크립토 보안: 다층적 방어 설계의 필요성과 한국형 보안 프레임워크의 괴리

Key Takeaways

• 기관급 디지털 자산 보안은 특정 기술 하나로 결정되는 것이 아니라, 암호학적 계층, 운영 계층, 검증 계층, 대응 계층 중 가장 약한 계층에 의해 결정된다.
• 지닥, 오지스, 바이빗 해킹 사례는 공격자가 프라이빗 키 자체를 직접 뚫기보다 엔드포인트 보안, 접근 통제, 서명 인터페이스, 사고 대응 체계 같은 약한 계층을 공략한다는 점을 보여준다.
• MPC, HSM, TEE는 각각 암호학적 계층을 보호하는 기술이지만, 운영 통제, 독립적인 트랜잭션 검증, 신속한 사고 대응 체계가 함께 구축되지 않으면 충분하지 않다.
• 파이어블록스, 앵커리지 디지털, 포디파이 같은 글로벌 커스터디 기업들은 키 관리, 규제 라이선스, 정책 엔진, 트랜잭션 시뮬레이션, 외부 감사, 보험 담보를 결합해 기관급 보안 표준을 형성하고 있다.
• 한국에서는 ISMS 인증과 80% 콜드월렛 규정만으로는 글로벌 기관급 기준에 도달하기 어렵기 때문에, SOC 2 감사, 독립 정책 엔진, 트랜잭션 시뮬레이션, 온체인 모니터링, 자산 동결 프로토콜을 선제적으로 도입해야 한다.

본 글은 포필러스와 판테라 캐피털이 공동 발간한 “한국 기관을 위한 블록체인 가이드북 2026” 보고서의 일부 내용을 발췌 및 재구성한 것입니다. 기업 및 기관 투자자가 주목해야 할 나머지 14개 핵심 주제는 보고서 전문에서 확인하실 수 있습니다.

1. 개요: 보안은 계층적이며, 가장 약한 계층이 전체 보안을 결정한다

1.1 네 개의 보안 계층

블록체인 기반 기관향 금융 서비스의 기회를 이야기하려면, 그 전제부터 점검해야 한다. 디지털 자산의 보관과 이동을 뒷받침하는 보안 인프라가 철저하게 구축되어야 한다는 것이다. 문제는 이 기반이 반복적으로 무너지고 있으며, 공격의 양상이 진화하고 있다는 점이다.

블록체인 데이터 플랫폼 체이널리시스(Chainalysis)에 따르면 2024년 한 해 약 22억 달러의 암호화폐가 해킹으로 탈취되었으며, 이 중 프라이빗 키 침해로 인한 자산 통제권 탈취가 전체 피해액의 43.8%를 차지했다. 15억 달러 규모의 바이빗(Bybit) 해킹 사고 등 중앙화 거래소(CEX)나 커스터디 서비스에 발생한 최대 규모의 사고들을 복기하면, 공격자가 뚫은 것은 암호학적 키 보호가 아닌, 접근 통제, 엔드포인트 보안, 서명 검증 인터페이스, 사고 대응 체계 등 키를 둘러싼 다른 계층들이었다.

기관급 보안은 단일 기술의 선택이 아니라 다층적 방어 체계의 설계이며, 이 체계는 크게 네 개의 계층으로 구성된다.

• 암호학적 계층: 키의 생성, 저장, 서명을 보호하는 기술
• 운영 계층: 키에 접근하는 경로와 인력을 통제하는 체계
• 검증 계층: 서명 대상이 의도한 것인지 확인하는 메커니즘
• 대응 계층: 사고 발생 시 피해를 최소화하는 체계

암호화 프로토콜이 아무리 정교해도 그것을 운영하는 직원의 접속 환경이 침해되면 의미가 퇴색되며, 콜드월렛과 멀티시그가 아무리 견고해도 서명자가 무엇에 서명하는지 확인할 수 없다면 무력해진다. 가장 약한 계층이 전체 보안 수준을 결정하는 것이다.

한국 시장에서 사업을 준비하는 기업이라면, 글로벌 사례만큼이나 국내 사고에서 직접적인 교훈을 얻을 수 있다. 이어지는 세 개의 사고 사례는 각각 운영 계층, 검증 계층, 대응 계층의 실패가 어떤 결과를 낳는지 보여준다.

