KODA, 삼일PwC ‘SOC1 Type 2’ 인증 획득…디지털자산 수탁 내부통제 외부 검증

기관 및 법인 대상 디지털자산 커스터디(수탁) 전문 기업 한국디지털에셋(이하 KODA, 대표이사 조진석)이 삼일PwC로부터 디지털자산 수탁 서비스에 대한 ‘SOC1 Type 2(서비스 조직 통제)’ 인증 보고서를 지난 5월 29일 수령했다고 2일 밝혔다.

SOC1 Type 2는 고객 자산 보관과 재무 보고에 영향을 미치는 수탁 기관의 내부통제 체계가 일정 기간 적절하게 설계되고 운영됐는지 외부 감사인이 엄격하게 검증하는 국제 표준 보고 체계다.

이번 인증 심사는 수탁 서비스의 핵심인 ▲콜드룸 운영 관리 ▲지갑 생성 및 출금 프로세스 ▲지갑 및 입출금 관리 ▲접근 통제 ▲콜드룸 물리적 보안 설비 등 통제 체계 전반을 대상으로 진행됐다. KODA는 지갑을 외부 인터넷과 분리해 온라인 해킹을 차단하는 ‘콜드월렛’ 방식과 이를 물리적으로 보호하는 ‘콜드룸’ 인프라를 안정적으로 운영하고 있음을 검증받았다.

특히 KODA는 이번 인증을 계기로 콜드월렛 인프라를 국제 기준에 맞춰 재정비했다. 미국 연방정보처리표준(FIPS 140-2/140-3) 인증을 받은 하드웨어 보안 모듈(HSM)을 도입해 ‘다중 서명(멀티시그) HSM 기반 콜드월렛’으로 시스템을 고도화했다. 이를 통해 개인키 생성부터 보관, 서명, 출금에 이르는 전 과정이 한층 엄격한 통제 환경에서 이뤄지도록 보안을 강화했다.

콜드월렛을 보관하는 물리적 공간인 콜드룸 역시 전통 금융권 수준으로 강화했다. 내화금고를 비롯해 전자기펄스(EMP) 차단 설비, 자동 소화 장치, 무정전 전원 장치(UPS), 물리적 출입 통제 및 감시 체계 등을 적용했다. 이는 디지털자산 수탁 기관에 요구되는 보안과 운영 안정성, 사고 예방 역량을 높이기 위한 조치다.

이러한 인프라 강화와 외부 검증은 기관·법인 고객이 요구하는 자산 보관 요건을 충족하기 위한 조치다. 상장사와 금융사, 기관투자가 등은 디지털자산을 위탁할 때 수탁 기관의 통제 환경, 운영 안정성, 회계감사 대응 역량을 최우선으로 검토하기 때문이다.

조진석 KODA 대표는 “디지털자산 수탁의 핵심은 단순 보관이 아니라 고객 자산을 보호하는 기술적·물리적·운영적 통제 체계를 지속적으로 외부 기관에 검증받는 것”이라며 “이번 SOC1 Type 2 인증은 KODA의 인프라와 내부통제 수준이 기관 수탁 기준에 맞춰 고도화됐음을 증명하는 이정표”라고 말했다.

이어 “기관과 법인의 디지털자산 수탁 수요가 커지는 가운데, FIPS 인증 HSM과 멀티시그 HSM 기반 지갑 관리, 전통 금융권 수준의 콜드룸 보안 설비, 독립적인 내부통제 체계를 바탕으로 기관 및 법인 고객이 안심하고 디지털자산을 맡길 수 있는 인프라를 제공할 것”이라며 “앞으로도 지속적인 감사 대응 체계 정비를 통해 국내 디지털자산 수탁 시장의 신뢰 기준을 선도하겠다”고 밝혔다.

KODA는 2020년 KB국민은행과 해시드(Hashed)가 공동 설립한 디지털자산 커스터디 전문 기업이다. 기관 및 법인 고객을 대상으로 디지털자산 보관·수탁 서비스를 제공하고 있으며, 국내 디지털자산 커스터디 시장에서 약 80% 이상의 점유율을 확보하고 있다. 2025년에는 100억원 규모의 시리즈A 투자를 유치하며 한화투자증권, IBK캐피탈, 교보증권 등 금융기관이 주주로 참여했다. 또한, 국내 최초로 삼성화재와 2,000만 달러 한도의 가상자산 보험계약을 체결하여 고객 자산 보호 체계를 갖추고 있다.