"custody" 태그로 연결된 18 개 게시물 개의 게시물이 있습니다.

Nothing CMF Phone 1 에 USB 케이블을 꽂습니다. 45초를 기다립니다. 기기에 있는 모든 핫 월렛의 시드 구문을 가지고 유유히 떠납니다.

이것은 이론적인 위협 모델이 아닙니다. 2026년 3월 11일, Ledger 의 Donjon 연구팀이 발표한 실시간 시연 내용입니다. 대상은 MediaTek 의 Dimensity 7300 (MT6878) — 전 세계 안드로이드 폰의 약 4분의 1 에 탑재된 4nm 시스템 온 칩 (SoC) 이자 Solana 의 플래그십 핸드셋인 Seeker 가 구축된 바로 그 실리콘입니다. 이 결함은 안드로이드가 로드되기도 전에 실행되는 읽기 전용 코드인 칩의 부트 ROM 에 존재합니다. 패치할 수 없으며, OS 업데이트로 완화할 수도 없습니다. 유일한 해결책은 새로운 칩뿐입니다.

스마트폰을 크립토 월렛으로 신뢰하는 수천만 명의 사용자들에게, 이 순간은 "모바일 우선 셀프 커스터디" 라는 내러티브가 실리콘의 물리적 법칙과 충돌한 순간입니다.

AI 에이전트가 무언가를 결제해야 할 때 어떻게 될까요? 과거의 답은 지저분했습니다: 에이전트 코드에 개인 키를 내장하고, 모델이 유출하지 않기를 바라며, 모든 거래를 수동으로 감사했습니다. Coinbase가 2026년 2월 출시한 Agentic Wallet은 근본적으로 다른 답을 제시합니다—그리고 이것이 AI가 관리하는 다음 1,000억 달러 규모의 암호화폐가 보안되는 방식을 정의할 수 있습니다.

핵심 통찰은 겉으로는 단순합니다: 에이전트는 키를 절대 만져서는 안 됩니다. 그러나 이것이 규모에서 작동하게 만드는 데 필요한 엔지니어링은 스마트 컨트랙트가 로직과 가치 저장을 분리한 이후 Web3 인프라에서 가장 중요한 아키텍처 변화 중 하나를 나타냅니다.

2026년 2월 26일, 대한민국 국세청(NTS)은 대대적인 법 집행 성과를 발표했습니다. 고액 상습 체납자 124명을 급습하여 약 81억 원(5,600,000달러) 상당의 디지털 자산을 압수했습니다. 국세청은 압수한 Ledger 하드웨어 지갑의 고해상도 사진과 함께 보도자료를 자랑스럽게 게시했습니다.

하지만 한 가지 문제가 있었습니다. 사진 중 하나에 수기로 작성된 복구 구문이 가려지지 않은 채, 선명한 화질로 전 세계에 노출된 것입니다.

불과 몇 시간 만에 명목상 480만 달러(약 64억 원) 가치의 Pre-Retogeum(PRTG) 토큰 400만 개가 탈취되었습니다. 그러나 약 20시간 후, 공격자는 이를 다시 돌려보냈습니다. 양심의 가책 때문이 아니라, 해당 토큰의 일일 거래량이 332달러에 불과해 이를 처분하는 것이 수학적으로 불가능했기 때문입니다. 대한민국은 압수 자산을 경제적으로 무의미하게 만들었던 바로 그 '비유동성' 덕분에 위기를 모면할 수 있었습니다.

이 사건은 우스꽝스러우면서도 당혹스럽고 시사하는 바가 큽니다. 또한 하나의 경고이기도 합니다. 정부가 압수하여 보유한 암호화폐가 수십억 달러 규모로 늘어남에 따라, 법 집행의 의지와 이를 안전하게 보관하는 수탁 역량 사이의 간극은 그 어느 때보다 벌어지고 있습니다.

480만 달러 규모 홍보 참사의 재구성​

국세청은 단속 성과를 생생하게 증명하고 싶어 했습니다. 압수한 Ledger 장치 사진을 자르거나 블러 처리하는 대신, 현장에서 찍은 원본 사진을 그대로 공개했습니다. 그중 한 장에는 Ledger Nano 옆에 놓인 종이가 찍혀 있었는데, 이는 소유자가 직접 적어서 장치와 함께 보관해 둔 백업 구문이었습니다.

국세청은 나중에 발표한 사과문에서 "더욱 생생한 정보를 전달하려다 보니 민감한 정보가 포함된 사실을 인지하지 못하고 부주의하게 원본 사진을 제공했다"라고 속내를 밝혔습니다. 다시 말해, 홍보팀 중 누구도 Ledger 옆에 있는 12개의 단어 조합이 장식품이 아니라 마스터 키라는 사실을 이해하지 못했던 것입니다.