• 지닥(GDAC, 2023년 4월): 지닥은 한국 암호화폐 거래소로, 핫월렛에서 약 180억원 어치의 암호화폐가 탈취되었다. 이는 전체 보관 자산의 23%에 해당하는 규모였다. 보안 기업 티오리(Theori)의 분석에 따르면, 공격자는 개별 지갑의 프라이빗 키를 직접 탈취한 것이 아니라 거래소 내부 API 인프라를 침투하여 입출금 시스템을 조작했다. 기술적 공격 벡터만큼이나 심각한 것은 자산 배분 정책의 실패였다. 금융정보분석원(FIU)이 해킹 한 달 전 콜드월렛 비중을 늘릴 것을 요구했음에도 핫월렛 비중이 86%를 넘었고), 보유 비트코인 전량이 핫월렛에 보관되어 있었다. 대응 계층 역시 부재했는데, 해킹 발생 후 공지까지 36시간이 소요되어 탈취 자금의 추적과 동결 기회가 줄어들었다. 지닥은 국내 최초로 커스터디 부문에서 ISMS 인증을 보유한 암호화폐 거래소였음에도 해킹으로 인해 파산했으며, 운영 계층과 대응 계층의 복합적 실패 사례로 기록되었다.
• 오지스(Ozys, 2024년 1월): 크로스체인 플랫폼 오르빗 브릿지에서 약 1,090억 원의 암호화폐가 탈취되었다. 판결에 따르면, 신원불명의 해커가 직원의 원격제어 프로그램 계정을 탈취하여 다른 직원들 PC에 악성코드를 유포하고, 서버에 침투하여 허위 거래를 발생시켰다. 원격제어 계정 탈취는 코로나 이후 원격 근무가 보편화되면서 크립토 업계에서 반복적으로 등장하는 공격 벡터다. 다자간 연산(MPC)이나 하드웨어 보안 모듈(HSM) 같은 키 관리 기술을 아무리 정교하게 구축해도, 직원의 접속 환경이 침해되면 의미가 퇴색된다. 엔드포인트 보안, 원격 접속 계정의 다중 인증(MFA), 접속 이상 탐지가 암호학적 키 보호 못지않게 중요한 이유다. 오지스 사태는 운영 계층, 특히 엔드포인트 보안의 실패 사례다.
• 바이빗(Bybit, 2025년 2월): 암호화폐 생태계 사상 최대 규모의 해킹사고로, 401,347 ETH가 탈취되었다. 바이빗의 멀티시그는 정상적으로 작동했으며, 콜드월렛의 키는 한 번도 노출되지 않았다. 조사 결과 공격자인 라자루스 그룹은 Safe{Wallet} 개발자의 기기를 소셜 엔지니어링으로 침해한 뒤 프론트엔드를 변조하여, 서명자들의 UI에는 정상 트랜잭션이 표시되었지만 실제 서명 데이터는 악성 트랜잭션으로 교체하는 공격을 수행한 것으로 드러났다. 렛저 하드웨어 월렛은 복잡한 트랜잭션을 해독하지 못하고 해시값만 표시했고, 3명의 서명자가 이를 검증하지 못한 채 승인했다. 만약 서명 전에 트랜잭션의 실제 효과를 독립적으로 시뮬레이션하는 계층이 존재했다면, 프론트엔드가 변조되었더라도 이상을 감지할 수 있었을 것이다. 이는 검증 계층의 실패 사례이며, 콜드월렛과 멀티시그만으로는 방어할 수 없는 공격 패러다임이었다.

각 사고의 규모와 맥락은 다르지만, 공통 패턴은 수렴한다. 첫째, 암호학적 키 보호 자체가 뚫린 사고는 없었으며, 공격자는 항상 가장 약한 계층을 찾아냈다. 둘째, 사고 후 회복이 극히 어렵다. 지닥은 파산했고, 오지스의 오르빗 체인은 상장 폐지되었으며, 바이빗은 30건 이상의 외부 감사와 전면적 인프라 재구축을 거쳐야 했다. 셋째, 각 계층은 다른 계층의 실패를 보완하지 못한다. 기관급 보안은 다층적 방어 체계의 설계로 접근해야 한다.

1.2 암호학적 계층: 키의 생성, 저장, 서명

이 계층의 핵심 과제는 단순하다. 프라이빗 키가 어떤 시점에서도 단일 장소에 완전한 형태로 존재하지 않게 하면서, 필요할 때 유효한 서명을 생성하는 것이다.

