밸리데이터에 전달해 공개 메모풀을 우회합니다. 이는 프론트러닝 및 기타 MEV 형태 위험을 크게 감소시킵니다.
- 오프체인 정산: 담보를 분리 보관하면서 중앙화된 거래소에서 거래할 수 있게 해줍니다. 이는 거래 상대방 노출을 제한하고 순정산을 가속화하며 자본을 해방시킵니다.
- SOC 2/ISO 매핑 제어: 운영 제어를 인정받은 프레임워크에 문서화·테스트하면 고객·감사인·파트너가 보안·컴플라이언스 상태를 신뢰하고 독립적으�로 검증할 수 있습니다.
지연 플레이북: 밀리초는 어디에 쓰이는가
저지연 실행을 달성하려면 트랜잭션 수명 주기의 모든 단계가 최적화되어야 합니다:
- Intent → Policy Decision: 정책 평가 로직을 메모리에 상시 유지합니다. KYT·허용 리스트 데이터를 짧은 TTL로 캐시하고, 가능한 경우 서명 쿼럼을 사전 계산합니다.
- Signing: 지속적인 MPC 세션과 HSM 키 핸들을 활용해 콜드 스타트 오버헤드를 없앱니다. TEEs는 엔클레이브를 고정하고 attestation 경로를 미리 준비하며, 안전한 경우 세션 키를 재사용합니다.
- Broadcast: HTTP보다 RPC 노드와의 지속적인 WebSocket 연결을 선호합니다. 실행 서비스는 주요 RPC 공급자의 리전과 동일하게 배치합니다. 지연이 급증하면 멱등 재시도와 다중 공급자 헤징을 적용합니다.
- Confirmation: 트랜잭션 상태를 폴링하지 말고 네트워크에서 직접 영수증·이벤트를 구독합니다. 이러한 상태 변화를 정산 파이프라인에 스트리밍해 사용자에게 즉시 피드백을 제공하고 내부 장부를 업데이트합니다.
각 홉에 대한 엄격한 SLO 를 설정합니다(예: 정책 검사 < 20 ms, 서명 < 50‑100 ms, 브로드캐스트 < 50 ms(정상 부하 시)). 오류 예산과 자동 페일오버를 통해 p95·p99 지연이 악화될 때 즉시 �대응합니다.
설계에 내재된 위험·컴플라이언스
현대 보관 스택은 컴플라이언스를 시스템의 일부로 취급해야 합니다.
- 여행 규칙 오케스트레이션: 모든 전송 명령에 대해 발신자·수신자 데이터를 실시간으로 생성·검증합니다. 알 수 없는 가상자산 서비스 제공자(VASP)와의 거래는 자동 차단하거나 우회하고, 모든 데이터 교환에 대한 암호화 영수증을 감사 로그에 기록합니다.
- 주소 위험·허용 리스트: 온체인 분석·제재 스크리닝 리스트를 정책 엔진에 직접 통합합니다. 기본적으로 차단(deny‑by‑default) 방식을 적용해 명시적으로 허용된 주소 또는 정책 예외에만 전송을 허용합니다.
- 불변 감사: 모든 요청·승인·서명·브로드캐스트를 해시해 추가 불가능한 원장에 기록합니다. 이는 변조 방지 감사 트레일을 형성해 SIEM에 실시간 위협 탐지를 제공하고, 감사인에게 제어 테스트 자료를 제공합니다.
- 제어 프레임워크: 모든 기술·운영 제어를 SOC 2 신뢰 서비스 기준(보안, 가용성, 처리 무결성, 기밀성, 프라이버시)에 매핑하고, 지속적인 테스트·검증 프로그램을 운영합니다.
오프체인 정산: 더 안전한 거래소 연결
기관 규모의 보관 스택은 거래소 노출을 최소화해야 합니다. 오프체인 정산 네트워크 는 이를 가능하게 합니다. 기업은 자체 분리 보관에 자산을 유지하면서 거래소가 제공하는 신용을 이용해 즉시 거래할 수 있습니다. 최종 정산은 고정 주기로 DvP(Delivery versus Payment)와 유사한 보증을 통해 이루어집니다.
이 설계는 “핫 월렛” 규모를 크게 줄이고 거래소 위험을 감소시키며, 활발한 거래에 필요한 속도를 유지합니다. 또한 자본 효율성을 높여 여러 거래소에 과다하게 자금을 배치할 필요가 없어지고, 담보를 분리·감사 가능하게 함으로써 운영 위험 관리가 단순화됩니다.
제어 체크리스트 (런북에 복사·붙여넣기)
- 키 보관
- 독립된 신뢰 도메인(멀티‑클라우드, 온프레미스, HSM 등) 간 t‑of‑n 임계값을 적용한 MPC.
- 가능하면 FIPS‑인증 모듈 사용; 분기별 키 회전 및 사고 시 재키 계획 유지.
- 정책·승인
- 속도 제한·행동 히스토리·업무 시간 제약을 포함한 동적 정책 엔진 구현.
- 고위험 작업에 4인 승인(4‑eyes) 적용.
- 서명 전 반드시 주소 허용 리스트와 여행 규칙 검증 수행.
- 실행 강화
- 대규모·민감 주문은 기본적으로 프라이빗 트랜잭션 릴레이 사용.
- 상태 기반 헤징과 강력한 재전송 방지를 위한 이중 RPC 공급자 활용.
- 모니터링·대응
- 의도율, 가스 가격 급등, 네트워크 오류 등을 실시간으로 감시하고 알림 설정.
- SIEM 연동을 통한 실시간 위협 탐지 및 자동 회로 차단기 적용.
- 컴플라이언스
- 여행 규칙, AML/KYT, 불변 감사 로그 등 모든 제어를 SOC 2 기준에 매핑하고 정기적인 내부 감사를 수행.
코드 예시