Walits LogoWalits
Custody 사용 사례

가상자산 수탁서비스, 안전한 자산 보관의 시작

2024년 12월 12일8분 읽기

2022년 FTX 사태, 2023년 실리콘밸리은행 파산. 가상자산 업계에서 연이어 발생한 사건들은 우리에게 하나의 교훈을 남겼습니다. "자산을 안전하게 보관하는 것이 가장 중요하다"는 것입니다.

거래소, 증권사, 자산운용사가 고객 자산을 보관할 때 가장 신경 써야 할 부분이 바로 수탁 서비스(Custody Service)입니다. 단순히 지갑 주소를 만들어 자산을 보관하는 것을 넘어, 기관급 보안과 규제 준수, 그리고 효율적인 운영 프로세스가 모두 갖춰져야 합니다.

왜 수탁서비스가 필요한가?

1. 규제 준수

한국의 특금법, 미국의 BSA, 유럽의 MiCA 등 각국 규제 당국은 가상자산 사업자에게 고객 자산의 안전한 보관을 의무화하고 있습니다.

특금법 제7조의3: 가상자산사업자는 고객 자산을 자기자산과 분리하여 보관하고, 콜드월렛과 같은 안전한 방법으로 관리해야 합니다. 이를 위반할 경우 최대 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있습니다.

2. 고객 신뢰 구축

"MPC 2-of-3 커스터디로 자산을 보호합니다"라는 구체적인 증거가 고객에게 강력한 신뢰를 줍니다. Fireblocks, BitGo와 같은 글로벌 커스터디 솔루션을 사용하는 기업들이 이를 마케팅 포인트로 활용하는 이유입니다.

실제로 2023년 업비트는 MPC 기술을 도입한 이후 고객 자산 보호 체계를 강화했다는 점을 강조하며, 이것이 국내 1위 거래소로서의 신뢰도를 높이는 중요한 요소가 되었습니다.

3. 내부 위협 방지

단일 개인이나 부서가 자산에 접근할 수 없도록 하여, 내부자 사고를 원천 차단합니다.

2021년 아프리카TV의 경우, 내부 직원이 회사 지갑의 프라이빗 키를 무단으로 사용해 69억원 상당의 가상자산을 인출한 사건이 있었습니다. MPC 2-of-3 시스템이었다면 이러한 단독 범행은 원천적으로 불가능했을 것입니다.

4. 운영 효율성

Omnibus 구조를 활용하면 고객별로 수백만 개의 지갑 주소를 관리할 필요 없이, 단일 마스터 주소에서 모든 자산을 통합 관리할 수 있습니다.

일반적으로 거래소는 고객당 평균 3-5개의 코인을 보유하고, 고객 수가 10만명이라면 30-50만개의 지갑 주소를 관리해야 합니다. Omnibus 방식은 이를 BTC 1개, ETH 1개, USDT 1개 등 코인당 1개의 마스터 주소로 통합합니다.

기존 커스터디 방식의 한계

1. 단일 프라이빗 키 방식 (Single Key)

하나의 프라이빗 키로 지갑을 관리하는 가장 기본적인 방식입니다. 구현은 간단하지만 보안상 치명적인 약점이 있습니다.

위험 요소:

  • 프라이빗 키를 가진 사람이 단독으로 자산을 인출 가능
  • 내부자 또는 해커가 키를 탈취하면 즉시 자산 손실
  • 담당자가 퇴사하거나 사고를 당하면 복구 불가능
  • 키를 보관하는 서버가 해킹당하면 모든 자산 유출

2. 멀티시그 (Multi-Signature)

Bitcoin이나 Ethereum의 스마트 컨트랙트를 이용해 N개의 키 중 M개의 서명이 있어야 거래가 실행되도록 하는 방식입니다.

한계점:

  • 체인별로 지원 여부가 다름 (Solana, Ripple 등은 네이티브 멀티시그 미지원)
  • 트랜잭션 크기가 커져 가스비가 증가 (3-of-5 멀티시그는 일반 트랜잭션 대비 3-5배)
  • 각 서명자가 온라인 상태여야 하므로 운영 복잡도 증가
  • 키 분실 시 복구가 어렵거나 불가능

3. HSM (Hardware Security Module)

전용 하드웨어 장비에 프라이빗 키를 저장하고 서명을 수행하는 방식입니다. 은행권에서 주로 사용됩니다.

문제점:

  • 초기 도입 비용이 매우 높음 (장비당 $10,000-$50,000)
  • 물리적 장비 관리가 필요 (데이터센터, 이중화, 백업)
  • 클라우드 환경에서 사용하기 어려움
  • 여전히 단일 장비가 해킹당하면 위험 (Side Channel Attack)

Walits Custody: MPC 2-of-3 아키텍처

Walits는 MPC (Multi-Party Computation) 기술을 기반으로 한 2-of-3 Threshold Signature 방식을 사용합니다. 이는 프라이빗 키를 3개의 조각(Key Share)으로 나누어 각각 다른 곳에 보관하고, 거래 시 2개의 조각만 있으면 서명이 가능한 방식입니다.

핵심은 "완전한 프라이빗 키가 단 한 순간도 메모리에 존재하지 않는다"는 점입니다. 각 Key Share는 독립적으로는 아무 의미가 없으며, 2개가 모여야 비로소 유효한 서명을 생성할 수 있습니다.

Key Share 분산 구조

1

Customer Key Share

고객사(거래소, 증권사)가 보유. AWS KMS, Google Cloud KMS 등에 암호화되어 저장.