• 다자간 연산: 프라이빗 키를 여러 개의 독립적인 쉐어(share)로 분할하여, 각 쉐어 보유자가 자신의 쉐어를 공개하지 않으면서도 공동으로 유효한 서명을 생성하는 암호학적 기법이다. 주요 프로토콜로는 GG-18/GG-20, Lindell17, 파이어블록스의 MPC-CMP 등이 있다. 다자간 연산은 특정 체인에 의존적이지 않기에 멀티체인 운영에 이점을 가지며, 온체인에서 서명 구조가 노출되지 않는다. 또한 쉐어를 주기적으로 재생성할 수 있어 내부자 위협 대응과 직원 이직 시 키 관리에 장점을 갖는다. 다만 2023년 파이어블록스가 공개한 비트포지(BitForge) 취약점은 코인베이스 월렛 서비스(Coinbase WaaS)를 비롯한 15개 이상의 월렛 제공업체에 영향을 미쳤으며, 구현의 정확성이 프로토콜의 안전성 못지않게 중요함을 보여줬다.
• 하드웨어 보안 모듈: 키가 하드웨어 경계를 절대로 벗어나지 않는 전용 하드웨어로, 은행과 결제 시스템에서 수십 년간 검증되었다. 그러나 새 서명 알고리즘 지원에 대해 재인증을 필요로 해 멀티체인 대응이 느리고, 디바이스 자체가 단일 장애점이 된다는 단점을 갖고 있다. 하지만 여전히 CBDC 인프라나 정부 기관 관련 수탁 등 규제 인증이 필수적인 환경에서는 가장 직접적인 경로로 사용되며, 암호화폐 서비스에 대해서는 실무적으로 다자간 연산의 각 쉐어를 하드웨어 보안 모듈 내부에 보관하는 하이브리드 모델이 합리적인 것으로 평가된다.
• 신뢰 실행 환경(Trusted Execution Environment, TEE): 프로세서 내부에 격리된 실행 환경을 만드는 하드웨어 보안 기술이다. 사이드채널 공격에 대한 구조적 노출이 존재하나, 이들 취약점은 대부분 물리적 접근을 전제로 한다. 신뢰 실행 환경은 단독이 아닌 보완적 설계로 사용되며, 특히 다자간 연산 + 하드웨어 보안 모듈 아키텍처의 보완재로서 서버 사이드 쉐어 처리와 정책 엔진 격리에 활용되고 있다. 클라우드 신뢰 실행 환경인 아마존 웹 서비스 니트로 인클레이브(AWS Nitro Enclaves)는 상대적으로 작은 공격 표면으로 클라우드 기반 커스터디에서 현실적 선택지로 채택되고 있다.

1.3 운영 계층: 키에 접근하는 경로의 통제

1.3.1 접근 통제: 최소 권한 원칙과 제로 트러스트

기관급 보안의 접근 통제는 최소 권한 원칙에서 출발한다. 모든 직원, 시스템, API에 대해 업무 수행에 필요한 최소한의 접근 권한만 부여하고, 이를 주기적으로 재검토하는 것이다.

무신뢰 구조(Zero Trust Architecture)는 이를 한 단계 발전시킨다. 네트워크 내부에 있다는 이유만으로 신뢰하지 않고, 모든 접근 요청에 대해 인증/인가/암호화를 요구한다. 이에 더해, 역할 기반 접근 통제(RBAC)의 적용을 통해 직원의 역할에 따라 접근 범위가 정의되어야 한다. 트레이딩 담당자, 보안 운영자, 서명 승인자가 동일한 수준의 시스템 접근 권한을 가져서는 안 되며, 키 서명 과정에 관여하는 시스템은 운영 환경과 물리적/논리적으로 분리되어야 한다.

1.3.2 엔드포인트 보안과 원격 접속

오지스 사고의 직접적 원인이었던 원격제어 계정 탈취는 코로나 이후 크립토 업계에서 반복적으로 등장하는 공격 벡터다. 이에 대한 방어는 세 가지 축으로 구성된다.

• 다중 인증(Multi-Factor Authentication, MFA)의 의무화: 원격 접속, VPN, 내부 관리 시스템, 클라우드 콘솔 등 모든 인증 지점에 다중 인증을 적용한다. 특히 키 관리 시스템에 접근하는 계정에는 하드웨어 보안 키(FIDO2/WebAuthn) 기반의 피싱 저항 다중 인증이 필수다. SMS나 이메일 OTP는 심 스왑 공격(SIM Swap Attack)이나 계정 탈취에 취약하다.
• 엔드포인트 탐지 및 대응 장치(Endpoint Detection and Response, EDR)의 배포: 엔드포인트 탐지 및 대응 장치는 직원의 기기에서 악성코드를 탐지하고, 비정상 행위를 실시간으로 모니터링하며, 침해 발생 시 격리 조치를 자동화한다.
• 기기 인증과 준수 검증: 회사 관리 기기만 내부 시스템에 접근할 수 있도록 하고, 기기의 운영 체제 패치 상태, 보안 소프트웨어 설치 여부 등을 접속 시점에 검증한다.

1.3.3 내부자 위협 관리

내부자 위협 관리는 퇴직 시 모든 접근 권한의 즉시 회수, 권한의 주기적(최소 분기 단위) 재검토, 키 관리 시스템에 대한 모든 접근의 감사 기록, 비정상 접근 패턴의 자동 탐지를 포함한다.

