신원을 증명하기 위해 개인 포트폴리오 전체를 비즈니스에 넘긴다면 그 정보가 어떻게 처리되는지 궁금해지는 것은 당연합니다.
그리고 솔직히 그건 공평합니다. 누군가 내 여권의 디지털 복제품을 만들면 최소한 여권을 보호하려는 이유와 방법을 설명해야 합니다.
고객 데이터 보안은 책임감 있는 비즈니스가 지켜야 할 핵심 약속입니다.
이를 유지하기 위한 엄격한 규칙과 규정이 있지만, 이러한 규정이 있음에도 불구하고 민감한 KYC 정보가 노출된 데이터 유출 사례를 몇 가지 보았습니다.
이러한 사건은 자연스럽게 KYC 프로세스가 얼마나 투명하고 안전한지에 대한 의문을 제기합니다.
이 도움말에서는 KYC 인증이 실제로 안전한지, 어떤 종류의 위험에 노출되기 쉬운지, 데이터를 보호하는 방법에 대해 알아야 할 모든 것을 알아보세요.
주요 내용
- KYC 검증은 매우 민감한 개인 데이터를 요구하므로 철저한 보안은 타협할 수 없습니다.
- 사용자의 신원 정보는 공급업체, 감사자, 파트너를 통해 이동하며, 모든 핸드오프는 오용될 위험을 높입니다.
- 책임감 있는 기업은 데이터 암호화, 엄격한 액세스 제어, 법률 준수, 직원들을 실제로 괴롭히는 내부 보호 장치를 도입하여 데이터 유출의 위험에 맞서 싸우고 있습니다(당연한 일이지만).
KYC 인증 안전이란 무엇인가요?
KYC(고객알기제도)는 기업이 고객이 실제 신원을 가진 실제 사람인지 확인하는 프로세스입니다. 이를 위해 기업은 수많은 민감한 정보가 필요합니다.
KYC 인증 안전에는 해당 정보가 사기꾼의 손에 들어가 디지털 사탕이 되는 것을 막기 위한 조치가 포함됩니다.
이러한 조치에는 암호화, 보안 데이터베이스, 액세스 제어, 감사 로그 등이 포함됩니다.
다시는 AI 사기에 대해 걱정하지 마세요. TruthScan 도움을 드릴 수 있습니다:
- 생성된 AI 감지 이미지, 텍스트, 음성 및 동영상
- 피하기 주요 AI 기반 사기
- 가장 중요한 정보 보호 민감한 기업 자산.
KYC 인증 데이터를 안전하게 보관하는 것은 매우 중요합니다. 고객이 인증을 위해 넘겨주는 데이터는 사이버 범죄자들이 항상 주시하는 대상입니다!
가치가 높고 한 번 도난당하면 변경하기가 정말 어렵습니다.
KYC 데이터 처리의 맥락에서 “안전'이 의미하는 것
KYC에서 데이터 안전의 개념은 매우 주관적입니다.
솔직히 말해서 100%를 뚫을 수 있는 시스템은 없습니다. 2024년에는, 공격자들은 KYC 서비스인 World-Check에서 수백만 건의 기록을 훔쳤습니다., 이는 자원이 풍부하고 규모가 큰 데이터베이스도 때때로 손상될 수 있다는 증거입니다.
물론 KYC 정보를 수집하고 저장하는 방법을 규율하는 엄격한 데이터 보호법이 시행되고 있습니다. GDPR, CCPA, PDPA가 그 예입니다.
따라서 책임감 있는 비즈니스는 KYC 과정에서 수집한 고객 데이터의 안전을 항상 보장합니다.
하지만 고객으로서 데이터를 공유하는 회사가 충분히 신뢰할 수 있는 회사인지 판단하는 데는 고객의 역할이 있습니다.
KYC 인증이 수집하는 정보 및 기능
은행 계좌, 거래 플랫폼, 암호화폐 거래소 또는 원격 금융 서비스에 가입할 때마다 범죄 활동을 위한 위장 수단이 아닌지 확인해야 합니다.
