데이터 노출 관점에서 본 KYC: 플랫폼은 내 어떤 정보를 수집할까요?

2026년 5월 6일

암호화폐 거래소에서 KYC 인증을 완료하는 순간, 제출하는 것은 단순한 신분증 사진 한 장이 아닙니다. 완전한 KYC 데이터 세트에는 현실 세계에서 ‘나’라는 사람을 상당히 정확하게 특정할 수 있는 정보가 들어갑니다. 이 데이터는 어디에 저장될까요? 누가 접근할 수 있을까요? 문제가 생기면 누가 책임질까요? 이 글에서 단계별로 정리해 보겠습니다.

KYC 규제가 플랫폼에 요구하는 정보

FinCEN의 규제 지침은 규제 대상 가상자산 서비스 제공자(VASP)가 CIP, 즉 고객 확인 프로그램을 구축하도록 요구합니다. 핵심 항목은 이름, 생년월일, 주소, 식별번호(여권번호, 신분증 번호, 세금 식별번호 등)입니다.

EU MiCA 규정과 EUR-Lex에 공개된 MiCA 전문은 고위험 고객에 대해 강화된 고객확인(EDD)을 요구합니다. 여기에는 자금 출처 설명, 거래 목적 진술, 필요한 경우 더 상세한 재무 정보 수집이 포함될 수 있습니다.

ESMA의 암호자산 규제 프레임워크는 플랫폼이 고객 식별 기록을 최소 5년간 보관해야 한다고 규정합니다. 일부 관할권에서는 이 기간이 더 길 수 있습니다.

즉, 계정을 탈퇴하더라도 여러분이 제출한 데이터는 플랫폼과 그 플랫폼의 컴플라이언스 보관 의무에 따라 수년간 남아 있을 수 있습니다.

일반적인 KYC 데이터 세트의 구성

플랫폼의 인증 단계에 따라 KYC 데이터 세트에는 보통 다음과 같은 정보가 포함됩니다.

기본 단계(Tier 1)

  • 실명(정부 발급 신분증과 완전히 일치해야 함)
  • 생년월일
  • 국적
  • 이메일 주소
  • 휴대폰 번호

신원 인증 단계(Tier 2)

  • 여권 또는 신분증 앞면 사진
  • 여권 또는 신분증 뒷면 사진(해당되는 경우)
  • 신분증을 들고 촬영한 셀피
  • 라이브니스 체크 영상(일부 플랫폼)
  • 얼굴 특징 데이터(사진 또는 영상에서 추출되는 생체정보)

주소 인증 단계(Tier 2–3)

  • 거주지 주소(상세 주소 수준)
  • 주소 증빙 서류(공과금 고지서, 은행 명세서, 정부 발송 문서 등)

재무 정보 단계(Tier 3 / 고위험 사용자)

  • 자금 출처 설명
  • 직업 및 고용주 정보
  • 예상 거래 규모와 거래 목적
  • 은행 계좌 정보(일부 플랫폼)
  • 세금 식별번호

온체인 정보 연결 단계

  • 입금 주소 이력
  • 출금 대상 주소 기록
  • 제3자 온체인 분석 도구와 공유되는 지갑 클러스터링 데이터

생체정보: 가장 민감한 데이터

얼굴 인식 데이터는 KYC 데이터 중에서도 되돌리기 가장 어려운 정보입니다. 비밀번호는 바꿀 수 있고, 휴대폰 번호도 변경할 수 있습니다. 하지만 내 얼굴 특징은 바꿀 수 없습니다.

대부분의 플랫폼은 얼굴 데이터를 Jumio, Onfido, Sumsub 같은 제3자 KYC 서비스 제공업체에 위탁해 처리합니다. 이는 생체정보가 실제로 거래소 내부가 아니라 외부 제3자 데이터베이스에 저장될 수 있다는 뜻입니다. 이들 업체의 보안 기준과 데이터 보관 정책은 거래소 자체 정책과 다를 수 있으며, 일반 사용자가 계약 세부 사항을 직접 검토하기는 어렵습니다.

플랫폼은 이 데이터를 어떻게 사용할까요?