예: CoinEx Korea는 자사 AWS 계정의 KMS에 Customer Key Share를 보관하며, Walits는 이 키에 접근할 수 없습니다.

2

Walits Key Share

Walits가 AWS Nitro Enclave (TEE) 내부에 보관. 외부 접근 불가능.

AWS Nitro Enclave는 CPU 레벨에서 격리된 실행 환경으로, SSH 접속, API 호출, 심지어 AWS 관리자도 내부 메모리에 접근할 수 없습니다.

3

Backup Key Share

재난 복구용. Shamir's Secret Sharing으로 3-of-5로 다시 분할되어 고객사 임원 5명이 각각 보관.

예: CEO, CFO, CTO, CISO, 이사회 의장이 각각 1개씩 보관. 만약 Customer Key Share와 Walits Key Share를 모두 잃더라도, 임원 5명 중 3명이 모이면 복구 가능합니다.

Omnibus 시스템: 효율적인 자산 관리

Walits Custody는 Omnibus (통합) 구조를 사용합니다. 모든 고객의 자산을 하나의 마스터 주소에 통합하여 보관하고, 각 고객의 잔액은 데이터베이스에서 가상으로 관리합니다.

이는 증권사가 고객 주식을 한국예탁결제원에 통합 보관하고, 각 고객 계좌는 가상으로 관리하는 것과 동일한 방식입니다.

예금(Deposit) 프로세스

고객이 거래소에 BTC를 입금하는 상황을 예로 들어보겠습니다.

1단계: 입금 주소 생성

각 고객에게 고유한 입금 주소가 발급됩니다. 이는 BIP32 HD Wallet을 통해 마스터 주소로부터 파생된 주소입니다.

2단계: 입금 감지 (1 Confirmation)

Walits xScanner가 블록체인을 실시간으로 모니터링하여 입금을 감지합니다.

1 컨펌에서는 아직 고객 잔액에 반영하지 않고, 관리자 대시보드에만 표시됩니다.

3단계: 입금 확정 (6-12 Confirmations)

이제 고객은 거래소에서 해당 BTC를 거래하거나 출금할 수 있습니다.

4단계: Auto-Sweep (자동 통합)

입금된 BTC는 개별 주소에 그대로 두지 않고, Omnibus 마스터 주소로 자동 이체됩니다.

이제 모든 고객의 BTC가 하나의 안전한 마스터 주소에 통합되어 관리됩니다. 개별 주소에는 잔액이 거의 남지 않으므로 해킹 위험이 최소화됩니다.

출금(Withdrawal) 프로세스

고객이 거래소에서 외부 주소로 BTC를 출금하는 상황입니다.

1단계: 출금 요청 및 잔액 홀드

출금 요청과 동시에 고객 잔액에서 즉시 차감되어 중복 출금을 방지합니다.

2단계: Policy 검증

사전에 설정된 출금 정책을 자동으로 검증합니다.

3단계: N-of-M 승인

CFO와 CTO가 Walits 대시보드에서 출금 요청을 검토하고 승인합니다.

4단계: MPC 2-of-3 서명

승인이 완료되면 Customer Key Share와 Walits Key Share가 협업하여 트랜잭션에 서명합니다.

전 과정에서 완전한 프라이빗 키는 메모리에 존재하지 않습니다.

5단계: 상태 추적 및 완료

고객은 대시보드에서 실시간으로 출금 진행 상황을 확인할 수 있습니다.

실제 사례: CoinEx Korea

CoinEx Korea는 Walits Custody를 도입하여 월평균 5,000건의 입출금을 안전하게 처리하고 있습니다.

도입 전 문제점

  • 단일 프라이빗 키를 서버에 저장하여 해킹 위험 존재
  • 출금 승인이 수동으로 이루어져 처리 시간이 평균 30분
  • 각 코인별로 수만 개의 입금 주소를 관리하느라 DB 부하

도입 후 개선 효과

  • MPC 2-of-3로 단일 장애점 제거, 내부자 해킹 원천 차단
  • Policy 기반 자동 승인으로 1 BTC 이하 출금은 즉시 처리 (평균 5분)
  • Omnibus 구조로 BTC 마스터 주소 1개, ETH 마스터 주소 1개만 관리
  • AWS Nitro Enclave를 통해 금융감독원 보안 감사 통과

운영 지표

  • 월평균 입금: 3,500건 (누적 $2.5M)
  • 월평균 출금: 1,500건 (누적 $1.8M)
  • 출금 평균 처리 시간: 5분 (자동 승인), 20분 (수동 승인)
  • 보안 사고: 0건 (24개월 운영)

Walits vs 경쟁사 비교

항목WalitsFireblocksBitGo
보안 방식MPC 2-of-3 + TEEMPC + SGX멀티시그 (온체인)
가스비일반 트랜잭션과 동일일반 트랜잭션과 동일멀티시그로 인해 3-5배 증가
지원 체인BTC, ETH, 주요 EVM 체인60+ 체인BTC, ETH 중심
월 비용$500-2,000 (거래량 기반)$5,000-20,000$3,000-15,000
한국어 지원O (전담 CS팀)XX
국내 규제 대응특금법 완벽 준수고객사가 직접 대응고객사가 직접 대응

기관급 보안으로 고객 자산을 보호하세요

Walits Custody는 국내 최초로 MPC 2-of-3 + Omnibus 구조를 결합한 커스터디 솔루션입니다. 거래소, 증권사, 자산운용사를 위한 맞춤형 보안 시스템을 지금 도입하세요.

상담 신청하기 →