프롭 트레이딩 회사인 탑스텝(Topstep)이 트레이더들의 사회보장번호를 유출했습니다. 이번 유출 사건의 의미는 무엇일까요?

전업 트레이딩에서 위험을 생각할 때 트레이더들은 레버리지, 손실폭, 청산 등을 떠올립니다. 하지만 대부분은 급여 지급을 위해 작성한 KYC 양식에 숨겨진 위험을 간과합니다. 2025년 말, Topstep에 발생한 두 건의 사이버 공격으로 트레이더들의 이름, 사회보장번호, 정부 발행 신분증 정보가 유출되었습니다.

현재 집단 소송이 제기되고 있습니다. 그리고 이 이야기는 KYC 인증 계정을 보유한 모든 자금 지원 트레이더가 지금 당장 던져야 할 질문을 제기합니다 .

두 가지 별개의 사건이 있었고, 두 사건 모두를 이해하는 것이 중요합니다.

첫 번째 사건은 2025년 9월 8일에 발생한 DDoS 공격이었습니다. 광범위한 내부 검토 끝에 Topstep은 2025년 12월 3일, 9월 8일과 10월 16일 사이에 개인 식별 정보가 포함된 특정 파일에 무단 접근이 발생했을 가능성이 있음을 발견했습니다. 피해를 입은 거래자들은 2026년 1월 초에 이름과 사회보장번호가 유출되었을 수 있음을 알리는 안내문을 받았습니다.

두 번째 공격은 2025년 12월 14일에 발생한 계정 정보 탈취 공격으로, 다음 날 발견되었습니다. 탑스텝은 초기 공식 발표에서 이 사건을 거래자들이 다른 해킹된 사이트에서 사용한 비밀번호를 재사용했기 때문이라고 주장했는데, 이는 거래 업계로부터 상당한 비판을 불러일으켰고 현재 진행 중인 소송의 원인이 되었습니다.

탑스텝은 이에 대응하여 의심스러운 IP 트래픽을 차단하고, 비밀번호 재설정을 강제하며, 이전에는 선택 사항이었던 다단계 인증을 의무화하고, 피해 사용자에게 무료 신원 도용 방지 서비스를 제공했습니다. 현재 집단 소송이 활발히 진행 중입니다.

우리는 이번 사건에 대한 대부분의 보도가 회피해 온 점에 대해 직접적으로 이야기하고자 합니다.

탑스텝만 특별히 과실이 있는 것은 아닙니다. 단지 적발된 회사일 뿐입니다. 더 근본적인 문제는 구조적인 것입니다. KYC(고객 신원 확인)를 요구하는 모든 프롭 스포츠 회사는 최소한 정부 발행 신분증, 그리고 많은 경우 사회보장번호나 납세자 식별번호를 포함하는 데이터 세트를 보유하고 있습니다. 이러한 데이터는 서버에 저장되어 있으며, 바로 그 서버들이 공격 대상이 될 수 있습니다.

전업 트레이딩 업계는 데이터 보안 인프라에 대한 면밀한 검토 없이 급속도로 성장해 왔습니다. 업계 전반을 살펴보면, 대부분의 업체는 의무적인 보안 기준을 준수해야 하는 규제 대상 금융 기관이 아닙니다. 이들은 기술적 보안 태세에 대한 투자 수준이 제각각인 사기업입니다. 결제 처리 요건을 충족하기 위해 신분증을 수집하는 과정에서 트레이더들이 제출 전에 제대로 고려하지 않는 잠재적 책임 문제가 발생합니다.

문제는 탑스텝이 더 잘했어야 했는지 여부가 아닙니다. 모든 자금 지원 트레이더가 다음 KYC 제출 전에 스스로에게 던져야 할 질문은 바로 이것입니다. "이 회사는 나에 대한 어떤 데이터를 보유하고 있으며, 어디에 저장되어 있고, 그 데이터가 적절하게 보호되고 있다는 증거는 무엇인가?"

우리가 분석한 사례에 따르면, 암호화폐 전업 트레이더는 선물이나 외환 전업 트레이더보다 두 가지 이유로 더 심각한 위험에 직면합니다.

첫째, 암호화폐 프로프 트레이딩 업체들은 규제 감독이 제한적인 국제적인 환경에서 운영됩니다. 결제 처리 업체에 대한 PCI-DSS와 같은 의무적인 보안 표준이나 등록된 선물 거래 업체에 대한 상품선물거래위원회(CFTC)의 사이버 보안 기준이 존재하지 않습니다. 따라서 적절한 데이터 보호의 기준은 사실상 각 업체의 자체적인 판단에 달려 있습니다.

둘째, 암호화폐 자기매매 거래의 수익 지급 구조는 가입 시점이 아닌 출금 단계에서 신원 확인을 요구하는 경우가 많습니다. 이는 거래자들이 이미 거래를 시작하고 수익을 인출해야 하는 시점에 KYC 서류를 제출하는 경우가 있다는 것을 의미합니다. 이러한 시점은 거래 동기가 매우 높은 상태이므로 회사의 보안 관행을 꼼꼼히 검토하는 것은 뒷전으로 밀리기 쉽습니다.

무비테(Mubite)의 챌린지 규정은 가입 시 또는 챌린지 단계 자체에서 KYC(고객 신원 확인)를 요구하지 않습니다. 신원 확인은 지급 단계에서만 필요하며, 이는 민감한 신원 정보가 모든 등록자로부터 사전에 수집되는 것이 아니라, 챌린지를 통과하고 출금을 요청한 소수의 거래자에게서만 수집된다는 것을 의미합니다. 이러한 정보 수집 기간의 단축은 거래자가 단 한 번의 거래도 하기 전에 서류를 수집하는 회사들과의 중요한 구조적 차이점입니다.

만약 어떤 프롭 트레이딩 회사에 KYC 서류를 제출했다면, 해당 회사가 보안 사고를 공개했는지 여부와 관계없이 다음과 같은 조치를 취하는 것이 좋습니다.

• 부동산 투자 회사에 사회보장번호(SSN)를 제출했다면 신용 모니터링 서비스에 가입하세요. 무료 서비스로는 신용평가기관 자체 모니터링 도구가 있으며, 미국 내 많은 회사는 개인정보 유출 사고 발생 시 법적으로 이러한 서비스를 제공해야 합니다.

• 거래 플랫폼, 결제 처리 시스템 또는 거래 활동에 사용되는 이메일 주소와 연결된 모든 계정에 다단계 인증을 활성화하십시오. 자격 증명 탈취 공격은 거래자들이 여러 플랫폼에서 비밀번호를 재사용하기 때문에 특히 성공적입니다.

• 개인 정보를 보유하고 있는 업체들이 신분증 정보의 저장, 암호화 및 접근 방식에 대한 보안 또는 개인정보 보호 정책을 게시했는지 확인하십시오. 해당 정보가 게시되어 있지 않다면, 서류를 제출하기 전에 직접 문의하십시오.

• 본인확인절차(KYC)를 요구하는 모든 전업 거래 회사의 계좌에서 비정상적인 활동, 특히 지급 요청 및 계좌 설정 변경 사항이 있는지 주의 깊게 살펴보십시오.

자금이 투입된 거래 계좌를 보호하는 위험 관리 원칙은 계좌에 예치된 개인 정보에도 동일하게 적용됩니다. 손절매 없이 거래해서는 안 됩니다. 신분증을 제출할 때는 그 신분증에 적용되는 보호 조치를 제대로 이해하지 못한 채 제출해서는 안 됩니다.