다자간 연산 기반 키 관리와의 연결점도 중요하다. 다자간 연산의 쉐어 갱신 기능은 직원 이직 시 해당 직원이 보유하던 쉐어를 무효화하고 새로운 쉐어를 생성할 수 있게 해준다. 이는 멀티시그(Multi-sig)에서 서명자를 변경하려면 온체인 트랜잭션이 필요한 것과 대비되는, 다자간 연산의 운영 계층에서의 실질적 이점이다.

1.4 검증 계층: 서명에 대한 검증

운영 계층이 키에 접근하는 경로를 통제한다면, 검증 계층은 서명이 실행되는 시점에서 그 서명이 의도한 것인지를 확인한다. 바이빗 사례는 암호학적 계층과 운영 계층이 모두 정상 작동하고 있었음에도, 이 계층의 부재만으로 공격이 성공할 수 있음을 보여줬다. 검증 계층에서 적용 가능한 보안 조치는 다음과 같다.

• 트랜잭션 시뮬레이션: 서명 전에 자산 이동 방향, 금액, 스마트 컨트랙트 상태 변경 등 해당 트랜잭션의 실제 결과를 시뮬레이션하여 서명자에게 보여주는 기능이다. 핵심은 독립성이다. 시뮬레이션이 프론트엔드와 동일한 경로를 통해 실행되면, 프론트엔드가 변조된 경우 시뮬레이션 결과도 조작될 수 있다. 따라서 시뮬레이션은 서명 인프라와 분리된 독립적 환경에서 실행되어야 한다.
• 인간 가독(Human-Readable) 서명 검증: 트랜잭션의 내용을 사람이 이해할 수 있는 형태로 변환하여 서명 디바이스에 표시하는 것이다. 바이빗 사고에서 렛저가 해시값만 표시하여 서명자가 정상 여부를 판단할 수 없었던 문제에 대응하며, 렛저는 사고 이후 이 이니셔티브를 가속화하고 있다.
• 정책 엔진: 트랜잭션이 금액 한도, 화이트리스트, 시간대 제한 등 사전 정의된 규칙을 충족하는지 자동 검증하고, 부합하지 않는 트랜잭션을 차단하거나 추가 승인을 요구하는 시스템이다. 핵심 설계 원칙은 독립적 집행으로, 파이어블록스는 정책 엔진을 하드웨어 격리 환경에서 실행하여 서명 인프라가 침해되더라도 정책 위반 트랜잭션을 독립적으로 차단할 수 있는 구조를 지원한다.
• 독립적 검증 채널: 서명 요청의 정당성을 서명 인프라와 완전히 분리된 채널로 확인하는 것이다. 바이빗에서 서명자들이 동일한 사용자 인터페이스를 사용했기 때문에 사용자 인터페이스 변조 시 모든 서명자가 동시에 속았다. 별도의 기기, 네트워크, 소프트웨어를 통한 검증이 대규모 트랜잭션에는 필수적이다.

1.5 대응 계층: 사고 발생 후 피해 최소화

보안의 현실적 전제는 완벽한 방어란 존재하지 않으며, 공격자의 역량은 지속적으로 진화한다는 것이다. 대응 계층은 침해가 발생했을 때 피해를 최소화하고, 자산을 회수할 수 있는 가능성을 극대화하는 체계다. 대응 계층에서의 보안 조치는 다음과 같다.

• 실시간 모니터링과 이상 탐지: 암호화폐 서비스에 대한 모니터링은 온체인과 오프체인 모두 갖춰져야 한다. 온체인 모니터링은 블록체인 네트워크에서 발생하는 트랜잭션을 실시간으로 분석하여 비정상 패턴을 탐지한다. 체이널리시스(Chainalysis), TRM Labs 등이 기관 고객에게 이 서비스를 제공하고 있으며, 주요 탐지 대상은 비정상적 규모의 출금, 사전 미승인 주소로의 전송, 암호화폐 믹서(mixer)로의 자금 이동, 제재 목록 주소와의 상호작용 등이다. 오프체인 모니터링 시스템은 서버 로그, 접근 기록, API 호출 패턴 등을 종합 분석하여 침해 징후를 조기에 포착해야 한다.
• 사고 대응 프로토콜: 사고 대응의 핵심은 사전에 정의된 프로토콜의 존재와 실행 속도다. 글로벌 기관급 커스터디 업체들은 사고 탐지, 내부 에스컬레이션, 자산 동결 조치, 법집행기관 통보, 이해관계자 공지 등의 전 과정에 대한 서비스 수준의 합의를 수립하고 정기적으로 모의 훈련을 실시해야한다.
• 자산 동결 및 추적: 블록체인의 특성상 탈취된 자산의 회수는 전통 금융 대비 구조적으로 어려우나 완전히 불가능하지도 않다. 스테이블코인 발행사의 동결 기능은 탈취 자산이 스테이블코인으로 전환되는 경로를 차단할 수 있으며, 거래소 간 협조 체계를 통해 탈취 자산의 현금화를 지연시킬 수 있다. 이 과정에서 시간이 결정적 변수이며, 대응 계층의 속도가 자산 회수 가능성을 직접적으로 좌우한다.
• 보험 담보: 대응 계층의 마지막 방어선은 보험이다. 이 영역은 기관 고객이 커스터디 업체를 선택할 때 가장 중요하게 검토하는 요소 중 하나이지만, 실제 구조와 한계에 대한 이해가 부족한 경우가 많다. 디지털 자산 커스터디 보험은 로이드 오브 런던(Lloyd's of London)을 중심으로 한 전통 보험 시장, 에버타스(Evertas), 코인커버(Coincover), 렐름(Relm)과 같은 크립토 전문 보험사를 통해 제공된다.

