디지털 자산 통제 권한 분산·관리 필요성 제기...‘디지털 자산 위한 전자지갑’ 연구보고서 발표
안전한 수탁 시스템 통한 디지털 자산 보안 및 거래 신뢰성 제고 기대
[보안뉴스 김영명 기자] 금융보안원(원장 김철웅)은 12월 11일 ‘디지털 자산을 위한 범용 목적의 안전한 전자지갑 구현 방안’ 연구보고서를 발표했다. 이번 연구에는 올해 7월부터 11월까지 진행됐으며, 금융보안원 주관으로 증권사, 보안 기업, 가상자산사업자, 전자지갑 개발사 등 업계 전문가가 공동 참여했다.
▲권한 분산 관리 구조 개념도 예시[자료=금융보안원]
연구보고서에 따르면, 디지털 자산 시장이 성장하고 가상자산법 등 관련 법제 기반이 마련되는 가운데, 디지털 자산 통제 권한을 분산·관리해야 한다는 필요성이 제기됐다. 연구진은 보고서를 통해 개인이 체계적으로 전자지갑 보안을 관리하는 데 한계가 있음을 지적하며, 디지털 자산 보호 수단으로써 수탁(커스터디) 기능의 필요성을 강조했다. 또한 전자지갑 및 가상자산 해킹 관련 국내외 사례와 법·제도 요구사항을 분석해 신뢰성 있고 안전한 디지털 자산 거래를 위해 수탁 시스템이 제공해야 할 기능들을 제시했다.
특히 디지털 수탁 시 리스크를 완화하기 위해 여러 관리 주체가 권한을 분산해 관리해야 함을 제언하고, 이에 따른 암호기술 적용 방안을 제시했다. 권한 분산은 디지털 자산에 대한 통제 권한을 가진 특정인(시스템 관리자 등)의 오남용을 방지하기 위해 정당한 참여자에게 디지털 자산 접근 매체인 서명키를 분배하는 것을 의미한다.
이번 보고서는 금융회사 담당자들이 토큰 증권, 스테이블 코인 등 다양한 가상자산과 CBDC 환경 등에서 안전한 금융서비스를 설계하는 데 참고할 수 있을 것으로 기대된다. 금융보안원 관계자는 “혁신 기술을 활용한 금융서비스 출현에 대비해 앞으로도 선제적 기술 연구를 수행하고 금융회사가 안전한 금융서비스를 설계할 수 있도록 지원할 것”이라고 밝혔다.
보고서를 살펴보면 ‘디지털 자산’ 및 ‘전자지갑’에 대한 용어 정의 및 분류에서 현재는 디지털 자산, 전자지갑에 대한 국제 규제 및 표준 관점에서 준용되는 정의가 존재하지 않는다. 이에 따라 국내 금융권 및 관련 산업 영역에서 다양한 정의가 제시되고 있어 국내외 규제와 함께 EU 암호화폐기본법(MiCA), 국내 가상자산법, 미국 행정명령(FACT), 국제 표준(ISO), OECD 등 전 세계의 다양한 표준에서 언급하는 용어 정의를 고찰했다.
또한 전자지갑을 디지털 신원정보 유형(본인 정보, 소유 정보, 행위 정보 등)과 서비스 영역에 따라 사용되는 주요 저장정보 관점에서 ①디지털 페이먼트 ②디지털 신분증 ③디지털 자산 전자지갑 등 3가지 유형으로 분류하고 특징(핵심 기능, 접근 수단, 관리 정보 및 유형, 상용 서비스 사례 등)을 분석 제시했다.
다음으로 ‘디지털 자산 전자지갑 보안 위협’에 대해서는 디지털 자산을 관리하는 전자지갑 특성상 서명용 개인키를 도용한 부정거래 사고가 많이 발생하며, 디지털 자산 전자지갑 관련 보안 사고를 분석 가능한 전자지갑 사이버 공격 모델 개념을 제시했다.
