코다, SOC1 타입2 획득···국내 첫 하드웨어 보안 모듈 방식

국내 디지털자산 커스터디 사업자 한국디지털에셋(코다·KODA)이 SOC1(System and Organization Controls) 타입2를 취득했다. 이번 인증을 국내 최초로 하드웨어 보안 모듈(HSM) 방식으로 취득하면서 국내에서도 글로벌 표준 수탁 인프라 경쟁이 본격화됐다는 평가가 나온다.

29일 관련 업계에 따르면 코다는 지난 27일 삼일 PwC로부터 하드웨어 보안 모듈 방식의 SOC1 타입2를 발급받았다. 사측에 따르면 국내 커스터디 업계에서 HSM을 도입해 인증받은 것은 코다가 처음이다.

SOC는 미국공인회계사협회(AICPA) 기준에 따라 독립된 감사인이 서비스 조직의 내부통제가 일정 기간 동안 설계대로 효과적으로 운영됐는지 검증하는 국제 기준이다.

SOC는 총 3단계로 나뉜다. SOC1이 재무 및 관련 IT 시스템에 대한 전반적인 평가를 한다면, SOC2는 고객 정보 관리에 대한 내부통제 시스템 평가를 추가로 진행한다. SOC3는 SOC2와 사실상 같은 절차로, 이를 취득한 기업이 대중에게 공개할 때만 활용된다.

SOC는 레벨별로 특정 시점의 내부통제 설계를 점검하는 타입1과 내부통제가 지속적으로 운영됐는지를 검증하는 타입2로 구분된다. 그중 타입2는 일정 기간 실제 운영 성과까지 평가한다는 점에서 수탁사에게 필수적인 인증이다.

코다는 지난해 6월 회계법인과 인증 심사 계약을 맺은 뒤 1년여 동안 내부통제 체계 정비와 시스템 개선 작업을 병행해 왔다.

코다는 인증 과정에서 멀티파티컴퓨테이션(MPC) 기반 콜드월렛 구조를 미국 연방정보처리표준(FIPS) 인증을 받은 HSM 방식으로 전면 전환했다. 이는 파이어블록스와 앵커리지 디지털 등 해외 대형 커스터디 업체들이 사용하는 방식과 동일한 수준의 보안 체계다.

이번에 도입한 HSM 장비는 외관부터 일반적인 콜드월렛과 다르다. 통상 하드웨어 지갑이 USB나 인터넷이 차단된 노트북 형태로 개인이 금고에서 휴대하는 장치인 반면, HSM은 콜드월렛실 내 별도 공간에 설치된다.

또한 기존 MPC 구조는 프라이빗키 연산 과정이 메모리 상에서 이뤄지고 디스크에 저장된 키에 개발자가 접근할 수 있다는 점이 지적됐다. 하지만 HSM 방식으로 운영 시 프라이빗키가 메모리상에서 외부 노출이나 개발자 등에 의해서도 추출 등이 불가능하다.

코다 관계자는 "스위스에서 FIPS 인증을 받은 HSM 장비를 직수입해 구축하고, HSM 기반으로 재설계하는 데만 약 5개월이 걸렸다"며 "기존 MPC 방식으로 생성된 지갑 주소를 HSM 방식 지갑으로 옮기기 위해 고객 안내와 이전 작업을 진행하는 데 추가로 2개월가량 소요됐다"고 설명했다.

사측은 시리즈A 라운드에서 투자를 유치한 뒤 보안 장비와 내부통제 시스템에 재투자한 것이 이번 SOC1 타입2 인증까지 이어졌다고 설명했다. 마이그레이션 시 수수료 비용도 사측이 모두 부담했다.

지난해 11월 코다는 약 100억원 규모의 투자금을 유치했다. 기존 투자사인 ▲해시드 ▲KB국민은행 ▲알토스벤처스 ▲해치랩스 등이 모두 참여했으며 ▲한화투자증권 ▲IBK캐피탈 ▲교보증권이 신규 주주로 합류했다.

조진석 코다 대표는 "HSM 방식으로 SOC1 타입2를 취득한 것은 국내 시장을 넘어 글로벌 기관 고객을 겨냥한 최소한의 출발선"이라며 "안전한 커스터디를 구축하는 데 비용과 시간을 아끼지 않을 것"이라고 말했다.