2. 글로벌 동향: 계층별 보안 표준을 세우는 플레이어들

앞서 정의한 네 개의 보안 계층은 이론이 아니라, 글로벌 기관급 커스터디 시장에서 이미 구현되고 있다. 이 섹션에서는 주요 플레이어들이 각 계층을 어떻게 구축하고 있는지를 평가하고, 미국의 규제 체계가 이 계층들을 어떻게 강제하고 있는지를 살펴본다.

2.1 주요 플레이어의 계층별 평가

2.1.1 Fireblocks(파이어블록스): 암호학적 계층과 검증 계층의 선두

파이어블록스는 현재 기관급 디지털 자산 인프라 시장에서 가장 지배적인 위치를 점하고 있다. 로빈후드(Robinhood), 레볼루트(Revolut), 뉴욕멜론은행(BNY Mellon), BNP파리바(BNP Paribas), 갤럭시(Galaxy), 백트(Bakkt), 팔콘엑스(FalconX) 등이 파이어블록스의 인프라를 사용하고 있다.

파이어블록스의 가장 큰 강점은 암호학적 계층과 검증 계층에 있다. 암호학적 계층에서는 독자적인 MPC-CMP 프로토콜을 개발, 구현하고 있으며, 자체 연구팀을 통해 다자간 연산 관련 연구 결과를 공개하고 있다. 2025년에는 피델리티(Fidelity), 앵커리지, 크라켄(Kraken) 등과 함께 미 국립표준기술연구소(NIST)에 다자간 연산 표준화를 촉구하는 업계 공동 서한을 주도하기도 했다.

검증 계층에서는 구성 가능한 정책 규칙 엔진을 하드웨어 격리 환경에서 실행하며, 서명 인프라가 침해되더라도 정책 위반 트랜잭션을 독립적으로 차단할 수 있는 구조를 지원하고 있다. 운영 계층에서는 2024년 뉴욕주 금융감독청(NYDFS)으로부터 트러스트 컴퍼니 차터(Trust Company Charter)를 획득하여 적격 수탁자 지위를 확보했다. 이는 뉴욕주 금융감독청의 지속적 감독 하에 놓인다는 의미이며, 운영 보안에 대한 외부 규제 강제 메커니즘으로 기능한다.

2.1.2 Anchorage Digital(앵커리지 디지털): 운영 계층에서 가장 높은 규제 기준

앵커리지 디지털은 2021년 미국 OCC(통화감독청)로부터 연방 은행 차터를 획득한, 미국 역사상 최초의 연방 인가 암호화폐 은행이다.

앵커리지의 가장 뚜렷한 차별점은 운영 계층에 있다. 연방 은행 차터는 앵커리지를 미국의 다른 국립은행과 동일한 규제 체계 하에 놓으며, 통화감독청의 지속적 감독, SOC(System and Organization Controls) 1 및 SOC 2 타입 II 감사 완료, 보안, 기밀성, 가용성에 대한 독립적 제3자 검증을 포함한다. 이는 운영 계층에 대한 가장 높은 수준의 외부 강제 메커니즘이다.

검증 계층에서는 행동 분석 기반의 인증 시스템을 운용하여, 모든 트랜잭션 승인에 자동화된 이상 탐지와 인간 감독을 병행한다. 대응 계층에서는 미국 법무부와의 계약을 통해 형사 사건에서 압수/몰수된 모든 디지털 자산의 수탁을 담당하고 있다는 점이 주목할 만하다.

2.1.3 Fordefi(포디파이): 검증 계층에서의 디파이 특화

포디파이는 2021년 설립 이후 디파이에 특화된 기관급 다자간 연산 월렛 플랫폼으로 약 300개의 기관 고객을 확보했으며, 2025년 11월 팍소스(Paxos)가 $100M+의 가격으로 인수했다.