이어 ‘디지털 자산 수탁 필요성’에서는 디지털 자산의 비가역성 특징은 개인의 실수를 만회하기 어려워 개인에게 디지털 자산 관리 책임을 온전히 맡기는 것은 부적절하며, 다양한 형태의 디지털 자산 시장 확대, 자산 규모 증가로 체계적인 보안·관리가 요구돼 디지털 자산 수탁이 필요하다고 봤다. 특히 기존 가상자산 사고 사례에서 나타나는 단일 권한 통제 체계하에서의 치명적 보안 위협인 ‘정당한 사용자의 악의적 행위로 인한 서명키 도난·오용의 위험’을 대응하기 위해 통제 권한 분산의 필요성을 제시했다. 제도 측면에서도 EU MiCA는 가상자산사업자에게 전문 수탁사와 의무적으로 계약 관계를 맺을 것을 규정하며, 국내 가상자산법은 가상자산 보관·관리업자에게 위탁 보관할 수 있음을 규정했다.
‘디지털 자산 수탁 시스템 주요 기능’으로는 국내외 가상자산 커스터디 사례와 국내외 관련 제도를 분석해 신뢰성 있고 안전한 디지털 자산 거래를 지원하는 디지털 자산 수탁 시스템 기능을 정의했다. 디지털 자산 수탁 시스템에서 요구되는 주요 기능은 ①개인키 관리 ②디지털 자산 관리 ③디지털 자산 거래 ④고객 계정 관리 ⑤규제 준수 등 5가지를 사례로 제시했으며, 금융사가 디지털 자산 수탁 시스템을 구축 또는 도입할 때 고려해야 할 사항도 짚었다. 마지막으로 권한 분산 관리를 고려하는 경우, 금융회사 보안담당자들이 기술적 상관성을 파악할 수 있도록 키 분배·공유, 임계 서명, 다중서명, 다자간 계산 등 암호기술에 대한 특성 및 차별성을 기술하고 키 관리 단계별 적용방안을 제시했다.
[김영명 기자(boan@boannews.com)]
안전한 수탁 시스템 통한 디지털 자산 보안 및 거래 신뢰성 제고 기대
[보안뉴스 김영명 기자] 금융보안원(원장 김철웅)은 12월 11일 ‘디지털 자산을 위한 범용 목적의 안전한 전자지갑 구현 방안’ 연구보고서를 발표했다. 이번 연구에는 올해 7월부터 11월까지 진행됐으며, 금융보안원 주관으로 증권사, 보안 기업, 가상자산사업자, 전자지갑 개발사 등 업계 전문가가 공동 참여했다.
▲권한 분산 관리 구조 개념도 예시[자료=금융보안원]
연구보고서에 따르면, 디지털 자산 시장이 성장하고 가상자산법 등 관련 법제 기반이 마련되는 가운데, 디지털 자산 통제 권한을 분산·관리해야 한다는 필요성이 제기됐다. 연구진은 보고서를 통해 개인이 체계적으로 전자지갑 보안을 관리하는 데 한계가 있음을 지적하며, 디지털 자산 보호 수단으로써 수탁(커스터디) 기능의 필요성을 강조했다. 또한 전자지갑 및 가상자산 해킹 관련 국내외 사례와 법·제도 요구사항을 분석해 신뢰성 있고 안전한 디지털 자산 거래를 위해 수탁 시스템이 제공해야 할 기능들을 제시했다.
특히 디지털 수탁 시 리스크를 완화하기 위해 여러 관리 주체가 권한을 분산해 관리해야 함을 제언하고, 이에 따른 암호기술 적용 방안을 제시했다. 권한 분산은 디지털 자산에 대한 통제 권한을 가진 특정인(시스템 관리자 등)의 오남용을 방지하기 위해 정당한 참여자에게 디지털 자산 접근 매체인 서명키를 분배하는 것을 의미한다.