보도자료가 게시된 지 몇 시간 만에 정체불명의 공격자가 지갑을 복구했습니다. 온체인 포렌식 결과는 전형적인 탈취 절차를 보여줍니다:

1. 가스비 준비 — 공격자는 트랜잭션 수수료를 충당하기 위해 압수된 지갑에 소량의 이더리움을 입금했습니다.
2. 자산 추출 — 그들은 400만 개의 PRTG 토큰을 세 번에 걸쳐 신중하게 나누어 외부 주소로 옮겼습니다.
3. 대기 — 그 이후로는 아무 일도 일어나지 않았습니다.

탈취한 자산으로 할 수 있는 일이 아무것도 없었기 때문입니다.

비유동성이 한국을 구한 이유​

PRTG(Pre-Retogeum)는 대부분의 사람들이 들어본 적 없는 토큰이며, 그럴만한 이유가 있습니다. 이 토큰은 단 하나의 중앙화 거래소인 MEXC에서만 거래되며, 24시간 거래량은 약 332달러에 불과합니다. 코인게코(CoinGecko)에 따르면, 단 59달러의 매도 주문만으로도 가격이 2% 폭락합니다.

이러한 유동성 환경에서 480만 달러를 현금화하려는 시도는 불가능에 가깝습니다. 공격자가 몇 주에 걸쳐 분할 매도를 시도했더라도 다음과 같은 상황에 직면했을 것입니다:

• MEXC 컴플라이언스 팀에 명백한 도난 패턴 노출
• 유의미한 물량이 정리되기 전 가격이 90% 이상 폭락
• 이미 조사 중인 한국 당국의 즉각적인 추적

최초 전송 후 약 20시간이 지난 뒤, 공격자는 포기했습니다. "86c12"로 시작하는 탈취 지갑과 연결된 주소에서 400만 개의 PRTG 토큰을 모두 원래 주소로 돌려보냈습니다. 국세청의 보도자료는 가짜 돈이 가득 든 금고의 마스터 키를 노출했던 셈입니다.

만약 압수된 토큰이 비트코인(Bitcoin), 이더리움(Ether), 또는 티어 1 스테이블코인이었다면 자산은 영원히 사라졌을 것입니다. USDT나 ETH를 대상으로 똑같은 보안 운영(OpSec) 실수가 발생했다면, 10분 만에 토네이도 캐시(Tornado Cash)로 믹싱되어 회수가 불가능했을 것입니다. PRTG의 형편없는 시장 규모가 의도치 않은 에어백 역할을 했습니다.

이번이 처음이 아니다​

한국의 암호화폐 수탁 기록에 결함이 생긴 것은 이번 보도자료 사건뿐만이 아닙니다. 2021년에도 경찰 수사관들이 증거물 보관 창고에 있던 콜드 월렛에서 (현재 가치로 수백만 달러에 달하는) 22 BTC를 분실한 적이 있습니다. 근본 원인은 동일했습니다. 니모닉 구문 관리 부실, 멀티시그 정책 부재, 그리고 암호화폐를 일반 압수물처럼 취급한 보관 절차였습니다.

5년의 간격을 두고 동일한 국가의 두 법 집행 기관에서 발생한 이 두 사건은, 이것이 단지 국세청 홍보실의 운 나쁜 하루가 아니라 구조적인 문제임을 보여줍니다.

비단 한국만의 문제도 아닙니다. 전 세계 법 집행 기관들은 이제 단속 과정에서 하드웨어 지갑을 일상적으로 압수하고 있지만, 다음과 같은 내부 표준을 수립한 곳은 거의 없습니다:

• 복구 정보를 노출하지 않고 증거 사진 촬영하기
• 압수된 자산을 정부가 관리하는 멀티시그 지갑으로 이체하기
• 원본 하드웨어에서 새로운 키로 자산 소유권 이전하기
• 포렌식 전문가, 검사, 재무 담당자 간의 역할 기반 액세스 제어

대부분의 기관은 Ledger를 스마트폰처럼 취급합니다. 봉투에 담고, 라벨을 붙이고, 보관함에 넣는 식입니다. 국가 단위의 암호화폐 보유 규모가 수십억 달러로 커짐에 따라, 이러한 방식은 점점 더 큰 시스템적 위험을 초래하고 있습니다.

집행과 수탁 역량의 간극​

국세청 사건을 2025년 11월 미국 법무부(DOJ)가 '프린스 그룹(Prince Group)'의 돼지 도살 사기와 연루된 150억 달러 규모의 비트코인(약 127,271 BTC)을 압수한 사례와 비교해 보십시오. DOJ 역사상 최대 규모의 몰수였던 이 작업은 체이널리시스(Chainalysis) 기반의 추적, 국제 공조 영장 집행, 그리고 재무부 관리 하의 수탁 계좌로의 즉각적인 이체를 통해 수행되었습니다. 체이널리시스만 하더라도 지난 10년 동안 수백 건의 정부 압수 작업을 지원하며 약 126억 달러 규모의 불법 암호화폐 확보를 도왔습니다.