포디파이의 가장 뚜렷한 강점은 검증 계층, 특히 디파이 환경에서의 검증에 있다. 트랜잭션 실행 전 시뮬레이션 기능은 서명 전에 트랜잭션의 실제 효과를 독립적으로 검증하며, 브라우저 익스텐션을 통한 탈중앙 어플리케이션 직접 연결과 결합되어 디파이 환경에서 발생할 수 있는 악성 트랜잭션 서명 유도 공격에 대한 방어를 제공한다.

암호학적 계층에서는 아마존 웹 서비스 니트로 인클레이브 기반의 서버 쉐어 격리와 모바일 기기의 하드웨어 엔클레이브를 활용한 사용자 쉐어 보호를 결합한다.

포디파이의 기술은 뉴욕주 금융감독청 차터, SOC 2 등의 인증을 취득한 팍소스의 규제 인프라와 통합되고 있다. 팍소스의 포디파이 인수는 커스터디와 월렛 인프라가 스테이블코인 발행, 자산 토큰화, 결제 시스템과 통합되는 방향으로 수렴하고 있으며, 이 과정에서 계층별 보안 역량이 핵심 경쟁 자산이 되고 있음을 시사한다.

2.2 미국의 수탁 보안 규제 체계

미국에서 기관급 디지털 자산 보안의 규제 체계는 여러 기관에 의해 중층적으로 형성되고 있으며, 각 규제 기관이 서로 다른 보안 계층을 강제하고 있다.

• 증권거래위원회(SEC): 등록투자자문사에게 고객 자산을 적격 수탁자에게 보관할 것을 요구하는 수탁 규칙을 운용하고 있다. 증권거래위원회는 2025년 9월 주 트러스트 컴퍼니가 디지털 자산의 적격 수탁자로서 기능할 수 있음을 확인하는 비조치의견서를 발행했는데, 이는 파이어블록스 트러스트와 같은 주 차터 기반의 수탁자에게 명확한 규제 경로를 열어주었다.
• 통화감독청: 연방 수준에서 디지털 자산 수탁 서비스를 감독하며, 통화감독청 차터를 보유한 기관은 증권거래위원회의 적격 수탁자 기준을 자동으로 충족한다.
• 뉴욕주 금융감독청: BitLicense 및 트러스트 컴퍼니 차터를 통해 뉴욕주에서의 디지털 자산 사업을 규제한다.
• 지니어스 법(GENIUS Act): 스테이블코인 발행자에게 1:1 준비금 유지, 적격 자산 보관, 자금세탁방지(Anti-Money Laundering, AML) 프로그램 운영 등을 의무화한 연방법으로, 2026년 7월까지 세부 시행 규정이 제정될 예정이다. 이 법은 특히 대응 계층(준비금 보관의 안전성)과 운영 계층(AML 프로그램)에 대한 요구사항을 더욱 구체화할 것으로 예상된다.

이러한 규제 체계의 핵심 기능은, 개별 기업의 자발적 보안 투자에 의존하지 않고 외부 강제 메커니즘을 통해 보안 계층의 최소 기준을 설정하는 것이다. 증권거래위원회의 적격 수탁자 요건은 운영 계층을, SOC 2 타입 II 감사는 운영 계층과 대응 계층을, 미 국립표준기술연구소의 다자간 연산 표준화 논의는 암호학적 계층을 각각 강제하거나 표준화하고 있다.

미국의 기관급 보안 표준을 요약하면, 다자간 연산 기반 키 관리(암호학적 계층) + SOC 2 타입 II 감사(운영 계층) + 정책 엔진과 트랜잭션 검증(검증 계층) + 보험 담보와 사고 대응 체계(대응 계층) + 연방 또는 주 수준의 규제 라이선스로 구성된다.

3. 한국의 보안 프레임워크: 한국 플레이어는 어떻게 대응해야 하는가

3.1 한국의 보안 프레임워크

3.1.1 ISMS 인증 체계

한국에서 가상자산사업자(이하 VASP)가 사업을 영위하기 위해 충족해야 하는 보안 요구사항은 미국과는 상당히 다른 구조로 설계되어 있다.

한국에서 VASP로 신고하기 위해서는 KISA(한국인터넷진흥원)가 운영하는 정보보호관리체계(이하 ISMS) 인증을 반드시 취득해야 한다. 이는 사실상 시장 진입의 필수 조건으로 기능하며, 3개 영역(관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 21개) 총 101개의 통제 항목에 대한 적합성을 증명해야 한다.

ISMS 인증을 보안 계층 프레임워크에 대입하면, 다음과 같이 나타낼 수 있다.

