세계적인 핀테크 기업인 다이렉트 트레이딩 테크놀로지스(DTT)가 대규모 데이터 유출 사고로 30만 명이 넘는 트레이더의 민감한 정보가 유출된 것으로 드러났다.

사우디아라비아를 중심으로 전 세계에서 활동하는 다이렉트 트레이딩 테크놀로지스는 주식, 외환, 귀금속, 에너지, 지수, 차액거래(CFD), 암호화폐 등 다양한 금융 상품에 대한 거래 플랫폼을 제공한다. 또한 핀테크 솔루션에 대한 화이트 라벨 서비스를 제공하며 영국, 리투아니아, 아랍에미리트, 쿠웨이트, 콜롬비아, 터키, 바레인, 레바논, 바누아투 공화국에 걸쳐 다양한 지사를 운영하고 있다.

유출된 정보에는 6년에 걸친 거래 활동, 이름, 이메일 주소, 회사에서 보낸 이메일, IP 주소 등 놀라울 정도로 많은 양의 민감한 정보가 담긴 여러 개의 데이터베이스 백업이 포함되어있었다. 놀랍게도 이 회사의 이메일 주소를 가진 사용자의 비밀번호가 일반 텍스트로 노출되어 있어 심각한 보안 위험을 초래했다.

유출된 데이터는 1. 거래 계좌 활동: 30만 명 이상의 사용자에 대한 상세한 거래 활동 기록. 2. 통신 기록: DTT가 보낸 이메일 내용. 3. 사용자 자격 증명: 노출된 사용자 이름, 이메일 계정의 일반 텍스트 비밀번호, DTT 거래 플랫폼 액세스를 위한 해시된 비밀번호. 4. 개인 정보: 사용자의 이름, 이메일 주소, 전화번호, 집 주소, 신용카드 정보 일부. 5. 내부 의견: 일부 고객에 대한 경멸적인 용어를 포함한 홍보팀의 내부 발언. 6. 화이트 라벨 서비스 자격증명: 데이터베이스 위치 및 협상된 수수료 비율을 포함하여 화이트 라벨 서비스를 사용하는 고객의 자격 증명을 일반 텍스트에 노출. 7. KYC 문서 메타데이터: KYC 문서가 저장된 위치, 파일 이름, 유형, 만료일 및 기타 메타데이터 등이다.

유출된 데이터는 신원 도용부터 계정 탈취에 이르기까지 심각한 위험을 초래할 수있다. 이번 유출 사고는 회사 내부 커뮤니케이션과 자격 증명까지 그 범위가 확대되어 핀테크 운영의 모든 측면에 걸쳐 강력한 사이버 보안 조치가 필요하다는 것을 보여준 사례다.

이번 침해 사고는 빠르게 성장하는 핀테크 업계에서 강력한 사이버 보안 조치가 매우 중요하다는것을보여주고있다. 핀테크 기업은 매우 민감한 고객 데이터를 관리하고 저장하기 때문에 금융 계좌를 악용하려는 위협 공격자의 주요 표적이 되고있다.

이 유출 사고의 여파는 개별 트레이더에게 영향을 미칠 뿐만 아니라 DTT의 화이트 라벨 서비스를 사용하는 파트너 기업들에게도 심각한 위협이 될 수있다.