미국 정부는 현재 '전략적 비트코인 비축(Strategic Bitcoin Reserve)' 프레임워크에 따라 약 198,012 BTC(현재 가격 기준 약 183억 달러)를 보유하고 있습니다. 엘살바도르는 직접 매입을 통해 7,500 BTC를 보유하고 있으며, 부탄은 국가 차원의 채굴을 통해 약 6,000 BTC를 축적했습니다. 전 세계 정부는 이제 전체 비트코인 발행량의 2.3% 이상을 보유하고 있습니다.

DOJ의 정교한 툴과 국세청의 블러 처리되지 않은 JPEG 사진 사이의 운영상 격차는 기술력의 차이가 아니라, 표준 운영 절차(SOP)를 수립했느냐의 차이입니다. 많은 기관이 여전히 암호화폐 수탁을 즉흥적인 과제로 취급하고 있습니다.

국가 보유 자산이 늘어날수록 이러한 격차는 생존의 문제가 됩니다. DOJ 규모에서 단 한 번의 보안 운영(OpSec) 실패 — 편집되지 않은 트랜잭션 해시 노출, 콜드 스토리지 주소 유출, 부실한 서명자 교체 등 — 가 발생한다면 수백만 달러가 아닌 수십억 달러가 유출될 수 있습니다. 그리고 비트코인에는 비유동성이라는 안전장치가 존재하지 않습니다.

전문적인 수탁(Custody)의 실제 모습​

기관 수탁 업계는 이미 국세청 (NTS)을 곤경에 빠뜨렸던 질문들에 대한 답을 내놓았습니다. 현대적인 국가 및 기업용 수탁 스택은 다음과 같은 요소에 의존합니다.

• MPC 기반 멀티시그 (Multi-sig) — 각 키 셰어 (Key share)가 그 자체로 다자간 연산 (MPC)에 의해 보호되는 3/5 임계값 방식입니다. 단일 서명자, 장치 또는 권한이 침해된 직원이 독단적으로 자금을 이동할 수 없으며, 완전한 개인 키는 한 곳에 결코 존재하지 않습니다.
• 에어갭 (Air-gapped) 콜드 스토리지 — 압수된 자산은 인터넷에 연결된 기기에 접촉한 적이 없는 개인 키가 있는 지갑으로 즉시 이동됩니다. 원래의 하드웨어는 활성화된 서명 기기가 아닌 증거물이 됩니다.
• 역할 분리 — 포렌식 팀은 수탁을 담당하고, 검찰은 서류 작업을 처리하며, 지정된 재무 기능 부서에서 트랜잭션에 서명합니다. 어떤 역할도 키 보유와 상황 통제권을 동시에 갖지 않습니다.
• 증거 안전 문서화 — 압수된 기기의 사진은 편집 검토 단계가 아닌 카메라 촬영 단계에서 마스킹 처리됩니다. 표준 운영 절차는 지갑 정보가 포함된 모든 이미지가 결국 유출될 수 있음을 전제합니다.

이 중 어느 것도 생소한 기술이 아닙니다. Anchorage, BitGo, Fireblocks와 같은 기업들과 늘어나는 MPC 기반 수탁 업체들은 정부 수준의 솔루션을 즉시 사용 가능한 형태로 제공하고 있습니다. 기술이 병목 현상이 아닙니다. 제도적 규율이 문제입니다.

이번 사건이 남긴 교훈​

국세청 (NTS) 사건은 결말이 좋았기에 웃어넘길 수 있는 해프닝으로 끝났습니다. 하지만 이 사건은 규제 기관, 법 집행 기관 및 크립토 네이티브 기관들이 지금 내면화해야 할 네 가지 교훈을 담고 있습니다. 판돈이 수백억 달러가 아닌 수백만 달러 수준일 때 미리 배워야 합니다.

1. 표준 운영 절차는 사진 증거가 유출될 수 있음을 전제해야 합니다. 하드웨어 지갑이 포함된 급습 이미지는 기본적으로 마스킹 처리하거나 공개에서 제외해야 합니다. 홍보 팀이 암호화 비밀을 지키는 최후의 방어선이 되어서는 안 됩니다.

2. 압수된 암호화폐는 즉시 순환 (Rotate)시켜야 합니다. 자산이 회수되는 즉시 새로운 키가 생성된 정부 관리 멀티시그 지갑으로 이동해야 합니다. 원래의 하드웨어는 증거물로 보존되어야 하며, 압수 사실이 공식화된 이후에는 절대로 활성 수탁 장치로 사용되어서는 안 됩니다.