• 운영 계층에 대한 부분적 커버리지: ISMS의 보호대책 요구사항은 운영 계층의 일부 요소를 다룬다. 이 항목들은 범용 IT 시스템을 전제로 설계되어 있어, 키 관리 시스템에 대한 접근, 서명 프로세스에 대한 접근 등 블록체인 특유의 접근 통제 요구사항을 명시적으로 다루지 않는다.
• 대응 계층에 대한 부분적 커버리지: ISMS는 침해사고 관리에 관한 항목을 포함한다. 그러나 이는 범용 IT 침해사고 대응에 초점이 맞춰져 있으며, 온체인 모니터링, 자산 동결 프로토콜, 스테이블코인 발행사 연계 등 블록체인 특유의 대응 요구사항은 다루지 않는다.
• 암호학적 계층에 대한 커버리지 미비: 통신 암호화, 저장 데이터 암호화, 암호키 관리 등 전통적인 IT 암호화 관행에 초점이 맞춰져 있다. 다자간 연산, 하드웨어 보안 모듈 등 디지털 자산 특유의 키 관리 기술에 대한 구체적 요구사항은 없다. 이는 ISMS 인증이 특정 기술 방식을 강제하지 않으므로 기업에게 기술 선택의 유연성을 제공하는 반면, 인증을 취득한 기업 간에도 실제 키 관리 수준의 편차가 클 수 있음을 의미한다.
• 검증 계층에 대한 커버리지 미비: 트랜잭션 시뮬레이션, 인간 가독 서명 검증, 정책 엔진 등 디지털 자산 서명 프로세스에 특화된 검증 메커니즘은 ISMS의 범위 밖이다.

3.1.2 콜드월렛 보관 의무

2024년 7월 시행된 가상자산이용자보호법에 따라, 거래소는 고객 자산의 80% 이상을 콜드월렛에 보관해야 한다. 이 규정은 자산 배분 정책을 강제한다는 점에서 의미가 있으며, 지닥 사례의 직접적 교훈이 반영된 것으로 볼 수 있다. 다만 현행 시행령은 전체 자산 기준으로 비율을 규정하고 있어, 개별 디지털 자산의 보관 방식은 거래소의 재량에 맡겨져 있다.

80% 콜드월렛 규정은 보안 프레임워크에서 보면 암호학적 계층과 운영 계층의 교차점에 위치한다. 그러나 이 규정만으로는 검증 계층과 대응 계층의 요구사항이 충족되지 않으며, 콜드월렛에서의 서명 프로세스 자체가 여전히 공격 벡터로 기능할 수 있다.

3.1.3 FIU 및 금융당국의 감독

금융정보분석원(FIU)은 VASP에 대해 고객 신원 확인(Know-Your-Customer, KYC), 의심거래보고(Suspicious Transaction Report, STR), 고액현금거래보고(Currency Transaction Report, CTR) 체계를 지속적으로 점검하고 있으며, 거래소들은 분기마다 금융당국에 지갑 현황을 보고한다. 이는 대응 계층의 일부 요소를 강제하는 메커니즘으로 기능한다.

3.2 디지털자산기본법 입법의 현재 상황

디지털자산기본법은 현재 입법 과정에서 상당한 지연을 겪고 있다. 2026년 4월 현재 기준, 정무위원회 법안심사소위원회 안건에서 디지털자산기본법은 제외된 상태다.

보안 인프라의 관점에서 가장 주목해야 할 입법 쟁점은 두 가지다.

첫째, 거래소 인가제 도입과 거래/수탁 분리가 논의되고 있으며, 이 분리가 현실화되면 독립 커스터디에 대한 별도의 보안 기준이 필요해진다.

둘째, 원화 스테이블코인 발행 구조가 논의 중인데, 은행이 50%+1주 이상을 보유하는 컨소시엄형 모델이 기본 절충안으로 검토되고 있으며, 이 경우 스테이블코인 준비금의 수탁 보안 요구사항이 구체화되어야 한다.

그러나 현 디지털자산기본법 입법안은 거래소 대주주 지분율의 제한, 금감원의 은행 수준 검사 및 제재권 요구 등 업계와 규제 기관 간의 이견이 크다. 법률 전문가들은 2026년 내 통과를 예상하면서도, 6월 지방선거 이후에야 본격 논의가 재개될 가능성을 언급하고 있다.

3.3 한국 기업의 의사결정 참고사항

앞선 분석에서 확인한 것처럼, 한국의 현행 보안 프레임워크는 운영 계층과 대응 계층에 대한 부분적 커버리지만을 제공한다. ISMS와 80% 콜드월렛 규정을 충족하는 것은 시장 진입의 필수 조건이지만, 이것만으로는 글로벌 기관급 기준에 도달하기 어렵다. 이 간극을 메우기 위해, 계층별로 다음의 의사결정이 필요하다.

