③ 개인 트레이더의 5대 보안 사각지대 — 본인이 신중해도 뚫리는 빈틈

여기서부터가 본 기사의 본질입니다. 브로커의 인프라가 견고하다는 사실이 개인 트레이더의 자금을 자동으로 보호해주는 것은 아닙니다. 공격자들은 갈수록 정교해지는 기법으로 "본인이 평균 이상으로 신중하게 관리하는 트레이더조차 뚫고 들어가는" 사각지대를 노립니다. 가장 흔하면서도 가장 무시되는 5가지 빈틈을 정리합니다.

사각지대 1 — 비밀번호 재사용과 자격증명 스터핑

가장 흔하지만 가장 심각한 함정입니다. 트레이더가 거래소 비밀번호를 어떻게 신중하게 관리하든, 다른 웹사이트에서 동일하거나 비슷한 비밀번호를 한 번이라도 사용했다면 그 사이트가 침해되는 순간 거래소 계정도 위험해집니다.

• 글로벌 침해 데이터에서 유출된 ID·비밀번호는 다크웹에서 거래되며 공격자들이 자동화 봇으로 수많은 거래소·금융 사이트에 대입 시도
• "내가 거래소 비밀번호는 잘 관리한다"고 생각해도 5년 전 가입했던 쇼핑몰 비밀번호가 동일하면 그 시점에 이미 노출됨
• 특히 한국 트레이더는 동일 이메일 주소로 수십 개 사이트 가입하는 경향이 있어 더 취약

사각지대 2 — SMS 기반 2FA의 SIM 스왑 취약점

2FA를 켜둔 것만으로 안심하시는 분이 많지만, "SMS로 받는 인증번호"는 이미 글로벌 보안 표준에서 권장 등급에서 제외되었습니다. 그 이유가 SIM 스왑(SIM Swapping)이라는 공격 기법입니다.

• 공격자가 사회공학으로 통신사 직원을 속여 피해자의 전화번호를 공격자의 SIM 카드로 이전
• 피해자는 갑자기 본인 휴대폰 신호가 끊김 (이게 유일한 단서)
• 공격자는 거래소 비밀번호를 알고 있는 상태(사각지대 1로 확보)에서 SMS 인증을 본인 SIM으로 받음
• 로그인·출금 모두 정상 인증으로 통과

한국에서도 통신사 본인인증 우회 사고가 보고되고 있고, 거래소 입장에서는 정상 SMS 인증 통과로 처리되므로 사후 분쟁에서 책임 소재를 가리기 어렵습니다.

사각지대 3 — 정교한 피싱 사이트와 가짜 고객지원

피싱은 더 이상 어색한 한국어 이메일이 아닙니다. 최근의 피싱은 거래소 공식 사이트와 도메인·디자인이 거의 구분 불가능한 수준이며, 가짜 고객지원 직원은 한국어로 매끄럽게 대화하며 신뢰를 쌓은 후 정보를 유도합니다.

• 도메인 위조: brokerconfirm.com → brokerconnfirm.com (n 추가) 같은 한 글자 차이
• 이메일 발신자 위조: 'support@vantage.com'으로 보이지만 실제는 다른 도메인
• 가짜 고객지원: 카톡·텔레그램으로 친근하게 접근해 "보안 검사 중이니 OTP 코드 잠시 알려주세요" 유도
• 긴급성 조작: "계정이 의심 활동으로 잠겼습니다, 24시간 내 인증 필요" 등 심리적 압박

사각지대 4 — 멀웨어 감염 PC·스마트폰

본인이 깨닫지 못하는 사이 PC나 스마트폰에 멀웨어가 설치된 상태라면, 거래소 보안과 본인 비밀번호 관리는 모두 무력화됩니다.

• 키로거(Keylogger): 키보드 입력을 모두 기록 → 비밀번호·OTP 코드 모두 탈취
• 스크린 캡처 멀웨어: 화면을 주기적으로 캡처해 거래소 화면 유출
• 클립보드 하이재커: 복사한 출금 주소를 공격자 주소로 자동 변환
• RAT(원격 접속 도구): 공격자가 본인 PC를 직접 조작 — 거래소 로그인 후 즉시 출금 실행 가능

특히 한국 트레이더는 다양한 무료 EA·인디케이터·차트 도구를 다운로드하는 경향이 있어, 그중에 멀웨어가 포함된 사례가 보고되고 있습니다. 출처 불명의 .ex4 파일·.dll 파일을 무심코 실행하는 것이 가장 흔한 감염 경로입니다.

사각지대 5 — 공용 와이파이와 비신뢰 네트워크

커피숍·공항·호텔의 공용 와이파이를 거래에 사용하시는 경우, 다음 위험에 노출됩니다.