3. 비유동성은 보안 전략이 아닙니다. 한국은 PRTG 토큰이 시장에서 즉시 처분하기 어려운 상태였기 때문에 운이 좋았습니다. 다음번에 유출될 시드 구문은 ETH, USDC 또는 SOL로 가득 찬 지갑을 노출할 것이며, 그 어떤 시장 깊이로도 그 자금을 되찾아올 수 없을 것입니다.

4. 암호화폐 집행 교육은 증거물 취급 교육과 동일한 수준의 엄격함을 갖춰야 합니다. 압수된 차량을 촬영하는 경찰관이 실수로 차량 식별 번호 (VIN)와 등록 키를 대중에게 공개하는 일은 없습니다. 대부분의 기관에는 하드웨어 지갑에 대한 그와 동등한 수준의 규율이 아직 존재하지 않습니다.

아마추어 시대를 넘어선 인프라​

정부가 암호화폐를 단순히 압수하는 단계를 넘어 국가 비축 자산으로 보유하는 단계로 이행함에 따라, 법 집행 기관뿐만 아니라 생태계 전체가 수준을 높여야 합니다. 세무 당국, 법원 시스템 및 국고 관리 부처는 기관급 인프라를 필요로 합니다. 즉, 압수된 주소를 모니터링하기 위한 신뢰할 수 있는 멀티체인 데이터 액세스, 트랜잭션 제출을 위한 고가용성 노드 서비스, 그리고 방어 가능한 관리 연속성 (Chain-of-custody) 기록을 생성하는 감사 등급의 API가 필수적입니다.

BlockEden.xyz는 기관 수탁의 규정 준수 및 신뢰성 요구 사항에 맞춰 구축된 27개 이상의 체인에 대한 엔터프라이즈급 블록체인 API 인프라를 제공합니다. 진지한 수탁자들이 다음번의 예시적인 헤드라인의 주인공이 되지 않도록 돕는 도구를 구축하고 있다면 저희의 API 마켓플레이스를 살펴보세요.

다음 사고는 더 치명적일 것입니다​

국세청 (NTS) 시드 구문 유출은 재미있는 사건으로 기억될 것입니다. 아무도 들어본 적 없는 토큰이 정부를 홍보 팀의 실수로부터 보호해 준 사건이기 때문입니다. 하지만 다음 사고에는 그런 행운이 따르지 않을 것입니다.

국가 비트코인 비축량이 늘어나고, 토큰화된 자산이 퍼블릭 체인으로 이동하며, 집행 압수가 특별한 사건이 아닌 일상적인 업무가 됨에 따라, 단 한 번의 운영 보안 (OpSec) 실수가 초래할 누적 노출 위험은 엄청납니다. 모든 사진작가, 인턴, 선의를 가진 공보관은 이제 수천억 원 규모의 자산 유출을 야기할 수 있는 잠재적 통로가 되었습니다.

아이러니하게도 암호 기술 자체는 문제가 아닙니다. Ledger는 제 역할을 다했습니다. Ethereum도 제 역할을 다했습니다. 블록체인은 서명자가 지시한 대로 400만 개의 토큰을 낯선 사람에게 전송하는 작업을 충실히 수행했습니다. 실패는 전적으로 인간의 몫이었습니다. 홍보 팀이 12개의 단어로 된 구문을 단순히 사진 장식 정도로 취급한 결과입니다.

크립토에 필요한 것은 더 나은 지갑이 아닙니다. 더 나은 습관이 필요합니다. 2026년, 각국 정부가 전 세계 비트코인의 2.3%와 수십억 달러 상당의 기타 디지털 자산을 보유하게 된 지금, 대중 앞에서 이러한 습관을 시행착오를 통해 배울 수 있는 여유는 빠르게 사라지고 있습니다.

출처:

• South Korea probes $4.8 million crypto theft after tax seizure photo blunder — CoinDesk
• $4.8M in crypto stolen after Korean tax agency exposes wallet seed — BleepingComputer
• Ethereum Tokens Swiped, Returned After South Korean Tax Service Publishes Wallet Seed Phrases — Decrypt
• South Korea's tax office apologizes for password leak — The Register
• South Korean National Tax Service Exposes Ledger Wallet Seed — Rescana
• DOJ Seizes $15 Billion in Bitcoin — Chainalysis
• National Crypto Reserves Tracker — CCN
• Multi-Sig and MPC in Enterprise Crypto Custody in 2026 — ChainUp

2026년 4월 15일, 3,500만 명의 사용자를 보유한 상장 소매 중개업체가 나스닥 상장 동종 기업 중 누구도 시도하지 않은 일을 해냈습니다. 지갑 서비스를 직접 구축하는 대신 셀프 커스터디 (Self-custody) 지갑 기업을 인수한 것입니다. eToro가 이스라엘의 MPC 지갑 스타트업 Zengo를 약 7,000만 달러 (대부분 현금) 에 인수한 것은 수탁 전쟁 (Custody wars) 의 구도가 더 이상 "코인베이스 (Coinbase) vs 크라켄 (Kraken)" 이 아님을 보여주는 가장 분명한 신호입니다. 이제는 "거래소 vs 셀프 커스터디" 의 시대가 열렸으며, 거래소들은 이에 대한 헤징을 시작하고 있습니다.