컴플라이언스 목적(보통 개인정보 처리방침에 명시됨)

  • 거래 모니터링 및 자금세탁방지(AML) 심사
  • 규제기관의 소환장 또는 정보 요청 대응
  • 제재 명단 대조(OFAC, UN 등)
  • 리스크 점수 산정 및 계정 등급 관리

사용자가 알아차리기 어려운 2차 활용 가능성

  • ‘서비스 개선’을 명목으로 제3자 데이터 분석 업체와 공유
  • 마케팅 및 광고 타기팅(일부 플랫폼의 개인정보 처리방침에서 허용)
  • 사용자의 지갑 연관성을 파악하기 위한 온체인 주소 클러스터링 분석

EUR-Lex의 자금 이전 규정(TFR)은 플랫폼이 전송 과정에서 송금인과 수취인 정보를 상대 플랫폼에 전달하도록 요구합니다. 즉, KYC 데이터가 자금 흐름을 따라 다른 기관으로 공유될 가능성도 있습니다.

데이터 유출의 실제 위험

Chainalysis의 암호화폐 공격 방식 연구에 따르면, 거래소 사용자를 대상으로 한 사회공학 공격은 목표의 실제 신원 정보를 바탕으로 준비되는 경우가 많습니다. KYC 데이터베이스는 바로 이런 정보가 가장 집중된 곳입니다.

OWASP의 피싱 공격 분석도 효과적인 피싱에는 실제 이름, 거래 이력 일부, 계정 정보 같은 세부 정보가 포함되는 경우가 많다고 설명합니다. 이런 정보는 데이터 유출 사고에서 나오는 경우가 많습니다. 거래소 KYC 데이터베이스가 침해되면 공격자는 사용자를 정밀하게 노린 피싱에 필요한 요소를 상당 부분 확보하게 됩니다.

과거에도 대형 거래소 데이터 유출로 인해 이름, 주소, 신분증 번호 등 완전한 KYC 기록이 외부로 노출된 사례가 여러 차례 있었습니다. 이러한 데이터가 다크웹에 유통되면 사실상 영구적입니다. 비밀번호처럼 재설정할 수 없기 때문입니다.

KYC 없는 셀프 커스터디 모델과의 데이터 리스크 비교

OneKey 지갑으로 셀프 커스터디를 사용하면 신원 정보를 제출할 필요가 없습니다. 지갑 생성과 개인키 관리는 로컬 기기에서 이루어지며, OneKey의 오픈소스 코드는 누구나 이를 검증할 수 있도록 공개되어 있습니다.

또한 Hyperliquid 같은 온체인 프로토콜에 연결해 거래할 때도 플랫폼 측 KYC가 요구되지 않는 구조에서는 온체인 주소만 표시됩니다. 실전에서는 OneKey 지갑에서 자산을 직접 보관하고, 필요할 때 OneKey Perps를 통해 온체인 퍼프(perps) 거래 흐름을 사용하는 방식이 KYC 데이터 노출을 줄이는 데 도움이 될 수 있습니다. 다만 온체인 주소는 익명이 아니라 가명성에 가깝기 때문에 주소 관리와 기록 분리는 여전히 중요합니다.

현재 내 KYC 데이터 노출 범위를 점검하는 방법

먼저 KYC를 완료한 플랫폼 계정이 몇 개인지 확인해 보세요. 각 플랫폼은 하나의 잠재적인 데이터 노출 지점입니다.

다음으로 각 플랫폼의 개인정보 처리방침을 확인해 데이터 보관 기간, 제3자 공유 조항, 정보주체 권리(삭제 요청 절차 등)를 살펴봐야 합니다. GDPR이 적용되는 EU 지역에서는 ‘잊힐 권리’를 요청할 수 있지만, AML 등 법정 컴플라이언스 의무 때문에 일부 데이터는 강제로 보관될 수 있습니다.

더 이상 사용하지 않는 플랫폼 계정은 공식적으로 탈퇴를 신청하고 개인정보 삭제를 요청하는 것이 좋습니다. 이때 플랫폼의 확인 답변을 별도로 보관해 두세요.