이번 보고서는 금융회사 담당자들이 토큰 증권, 스테이블 코인 등 다양한 가상자산과 CBDC 환경 등에서 안전한 금융서비스를 설계하는 데 참고할 수 있을 것으로 기대된다. 금융보안원 관계자는 “혁신 기술을 활용한 금융서비스 출현에 대비해 앞으로도 선제적 기술 연구를 수행하고 금융회사가 안전한 금융서비스를 설계할 수 있도록 지원할 것”이라고 밝혔다.
보고서를 살펴보면 ‘디지털 자산’ 및 ‘전자지갑’에 대한 용어 정의 및 분류에서 현재는 디지털 자산, 전자지갑에 대한 국제 규제 및 표준 관점에서 준용되는 정의가 존재하지 않는다. 이에 따라 국내 금융권 및 관련 산업 영역에서 다양한 정의가 제시되고 있어 국내외 규제와 함께 EU 암호화폐기본법(MiCA), 국내 가상자산법, 미국 행정명령(FACT), 국제 표준(ISO), OECD 등 전 세계의 다양한 표준에서 언급하는 용어 정의를 고찰했다.
또한 전자지갑을 디지털 신원정보 유형(본인 정보, 소유 정보, 행위 정보 등)과 서비스 영역에 따라 사용되는 주요 저장정보 관점에서 ①디지털 페이먼트 ②디지털 신분증 ③디지털 자산 전자지갑 등 3가지 유형으로 분류하고 특징(핵심 기능, 접근 수단, 관리 정보 및 유형, 상용 서비스 사례 등)을 분석 제시했다.
다음으로 ‘디지털 자산 전자지갑 보안 위협’에 대해서는 디지털 자산을 관리하는 전자지갑 특성상 서명용 개인키를 도용한 부정거래 사고가 많이 발생하며, 디지털 자산 전자지갑 관련 보안 사고를 분석 가능한 전자지갑 사이버 공격 모델 개념을 제시했다.
이어 ‘디지털 자산 수탁 필요성’에서는 디지털 자산의 비가역성 특징은 개인의 실수를 만회하기 어려워 개인에게 디지털 자산 관리 책임을 온전히 맡기는 것은 부적절하며, 다양한 형태의 디지털 자산 시장 확대, 자산 규모 증가로 체계적인 보안·관리가 요구돼 디지털 자산 수탁이 필요하다고 봤다. 특히 기존 가상자산 사고 사례에서 나타나는 단일 권한 통제 체계하에서의 치명적 보안 위협인 ‘정당한 사용자의 악의적 행위로 인한 서명키 도난·오용의 위험’을 대응하기 위해 통제 권한 분산의 필요성을 제시했다. 제도 측면에서도 EU MiCA는 가상자산사업자에게 전문 수탁사와 의무적으로 계약 관계를 맺을 것을 규정하며, 국내 가상자산법은 가상자산 보관·관리업자에게 위탁 보관할 수 있음을 규정했다.
‘디지털 자산 수탁 시스템 주요 기능’으로는 국내외 가상자산 커스터디 사례와 국내외 관련 제도를 분석해 신뢰성 있고 안전한 디지털 자산 거래를 지원하는 디지털 자산 수탁 시스템 기능을 정의했다. 디지털 자산 수탁 시스템에서 요구되는 주요 기능은 ①개인키 관리 ②디지털 자산 관리 ③디지털 자산 거래 ④고객 계정 관리 ⑤규제 준수 등 5가지를 사례로 제시했으며, 금융사가 디지털 자산 수탁 시스템을 구축 또는 도입할 때 고려해야 할 사항도 짚었다. 마지막으로 권한 분산 관리를 고려하는 경우, 금융회사 보안담당자들이 기술적 상관성을 파악할 수 있도록 키 분배·공유, 임계 서명, 다중서명, 다자간 계산 등 암호기술에 대한 특성 및 차별성을 기술하고 키 관리 단계별 적용방안을 제시했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