이를 위해서는 다음과 같은 개인 데이터를 보내야 합니다:
- 신분증에 표시된 전체 법적 이름
- 생년월일
- 거주지 주소
- 정부 신분증(여권, 운전면허증, 주민등록증 등)
- 생체 인식 데이터
- 은행 계좌 또는 신용카드 번호와 같은 금융 식별자
- 주소를 확인할 수 있는 공과금 청구서나 세금 계산서 등의 증빙 서류
이 모든 데이터는 이전에 의심스러운 금융 활동에 연루된 적이 없음을 확인하는 데 사용됩니다.
제출 후 일어나는 일
개인 문서를 업로드하면 해당 문서는 회사의 데이터베이스에 저장됩니다. 하지만 그 외에도 사용자의 정보도 이동합니다!
많은 기업이 OCR 스캐너, 생체 인식 소프트웨어, 사기 탐지 엔진 등과 같은 자동화된 인증 도구를 제공하는 타사 KYC 인증 소프트웨어를 사용합니다.
KYC 프로필의 일부가 다음 주소로 전송될 수도 있습니다:
- 규제 기관
- 정부 기관
- 금융 파트너
- 사기 분석 회사
기본적으로 데이터는 여러 곳에 복사, 백업, 미러링 및 캐시됩니다.
실제 위험이 있는 곳
이제 데이터의 보안 위험은 데이터를 처음 업로드하는 시점에만 국한되지 않습니다. 진짜 문제는 데이터가 이동할 때 발생합니다.
데이터가 통과하는 시스템이 많을수록 노출되는 지점도 많아집니다.
은행은 훌륭한 보안 시스템을 갖추고 있을 수 있지만, 인증 공급업체나 백업본을 보유하고 있는 외부 감사기관은 어떨까요?
데이터가 유출되는 데 필요한 것은 단 하나의 약한 연결 고리뿐입니다.
앞서 언급했듯이 많은 기업이 외부 공급업체에 KYC 검증을 아웃소싱하지만, 이러한 공급업체 자체가 잠재적인 보안 침해 지점이 될 수 있습니다.
예를 들어, Sengzi는 전 세계 600개 이상의 금융 기관에서 사용하는 KYC 인증 제공업체입니다.
불과 몇 달 전에는 다음과 같은 데이터 유출이 보고되었습니다. 600GB가 넘는 민감한 고객 인증 데이터 가 다크웹에 매물로 올라온 것으로 알려졌습니다.
금융회사는 회원님이 서비스 이용을 중단한 후에도 회원님의 정보를 오래 보관할 수 있습니다.
데이터가 오래되고 보관 기간이 길수록 시스템 마이그레이션이나 서버 문제에 걸릴 확률이 높아집니다.
기업이 KYC 데이터를 안전하게 유지하는 방법
진정으로 고객을 생각하는 기업이라면 데이터 유출보다 더 빠르게 고객의 신뢰를 무너뜨리는 것은 없다는 것을 알고 있습니다.
고객에게 개인 정보에 대한 신뢰를 요청할 때는 엄격한 데이터 보호 정책을 준수해야 합니다.
방법은 다음과 같습니다.
- 암호화 및 보안 스토리지
암호화는 강력한 암호화 기술을 사용하여 정보를 스크램블링하는 것을 말합니다. 암호화 알고리즘 애초에 데이터를 요청한 회사만 읽을 수 있습니다.
따라서 해커가 서버에 침입하면 횡설수설하는 모습만 볼 수 있습니다.
데이터 암호화는 미사용 시와 전송 중 모두 이루어집니다. 즉, 데이터를 저장하는 데이터베이스와 백업이 암호화된다는 뜻입니다.
또한 데이터가 한 기기에서 다른 기기로 전송될 때마다 TLS 1.2/1.3과 같은 암호화된 터널을 통해 이동하여 가로채기를 방지합니다.