• 중간자 공격(MitM): 공격자가 공용 네트워크에 가짜 액세스 포인트를 설치해 트래픽 가로채기
• 가짜 와이파이: "Free_Airport_WiFi" 같은 이름의 공격자 네트워크
• HTTPS 우회: SSL 스트리핑 공격으로 암호화된 통신을 평문으로 가로챔
• 세션 하이재킹: 로그인 세션 토큰을 탈취해 본인 인증 없이 계정 접근

"내 거래소는 HTTPS 적용되어 안전하다"고 생각하셔도, 공격자가 의도적으로 인증서 경고를 우회하도록 유도하는 기법이 다양하게 존재합니다.

이 5가지의 공통점

위 5가지 사각지대의 공통점은 분명합니다 — "브로커가 아무리 견고한 보안 인프라를 갖춰도, 공격자가 트레이더의 정상 자격증명으로 로그인하는 순간 거래소 입장에서는 정상 거래로 처리된다"는 점입니다. 즉 보안 사고의 90% 이상이 발생하는 지점은 브로커 서버가 아니라 트레이더 본인의 PC·스마트폰·통신·네트워크입니다.

현장에서 자주 마주치는 분쟁 패턴 — 본인 정보 노출 후 책임 전가

여기서 한 가지 짚어야 할 현실이 있습니다. 위 사각지대를 모두 열어둔 채 사고가 발생한 후 트레이더가 거래소에 보상을 요구하는 사례가 빈번하게 보고된다는 점입니다. 거래소 분쟁 현장에서 자주 마주치는 패턴은 다음과 같습니다.

• 본인이 다른 사이트에 비밀번호를 재사용 → 그 사이트 침해로 자격증명이 유출되어 거래소 계정 도용
• 본인이 피싱 메일을 클릭하고 가짜 사이트에 비밀번호·OTP 코드를 직접 입력
• 본인이 카톡·텔레그램으로 가짜 고객지원과 대화하며 "보안 점검 중"이라는 명목으로 OTP 코드까지 직접 알려줌
• 거래소와 이메일 계정의 비밀번호까지 동일하게 재사용해 이메일 자체가 침해 → 거래소가 보낸 본인인증·비밀번호 재설정 메일·OTP 백업 코드까지 공격자가 가로챔
• 출처 불명의 EA·인디케이터에 멀웨어가 포함된 채 본인 PC에 설치되어 키 입력·화면이 그대로 노출

이런 상황에서 자금이 출금되면 트레이더는 "내 계좌가 해킹됐다"며 거래소에 보상을 요구하는 경우가 흔합니다. 그러나 거래소 시스템 관점에서 보면 — 본인 자격증명으로 정상 로그인되었고, 본인이 등록(또는 추가 인증)한 출금 경로로 정상 출금이 처리된 사건입니다. 어떤 보안 위반도 시스템상 발생하지 않았고, 거래소 인프라는 정상 작동했습니다. 거래소가 책임질 영역과 트레이더 본인이 책임질 영역이 분명히 구분되는 사안입니다.

책임 분담의 합리적 기준 — 사업 운영 상식에 비춰보면

비유하자면 본인이 자발적으로 친구에게 집 열쇠를 주고 도어락 비밀번호까지 알려준 후, 그 친구가 가전제품을 빼간 상황과 같습니다. 보험사도, 경찰도, 그 누구도 본인이 자발적으로 권한을 넘긴 사고에 대해서는 보상하지 않습니다. 본인이 어떤 사업체를 운영하신다고 가정하시고 거꾸로 입장을 바꿔 생각해보시면 답이 분명해집니다 — 고객이 본인 부주의로 본인의 자격증명·이메일 비밀번호·OTP 코드를 외부에 노출시킨 결과 발생한 사고를 사업체가 책임지고 보상해야 한다고 한다면, 합리적 사업 운영 자체가 성립하지 않습니다. 어떤 산업의 어떤 사업체도 그런 보상 구조로는 지속 가능하지 않습니다.

가장 안타까운 사례는 거래소 비밀번호와 이메일 계정 비밀번호를 동일하게 재사용한 상태입니다. 공격자가 거래소 자격증명만 확보하면 이메일까지 동시에 열리므로, 거래소가 보낸 본인인증 메일·OTP 백업 코드·비밀번호 재설정 링크를 모두 가로채서 거래소의 모든 정상 보안 절차를 그대로 통과합니다. 이메일 비밀번호의 보안 등급은 거래소 비밀번호와 같거나 오히려 더 높아야 한다는 사실을 인지하지 못한 결과이고, 이런 빈틈을 거래소 측에 떠넘기는 보상 요구는 합리적 책임 분담의 영역을 명백히 벗어납니다. 거래소 인프라가 받쳐줄 수 있는 부분과 본인 정보 관리가 책임져야 하는 부분은 분명히 다릅니다.

이런 분쟁을 미리 막는 길은 단순합니다 — 다음 5단락의 7가지 체크리스트를 본인이 먼저 적용하시는 것입니다. 사고가 발생한 후 책임 소재를 다투는 것보다, 사고가 발생하기 전에 본인 측 빈틈을 메워두는 것이 압도적으로 효율적이고, 결국 본인 자금을 지키는 유일한 길입니다.