지난 7년 동안 월스트리트의 전통적인 통념은 소매 중개업체가 수탁을 통해 수익을 창출한다는 것이었습니다. 사용자가 옮길 수 없는 자산에 대해 스프레드 비용을 부과하는 것이 비즈니스 모델의 전부였습니다. eToro의 대차대조표에서 의도적으로 수탁 책임을 제거하는 제품을 인수하기 위해 7,000만 달러를 지불한 것은 정반대 방향에 대한 베팅입니다. 즉, 향후 10년 동안의 크립토 수익은 자신의 키를 중개업체가 보유하는 것을 원치 않는 사용자들로부터 나올 것이라는 판단입니다.

920억 달러 규모의 생명보험사가 한국 국채의 미래가 블록체인 위에 있다고 베팅했습니다. 2026년 4월 15일, 리플 (Ripple)과 교보생명 — 약 500만 명의 고객과 무디스 (Moody's) A1 신용 등급을 보유한 한국 3위의 생명보험사 — 은 국내 최초의 토큰화 국채 결제 시범 운영을 위한 전략적 파트너십을 발표했습니다. 이것은 단순한 마케팅용 이벤트나 가상자산에 대한 호기심 차원의 실험이 아닙니다. 아시아 4위 경제 대국이 국채를 청산하는 방식을 제도적으로 완전히 재고하는 진지한 시도입니다.

핵심 약속은 간단하면서도 근본적으로 혁신적입니다. 한국의 T + 2 채권 결제 주기를 실시간에 가까운 아토믹 (atomic) 실행으로 단축하는 것입니다. 이틀간의 거래 상대방 위험, 대조 작업, 그리고 묶여 있는 운전 자본이 단 하나의 온체인 트랜잭션으로 압축됩니다. 자산 부채 관리 (ALM)의 일환으로 수조 원의 한국 국채를 보유하고 있는 보험사에게 이러한 속도는 단순한 외형적 업그레이드가 아닙니다. 이는 자본이 배치되는 방식의 구조적 변화입니다.

세금 체납자의 아파트를 급습하여 하드웨어 지갑 4개를 압수하고, 회수된 증거물을 보여주는 승전보와 같은 보도 자료를 발표했다고 상상해 보십시오. 그런데 사진 속에 지갑의 시드 구문(seed phrase)이 선명하게 노출되어 있습니다. 그리고 몇 시간 만에 도둑이 지갑을 비우고, 경고의 의미로 토큰을 돌려주었으나, 당국이 대응하기도 전에 두 번째 도둑이 이를 다시 훔쳐갔다고 상상해 보십시오.

이것은 크립토 트위터상의 가상 시나리오가 아닙니다. 2026년 2월 말 대한민국 국세청(NTS)에 실제로 일어난 일입니다. 이 실수로 인해 정부는 압수한 약 480만 달러 상당의 프리 레토지움(Pre-Retogeum, PRTG) 토큰을 잃었으며, 늘어나는 압수 디지털 자산을 보유하기에는 대부분의 국가 기관이 얼마나 준비되지 않았는지를 여실히 드러냈습니다.

83일. 암호화폐의 연방 은행 혁명이 0에서 11로 급성장하는 데 걸린 시간입니다. 2026년 4월 2일, 코인베이스 (Coinbase)는 통화감독청 (OCC)으로부터 국립 신탁 은행 인가 (National Trust Bank Charter)를 위한 조건부 승인을 받은 가장 최근의, 그리고 아마도 가장 영향력 있는 암호화폐 기업이 되었습니다. 이번 행보는 미국 최대 규모의 암호화폐 거래소를 주 정부 라이선스 기반 플랫폼에서 연방 감독을 받는 금융 기관으로 탈바꿈시키며, 이는 단일 기업의 규제 등급 업그레이드보다 훨씬 더 큰 의미를 시사합니다.

전통적인 금융계의 거물들인 시타델 증권(Citadel Securities), 피델리티 디지털 에셋(Fidelity Digital Assets), 찰스 슈왑(Charles Schwab)이 공동으로 암호화폐 벤처를 지원할 때 시장은 주목합니다. 그리고 그 벤처가 연방 은행 설립 허가(charter)를 신청하면 시장은 더욱 세심한 주의를 기울여야 합니다.