생체 인식 정보와 같은 고가치 데이터는 별도의 저장 공간에 보관합니다. 데이터를 여러 사일로로 분리하는 이유는 유출 반경을 줄이기 위해서입니다.
하나의 스토리지 영역이 손상되더라도 고객 데이터 전체가 도미노처럼 무너지지 않도록 보장합니다.
- 액세스 제어 및 내부 보호 장치
놀랍게도 데이터 사고의 상당수는 해커에 의해 발생하지 않습니다! 이러한 사고는 고의 또는 실수로 내부에 있는 사람들에 의해 발생합니다(단순히 IT 부서의 게리가 절대 클릭해서는 안 되는 링크를 클릭했기 때문에)!
기업은 고객 데이터에 대한 액세스를 제한하여 이러한 사고를 방지할 수 있습니다.
액세스 제어는 역할 기반이어야 합니다. 즉, 직원은 업무 특성에 따라 필요한 데이터에만 액세스할 수 있어야 합니다.
데이터에 액세스하기 위해 데이터베이스에 로그인하는 과정도 하드웨어 키와 세션 제한에 의해 제한됩니다. 이 프로세스가 직원을 조금이라도 귀찮게 하지 않는다면 보안이 너무 취약한 것일 수 있습니다.
또한 기업에서는 감사 로그를 통해 직원의 데이터 액세스 빈도와 기간을 확인할 수 있습니다.
누군가 의심스러운 양의 문서를 다운로드하기 시작하면 상급 기관에 알림이 전송됩니다.
- 규정 준수 및 법적 기준
기업은 법에서 요구하기 때문에 KYC 데이터를 보호해야 합니다.
GDPR 또는 CCPA는 고객 데이터를 수집, 저장, 사용 및 삭제하는 방법을 규정하는 개인정보 보호법입니다. 기업이 이 법을 준수하지 않으면 막대한 벌금이 부과될 수 있습니다.
자금세탁방지(AML) 법률은 모든 신원 문서를 엄격하게 처리할 것을 요구합니다. 기업은 KYC를 올바르게 수행했을 뿐만 아니라 그 과정에서 데이터를 보호했음을 증명해야 합니다.
다음과 같은 신뢰할 수 있는 KYC 확인 소프트웨어 트루스 스캔, 는 고객 데이터를 취급할 때 항상 이러한 법률을 준수합니다.
정보 보호를 위해 할 수 있는 일
KYC 데이터를 안전하게 보관할 책임은 대부분 기업에 있지만, 데이터 유출에 대한 노출을 줄일 수 있는 몇 가지 습관이 있습니다.
- 커피 한 잔 값으로 신원 도용을 하고 싶지 않다면 공용 Wi-Fi를 통해 신분 증명서를 업로드하지 마세요. 공용 네트워크를 통해 공유되는 정보에 액세스하는 것은 매우 쉽습니다.
- 공유 연결을 꼭 사용해야 한다면, 적어도 평판이 좋은 VPN을 켜서 트래픽을 암호화하세요.
- 데이터를 업로드하는 플랫폼이 합법적인지 항상 확인하세요. 도메인을 확인하고, 회사의 실제 웹사이트로 연결되는지 확인하고, URL이 실제로 HTTPS로 시작하는지 확인하고, 조금이라도 의심스러운 점이 있으면 즉시 탭을 닫으세요.
- 오래된 휴대폰과 노트북은 멀웨어의 주요 표적이 되므로 디바이스를 최신 상태로 유지하세요.
- 스스로 정리하세요. 어딘가에 업로드하기 위해 여권 PDF를 다운로드했다면 “다운로드” 폴더에 영원히 보관하지 마세요. 삭제하세요. 가능한 한 빨리 휴지통을 비우세요.