3.3.1 암호학적 계층

다자간 연산 프로토콜을 자체 구현하는 것은 권장하지 않는다. 암호학 감사, 사이드채널 방어가 가능한 인력이 전 세계적으로 희소하고, 한국에서는 산업계 유입 경로가 더 한정적이다. 파이어블록스, 포디파이 등 독립 암호학 감사를 거친 글로벌 솔루션을 한국 규제에 맞게 통합하는 것이 현실적 경로로 판단된다다.

다만 솔루션 의존에 수반되는 리스크는 병행 관리되어야 한다.

첫째, 단일 벤더 의존은 해당 벤더의 장애/정책 변경/가격 인상에 구조적 취약점을 만든다. 핫월렛과 콜드월렛에 서로 다른 벤더를 사용하는 멀티 벤더 전략이 단일 장애점 제거에 유효하다.

둘째, MPC 쉐어의 일부가 해외 클라우드에 위치할 경우, 개인정보보호법 및 향후 디지털자산기본법상 데이터 현지화 요구사항과의 충돌 가능성을 사전에 법적 검토해야 한다.

셋째, 벤더 프로토콜의 안전성과 별개로 구현의 정확성은 독립적 검증 대상이며, 보안 감사의 주기와 기준을 사전에 정의해야 한다.

3.3.2 운영 계층

한국 규제가 요구하지 않더라도, 글로벌 기관 고객 유치와 디지털자산기본법 이후의 환경에 대비하면 SOC 2 타입 II 감사는 사실상 필수가 될 것으로 예상한다. SOC 2 타입 II의 경우 감사 준비에 6개월 이상의 내부 통제 정비가 필요하므로 조기에 착수해야 한다.

ISMS와 SOC 2의 통제 항목 중 상당수가 중복되므로, 하나의 내부 통제 체계로 양쪽을 동시에 대응하는 통합 감사 전략을 설계하는 것이 비용 효율적이다.

이와 병행하여, ISMS가 다루지 않는 블록체인 특유의 접근 통제를 자체적으로 수립해야 하며, 이에 대해서는 단계적 도입이 현실적이라고 판단된다.

최소 비용으로 즉시 도입 가능한 조치로는 서명 승인자에 대한 하드웨어 기반 다중 인증(FIDO2/WebAuthn)이 있다. 이후 키 관리 시스템과 일반 운영 환경의 물리적/논리적 분리, 회사 관리 기기에 한정한 내부 시스템 접근 관리와 기기 준수 검증 체계의 구축이 이어져야 한다.

3.3.3 검증 계층

검증 계층의 경우 현재의 한국 보안 프레임워크에 부재한 계층이므로, 도입 자체가 차별화가 될 수 있다. 우선순위는 세 가지 정도로 판단된다.

• 정책 엔진: 금액 한도, 화이트리스트, 시간대 제한 등의 자동 검증을 수행한다. 이는 서명 인프라와 독립된 환경에서 실행되어야 한다.
• 트랜잭션 시뮬레이션: 서명 전 실제 효과의 독립적 검증을 수행한다. 자체 구현, 또는 글로벌 솔루션 통합하는 방식의 선택이 가능하다. 시뮬레이션이 서명 인프라와 동일한 경로를 통해 실행되면 프론트엔드 변조 시 시뮬레이션 결과도 조작될 수 있으므로, 독립적 실행 환경의 확보가 전제되어야 한다.
• 독립 검증 채널: 대규모 트랜잭션에 대해 서명 인프라와 분리된 별도 기기/네트워크로 확인해야한다. 이는 기술 투자 없이 운영 프로세스만으로 즉시 도입 가능하다.

3.3.4 대응 계층

해킹 후 대응까지 소요되는 시간은 자산 회수에 결정적인 요소이다. 온체인 모니터링 서비스(체이널리시스, TRM Labs 등) 도입, 사고 대응 프로토콜의 문서화와 반기별 모의 훈련, 스테이블코인 발행사와 주요 거래소와의 핫라인 사전 구축이 필요하다.

스테이블코인 발행사(테더, 서클 등)와 주요 거래소와의 자산 동결 협조 핫라인은 사고 발생 전에 구축해야 하며, 동결 요청 시 필요한 법적 문서와 절차를 사전에 정리해 두어야 한다. 이 과정에서 시간이 결정적 변수이며, 대응 계층의 속도가 자산 회수 가능성을 직접적으로 좌우한다.

보험 담보는 법적 의무가 아니더라도 기관 고객 유치에 사실상 필수이며, 한국 VASP에 대한 글로벌 보험사의 인수 심사 기준이 아직 확립되지 않았으므로 조기에 프로세스를 시작해야 한다. 보험사와의 접촉을 선행하여 인수 조건과 보험료 수준 등을 파악하고, SOC 2 감사 결과와 검증 계층 도입 실적을 심사 시 유리한 입증 자료로 활용하는 것이 전략적일 것이다.