2026년 3월 25일, EDX 마켓(EDX Markets)은 통화감독청(OCC)에 EDX 트러스트 국립협회(EDX Trust, National Association) 설립 신청서를 제출했습니다. 이는 기관용 디지털 자산 수탁 및 결제에만 전념하는 시카고 소재의 신설(de novo) 국립 신탁 은행입니다. 4월 1일에 공개된 이 신청서는 암호화폐 업계에서 이전에 본 적 없는 행보를 보여줍니다. 전통 금융권의 거대 자본들이 그들만의 연방 규제 암호화폐 수탁 인프라를 처음부터 직접 구축하고 있는 것입니다.

위험, 감사 또는 컴플라이언스를 손상시키지 않으면서 시장 속도에 맞춰 움직이는 보관 및 실행 스택을 설계하는 방법.

--

요약​

보관과 거래는 이제 별개의 영역이 될 수 없습니다. 오늘날 디지털 자산 시장에서 고객 자산을 안전하게 보관하는 것만으로는 충분하지 않습니다. 가격이 움직일 때 밀리초 단위로 거래를 실행하지 못하면 수익을 놓치게 되고, 최대 추출 가치(MEV), 거래 상대방 실패, 운영 병목과 같은 회피 가능한 위험에 노출됩니다. 현대적인 보관 및 실행 스택은 최첨단 보안과 고성능 엔지니어링을 결합해야 합니다. 이는 서명을 위한 다중당사계산(MPC) 및 하드웨어 보안 모듈(HSM)과 같은 기술을 통합하고, 정책 엔진 및 프라이빗 트랜잭션 라우팅을 사용해 프론트러닝을 완화하며, 오프체인 결제 정산을 통한 액티브/액티브 인프라를 활용해 거래소 위험을 줄이고 자본 효율성을 높이는 것을 의미합니다. 또한 컴플라이언스는 부가 기능이 될 수 없으며, 여행 규칙 데이터 흐름, 불변 감사 로그, SOC 2와 같은 프레임워크에 매핑된 제어를 거래 파이프라인에 직접 내장해야 합니다.

“보관 속도”가 지금 중요한 이유​

과거 디지털 자산 보관업체는 한 가지 목표에 집중했습니다: 키를 잃지 않기. 이는 여전히 기본이지만, 요구사항은 진화했습니다. 오늘날 최선 실행과 시장 무결성은 동등하게 협상 불가능한 요구사항입니다. 거래가 공개 메모풀을 통과하면 정교한 행위자가 이를 보고 재정렬하거나 “샌드위치” 공격을 통해 손해를 입힐 수 있습니다. 이는 MEV의 실제 사례이며 실행 품질에 직접적인 영향을 미칩니다. 프라이빗 트랜잭션 릴레이를 사용해 민감한 주문 흐름을 공개에서 차단하는 것이 효과적인 방어책입니다.

동시에 거래소 위험도 지속적인 우려 사항입니다. 대규모 잔액을 단일 거래소에 집중하면 상당한 거래 상대방 위험이 발생합니다. 오프체인 정산 네트워크는 거래소가 제공하는 신용을 활용하면서 자산을 분리된 파산 방지 보관에 유지하도록 하여 해결책을 제공합니다. 이 모델은 안전성과 자본 효율성을 크게 향상시킵니다.

규제 당국도 격차를 메우고 있습니다. 금융 행동 태스크포스(FATF) 여행 규칙 집행과 IOSCO·금융안정위원회와 같은 기관의 권고는 디지털 자산 시장을 “동일 위험, 동일 규칙” 프레임워크로 끌어당기고 있습니다. 이는 보관 플랫폼이 처음부터 컴플라이언스 데이터 흐름과 감사 가능한 제어를 내장해야 함을 의미합니다.

설계 목표 (“좋은” 모습)​

고성능 보관 스택은 몇 가지 핵심 설계 원칙을 중심으로 구축되어야 합니다:

• 예산 가능한 지연: 클라이언트 의도부터 네트워크 브로드캐스트까지의 모든 밀리초를 측정·관리·엄격한 서비스 수준 목표(SLO)로 강제합니다.
• MEV‑저항 실행: 민감한 주문은 기본적으로 프라이빗 채널을 통해 라우팅합니다. 공개 메모풀 노출은 의도적인 선택이어야 하며, 기본값이 아닙니다.
• 키 소재에 대한 실질적 보증: 개인 키는 MPC 샤드, HSM, 신뢰 실행 환경(TEE) 등 보호 경계 밖으로 절대 나가지 않아야 합니다. 키 회전, 쿼럼 적용, 강력한 복구 절차는 기본 전제입니다.
• 액티브/액티브 신뢰성: 시스템은 장애에 강해야 합니다. 이를 위해 RPC 노드와 서명자를 위한 다중 지역·다중 공급자 중복을 구축하고, 자동 회로 차단기와 킬스위치를 통해 거래소·네트워크 사고에 대응합니다.
• 컴플라이언스‑바이‑컨스트럭션: 컴플라이언스는 사후 작업이 될 수 없습니다. 아키텍처는 여행 규칙 데이터, AML/KYT 검사, 불변 감사 트레일을 위한 훅을 내장하고, 모든 제어를 SOC 2 신뢰 서비스 기준에 직접 매핑해야 합니다.

레퍼런스 아키텍처​

다음 다이어그램은 위 목표를 충족하는 보관 및 실행 플랫폼의 고수준 아키텍처를 보여줍니다.

• Policy & Risk Engine 은 모든 명령의 중앙 관문입니다. 여행 규칙 페이로드, 속도 제한, 주소 위험 점수, 서명 쿼럼 요구사항 등을 평가한 뒤에야 키 소재에 접근합니다.
• Signer Orchestrator 는 자산·정책에 가장 적합한 제어 평면으로 서명 요청을 지능적으로 라우팅합니다. 가능한 옵션:
  • MPC (Multi‑Party Computation) – t‑of‑n ECDSA/EdDSA와 같은 임계 서명 방식을 사용해 신뢰를 여러 파티·디바이스에 분산합니다.
  • HSMs (Hardware Security Modules) – 하드웨어 기반 키 보관, 결정적 백업·회전 정책을 제공합니다.
  • Trusted Execution Environments (예: AWS Nitro Enclaves) – 서명 코드를 격리하고 키를 attested된 소프트웨어에 직접 바인딩합니다.
• Execution Router 는 최적 경로로 트랜잭션을 전송합니다. 대규모·민감 주문은 프라이빗 트랜잭션 제출을 기본으로 하여 프론트러닝을 방지하고, 필요 시 공개 제출로 전환합니다. 또한 다중 공급자 RPC 페일오버 를 활용해 네트워크 정전 상황에서도 고가용성을 유지합니다.
• Observability Layer 는 시스템 상태를 실시간으로 제공합니다. 메모풀·새 블록 구독, 거래 후 정산, 불변 감사 기록 을 통해 모든 결정·서명·브로드캐스트를 기록합니다.

보안 구성 요소 (왜 중요한가)​

• 임계 서명 (MPC): 키를 여러 파티가 나눠 보관하므로 단일 머신·인간이 단독으로 자금을 이동시킬 수 없습니다. 최신 MPC 프로토콜은 생산 환경 지연 예산에 맞는 빠르고 악의적 공격에 안전한 서명을 지원합니다.
• HSM 및 FIPS 정렬: HSM은 변조 방지 하드웨어와 문서화된 보안 정책으로 키 경계를 강제합니다. FIPS 140‑3·NIST SP 800‑57 등 표준에 맞추면 감사 가능한 보안 보장을 제공합니다.
• Attested TEEs: 신뢰 실행 환경은 특정 측정된 코드와 격리된 엔클레이브에 키를 바인딩합니다. 키 관리 서비스(KMS)와 연계해 정책적으로 attested 워크로드에만 키를 제공하도록 할 수 있어 승인된 코드만 서명하도록 보장합니다.
• MEV 보호를 위한 프라이빗 릴레이: 프라이빗 릴레이는 민감 트랜잭션을 직접 블록 빌더·밸리데이터에 전달해 공개 메모풀을 우회합니다. 이는 프론트러닝 및 기타 MEV 형태 위험을 크게 감소시킵니다.
• 오프체인 정산: 담보를 분리 보관하면서 중앙화된 거래소에서 거래할 수 있게 해줍니다. 이는 거래 상대방 노출을 제한하고 순정산을 가속화하며 자본을 해방시킵니다.
• SOC 2/ISO 매핑 제어: 운영 제어를 인정받은 프레임워크에 문서화·테스트하면 고객·감사인·파트너가 보안·컴플라이언스 상태를 신뢰하고 독립적으로 검증할 수 있습니다.