FAQ

Q1. KYC 인증을 완료한 뒤 플랫폼에 내 데이터 삭제를 요구할 수 있나요?

답변: GDPR이 적용되는 지역에서는 데이터 삭제를 요청할 권리가 있습니다. 다만 플랫폼은 보통 자금세탁방지 컴플라이언스 의무를 근거로 핵심 KYC 기록 일부를 보관합니다. 일반적으로 5년 수준이지만 관할권에 따라 달라질 수 있습니다. 계정 탈퇴 후에도 거래 기록과 신분증 파일은 법정 보관 기간이 끝날 때까지 남아 있을 수 있습니다.

Q2. 제3자 KYC 서비스 업체의 데이터 보안은 누가 감독하나요?

답변: 제3자 KYC 서비스 업체는 일반적으로 등록지의 데이터 보호 규제, 예를 들어 GDPR의 적용을 받으며 ISO 27001 같은 정보보안 인증을 보유한 경우도 있습니다. 그러나 사용자가 해당 업체의 실제 보안 수준을 직접 검증하기는 어렵습니다. 컴플라이언스 인증은 최소 기준을 의미할 뿐, 무위험을 뜻하지 않습니다.

Q3. 생체정보가 유출되면 어떤 문제가 생기나요?

답변: 생체정보, 특히 얼굴 특징 데이터는 다른 개인정보와 달리 비밀번호를 바꾸는 방식으로 위험을 제거할 수 없습니다. 유출된 데이터는 다른 플랫폼의 얼굴 인증을 우회하려는 시도에 악용되거나, 다른 개인정보와 결합되어 더 복잡한 신원 도용에 사용될 수 있습니다.

Q4. 온체인 거래에는 정말 신원 데이터가 남지 않나요?

답변: 온체인 거래 자체에는 신원 정보가 필요하지 않습니다. 주소는 익명이라기보다 가명입니다. 하지만 과거 KYC 플랫폼에서 특정 주소로 입금하거나 출금한 적이 있다면, 그 주소는 여러분의 실제 신원과 연결될 수 있습니다. 온체인 주소와 KYC 플랫폼 사용 주소를 철저히 분리하는 것은 온체인 프라이버시를 지키는 기본적인 실천입니다.

Q5. 기존 KYC 데이터 리스크를 줄이려면 어떻게 해야 하나요?

답변: 우선 사용하지 않는 플랫폼 계정을 탈퇴하고 데이터 삭제를 요청하세요. 각 플랫폼마다 서로 다른 강력한 비밀번호를 설정하고, 문자메시지 인증보다 하드웨어 보안 키 기반 2단계 인증을 사용하는 것이 좋습니다. 앞으로의 거래 활동은 점진적으로 KYC 없는 온체인 프로토콜과 셀프 커스터디 환경으로 옮기는 것도 방법입니다. 또한 haveibeenpwned.com 같은 도구를 활용해 데이터 유출 알림을 정기적으로 확인할 수 있습니다.

결론: 내가 무엇을 넘겨줬는지 알아야 합니다

KYC 인증은 단순한 체크박스가 아닙니다. 현실의 신원과 디지털 자산 활동을 장기간 연결하는 결정입니다. 어떤 데이터가 수집되고, 어디에 보관되며, 어떤 위험이 있는지 이해하는 것이 더 나은 선택의 출발점입니다.

이러한 연결을 줄이고 싶다면 OneKey 지갑을 다운로드해 셀프 커스터디 계정을 만드는 것부터 시작할 수 있습니다. 신원 정보를 제출할 필요 없이 자산을 직접 관리할 수 있으며, 온체인 거래가 필요할 때는 OneKey Perps를 활용해 KYC 노출을 줄이는 워크플로를 검토해 볼 수 있습니다.

위험 고지: 이 글은 정보 제공 목적이며 법률, 컴플라이언스 또는 금융 조언이 아닙니다. 국가별 KYC 요건과 데이터 보호 규정은 다를 수 있으므로, 사용자는 본인이 속한 관할권의 구체적인 규정을 확인하고 필요한 경우 전문 법률 자문을 구해야 합니다.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.