- 마지막으로 KYC 인증에 사용 중인 플랫폼의 사용자 보호 기능을 활용하세요. 트루스 스캔 에는 다음과 같이 데이터를 보호하는 다양한 기능이 있습니다:
- 2단계 인증
- 암호화된 업로드
- 안전한 시간 제한 세션
인증과 개인정보 보호 사이의 균형
KYC는 이상한 거래입니다.
한편으로 기업은 사용자가 점심시간에 돈을 세탁하지 않는 진짜 사람인지 확인해야 합니다. 이러한 확인을 위해서는 법률을 준수하고 라이선스를 유지하기 위한 개인 정보가 필요합니다.
반면에 전체 ID 포트폴리오를 아무 비즈니스에나 넘기고 싶지는 않을 것입니다.
현명한 기업이라면 모든 개인 정보를 일일이 수집하려고 하지 않습니다. 그들은 항상 업무를 완수하는 데 필요한 최소한의 문서만 요구할 것입니다.
개인정보 보호와 인증 요구 사이의 균형을 유지하기 위해 책임 있는 비즈니스는 사용자의 데이터가 어디로 이동하는지, 얼마나 오래 보관되는지, 누가 데이터를 볼 수 있는지 등에 대해서도 설명합니다.
누군가 내 여권의 디지털 복제품을 만든다면 최소한 그 이유를 설명해야 합니다.
요점은 시스템을 올바르게 구축하면 개인 정보 보호와 인증이 공존할 수 있다는 것입니다.
안전한 KYC의 미래
현재 KYC 인증 절차는 매우 빠르고 원활하게 진행되고 있습니다. 앞으로는 시스템을 가로채려는 사람이 최대한 적은 양의 산소를 얻을 수 있도록 매우 안전하게 만드는 것을 목표로 하고 있습니다.
탈중앙화된 ID 시스템은 그리 먼 미래가 아닙니다. 즉, 새로운 플랫폼이 사용자를 “인증'하려고 할 때마다 문서를 넘겨줄 필요가 없다는 뜻입니다.
안전하게 암호화된 신원 지갑을 보관하고 서비스에 꼭 필요한 최소한의 정보만 공유할 수 있습니다.
앞으로는 중앙 데이터베이스에 문서를 저장하지 않고도 문서와 자격 증명을 검증하는 블록체인 기반 검증도 등장할 것입니다.
영지식 증명(ZKP)은 기본 정보를 공개하지 않고도 어떤 것이 사실임을 증명할 수 있는 암호화 방식입니다. 거칠지만 매우 현실적인 방법입니다.
이 기술은 현재 초기 단계에 있지만, 인증 프로세스에서 민감한 데이터의 전체 범주를 완전히 제거할 수 있는 잠재력을 가지고 있습니다.
트루스캔은 이러한 성인식 트렌드에 맞춰 개발된 도구 중 하나입니다.
그것의 KYC 인증 아키텍처는 현재 안전한 암호화 업로드를 지원하며, 향후 탈중앙화된 자격 증명 흐름을 위해 만들어질 예정입니다.
최종 생각
세상은 말 그대로 신원 확인을 기반으로 운영됩니다. 하지만 고객으로서 자신의 정보를 넘겨주고 그저 잘 처리되기를 바라기만 해서는 안 됩니다.
KYC의 안전성은 모든 금융 거래에서 신뢰의 토대입니다.
지구상의 어떤 플랫폼도 100%의 철통 보안을 약속할 수는 없지만(그렇지 않다고 주장하는 사람은 환상을 파는 것입니다), 보장할 수 있는 것은 책임감입니다.
트루스캔은 이러한 철학을 바탕으로 만들어졌습니다.
현재 존재하는 모든 최신 안전 조치를 구현하여 사용자의 개인정보를 얼마나 중요하게 취급하는지 명확하게 밝히고 있습니다.
트루스캔은 또한 새로운 개인정보 보호 기술이 등장할 때마다 이에 대응할 준비가 되어 있습니다.
확인 트루스 스캔 오늘 안전한 KYC 인증을 받으세요!