지연 플레이북: 밀리초는 어디에 쓰이는가​

저지연 실행을 달성하려면 트랜잭션 수명 주기의 모든 단계가 최적화되어야 합니다:

• Intent → Policy Decision: 정책 평가 로직을 메모리에 상시 유지합니다. KYT·허용 리스트 데이터를 짧은 TTL로 캐시하고, 가능한 경우 서명 쿼럼을 사전 계산합니다.
• Signing: 지속적인 MPC 세션과 HSM 키 핸들을 활용해 콜드 스타트 오버헤드를 없앱니다. TEEs는 엔클레이브를 고정하고 attestation 경로를 미리 준비하며, 안전한 경우 세션 키를 재사용합니다.
• Broadcast: HTTP보다 RPC 노드와의 지속적인 WebSocket 연결을 선호합니다. 실행 서비스는 주요 RPC 공급자의 리전과 동일하게 배치합니다. 지연이 급증하면 멱등 재시도와 다중 공급자 헤징을 적용합니다.
• Confirmation: 트랜잭션 상태를 폴링하지 말고 네트워크에서 직접 영수증·이벤트를 구독합니다. 이러한 상태 변화를 정산 파이프라인에 스트리밍해 사용자에게 즉시 피드백을 제공하고 내부 장부를 업데이트합니다.

각 홉에 대한 엄격한 SLO 를 설정합니다(예: 정책 검사 < 20 ms, 서명 < 50‑100 ms, 브로드캐스트 < 50 ms(정상 부하 시)). 오류 예산과 자동 페일오버를 통해 p95·p99 지연이 악화될 때 즉시 대응합니다.

설계에 내재된 위험·컴플라이언스​

현대 보관 스택은 컴플라이언스를 시스템의 일부로 취급해야 합니다.

• 여행 규칙 오케스트레이션: 모든 전송 명령에 대해 발신자·수신자 데이터를 실시간으로 생성·검증합니다. 알 수 없는 가상자산 서비스 제공자(VASP)와의 거래는 자동 차단하거나 우회하고, 모든 데이터 교환에 대한 암호화 영수증을 감사 로그에 기록합니다.
• 주소 위험·허용 리스트: 온체인 분석·제재 스크리닝 리스트를 정책 엔진에 직접 통합합니다. 기본적으로 차단(deny‑by‑default) 방식을 적용해 명시적으로 허용된 주소 또는 정책 예외에만 전송을 허용합니다.
• 불변 감사: 모든 요청·승인·서명·브로드캐스트를 해시해 추가 불가능한 원장에 기록합니다. 이는 변조 방지 감사 트레일을 형성해 SIEM에 실시간 위협 탐지를 제공하고, 감사인에게 제어 테스트 자료를 제공합니다.
• 제어 프레임워크: 모든 기술·운영 제어를 SOC 2 신뢰 서비스 기준(보안, 가용성, 처리 무결성, 기밀성, 프라이버시)에 매핑하고, 지속적인 테스트·검증 프로그램을 운영합니다.

오프체인 정산: 더 안전한 거래소 연결​

기관 규모의 보관 스택은 거래소 노출을 최소화해야 합니다. 오프체인 정산 네트워크 는 이를 가능하게 합니다. 기업은 자체 분리 보관에 자산을 유지하면서 거래소가 제공하는 신용을 이용해 즉시 거래할 수 있습니다. 최종 정산은 고정 주기로 DvP(Delivery versus Payment)와 유사한 보증을 통해 이루어집니다.

이 설계는 “핫 월렛” 규모를 크게 줄이고 거래소 위험을 감소시키며, 활발한 거래에 필요한 속도를 유지합니다. 또한 자본 효율성을 높여 여러 거래소에 과다하게 자금을 배치할 필요가 없어지고, 담보를 분리·감사 가능하게 함으로써 운영 위험 관리가 단순화됩니다.

제어 체크리스트 (런북에 복사·붙여넣기)​

• 키 보관
  • 독립된 신뢰 도메인(멀티‑클라우드, 온프레미스, HSM 등) 간 t‑of‑n 임계값을 적용한 MPC.
  • 가능하면 FIPS‑인증 모듈 사용; 분기별 키 회전 및 사고 시 재키 계획 유지.
• 정책·승인
  • 속도 제한·행동 히스토리·업무 시간 제약을 포함한 동적 정책 엔진 구현.
  • 고위험 작업에 4인 승인(4‑eyes) 적용.
  • 서명 전 반드시 주소 허용 리스트와 여행 규칙 검증 수행.
• 실행 강화
  • 대규모·민감 주문은 기본적으로 프라이빗 트랜잭션 릴레이 사용.
  • 상태 기반 헤징과 강력한 재전송 방지를 위한 이중 RPC 공급자 활용.
• 모니터링·대응
  • 의도율, 가스 가격 급등, 네트워크 오류 등을 실시간으로 감시하고 알림 설정.
  • SIEM 연동을 통한 실시간 위협 탐지 및 자동 회로 차단기 적용.
• 컴플라이언스
  • 여행 규칙, AML/KYT, 불변 감사 로그 등 모든 제어를 SOC 2 기준에 매핑하고 정기적인 내부 감사를 수행.

코드 예시​