최근 몇 년간 SIM 스왑 공격이 급증하고 있습니다. 전화번호를 탈취당해 계정의 자산을 모두 잃은 가상화폐 사용자도 적지 않습니다. 무섭게 들리지만, 미리 제대로 대비해 두면 위험을 최소한으로 줄일 수 있습니다. 오늘은 바이낸스 공식 웹사이트에서 SIM 관련 보안 설정을 제대로 하는 방법을 알기 쉽게 설명해 드리겠습니다. 언제든 관리할 수 있도록 바이낸스 공식 앱을 다운로드하시는 것을 추천합니다. 아이폰 사용자는 iOS 설치 가이드를 참고하세요.
SIM 스왑 공격이란
먼저 SIM 스왑이 무엇인지 설명하겠습니다. 간단히 말하면, 악의적인 제3자가 다양한 수단(통신사 고객센터에 대한 사회공학 공격이나 신분증 위조 등)을 사용해서 통신사가 당신의 전화번호를 그들이 가진 새 SIM 카드로 이전하도록 만드는 것입니다. 이렇게 되면 원래 SIM 카드는 신호가 끊기고, 전화번호로 오는 모든 SMS 인증 코드가 공격자에게 전달됩니다.
바이낸스와 무슨 관계가 있냐고요? 아주 큰 관계가 있습니다. 바이낸스 계정에서 SMS 기반 2단계 인증을 사용하고 있으면서 다른 보호 수단이 없다면, 공격자는 가로챈 인증 코드로 로그인해서 비밀번호를 변경하고 출금까지 할 수 있습니다.
실제 사례
제 친구가 작년에 바로 이런 피해를 당했습니다. 어느 날 갑자기 휴대폰 신호가 끊겨서 통신사 문제인 줄 알고 문의했더니, SIM이 재발급되었다는 것을 알게 되었습니다. 알아차렸을 때는 이미 바이낸스 계정의 USDT 대부분이 이체된 후였습니다. 조사 결과, 누군가 위조 신분증을 가지고 대리점에서 SIM을 재발급받았던 것이었습니다.
농담이 아닙니다. 진지하게 대비해야 합니다.
1단계: SMS 인증을 더 안전한 방식으로 교체하기
가장 중요한 단계입니다. SMS 인증은 전화번호에 의존하는데, 전화번호는 '도난'될 수 있기 때문에 본질적으로 안전하지 않습니다.
Google OTP 활성화
- 바이낸스 앱을 열고 오른쪽 하단의 "프로필" 탭
- "보안"으로 이동
- "Google 인증기" 탭
- 안내에 따라 Google Authenticator 앱 다운로드
- QR 코드를 스캔하여 연동
- 반드시 시크릿 키를 백업하세요 — 종이에 적어 안전한 곳에 보관
Google OTP를 활성화하면 매 로그인과 출금 시 30초마다 갱신되는 일회용 코드를 입력해야 합니다. 이 코드는 기기에서 로컬로 생성되며 전화번호와는 전혀 관계가 없으므로, SIM이 도난당해도 소용이 없습니다.
SMS 인증 비활성화(또는 권한 축소)
Google OTP를 설정한 후, 보안 설정에서 SMS 인증 권한을 낮출 수 있는지 확인하세요. 예를 들어, 출금 시 Google OTP + 이메일 인증만 필요하도록 설정하고 SMS 인증은 제외할 수 있습니다. 그러면 전화번호가 탈취되어도 아무것도 할 수 없습니다.
바이낸스 공식 웹사이트의 보안 설정 페이지에서 간편하게 조정할 수 있습니다.
2단계: 출금 화이트리스트 설정
매우 중요한 기능이지만 모르는 분들이 많습니다.
- 보안 설정에서 "출금 화이트리스트" 찾기
- 기능 활성화
- 평소 사용하는 출금 주소 추가
활성화하면 화이트리스트에 등록된 주소로만 출금이 가능합니다. 계정이 해킹되어도 새 주소를 추가하려면 24시간 대기 기간이 필요하고 이메일 알림이 발송되므로, 부정 이체를 막을 수 있습니다.
자산에 "이중 잠금"을 거는 것과 같아서 매우 실용적입니다.
3단계: 피싱 방지 코드 활성화
바이낸스에는 "피싱 방지 코드" 기능이 있습니다. 자신만 아는 비밀 단어를 설정하면, 바이낸스에서 보내는 모든 이메일에 이 단어가 표시됩니다. 바이낸스를 사칭하는 이메일을 받았는데 이 코드가 없다면 가짜입니다.
설정 방법:
- 보안 설정으로 이동
- "피싱 방지 코드" 찾기
- 기억하기 쉽지만 다른 사람은 추측할 수 없는 단어 설정
이 기능은 피싱 이메일을 식별하는 데 도움이 됩니다. 피싱 이메일은 SIM 스왑 공격의 전초전인 경우가 많습니다. 공격자는 먼저 피싱으로 비밀번호를 빼낸 다음, SIM 스왑으로 인증 코드를 확보합니다.
4단계: 전화번호에 잠금 걸기
바이낸스 측 보안 외에 통신사 측 보안도 강화해야 합니다.
통신사에 연락하여 PIN 설정
대부분의 통신사에서 SIM 카드에 서비스 비밀번호나 PIN 코드를 설정할 수 있습니다. 설정 후에는 SIM 재발급이나 번호 이동 등 전화번호에 대한 모든 조작에 이 비밀번호가 필요합니다.
통신사의 SIM 잠금 기능 활성화
일부 통신사에는 전용 "SIM 보안 잠금" 기능이 있어, 활성화하면 신분증을 가져가도 대리점에서 SIM을 재발급받을 수 없습니다. 자세한 활성화 방법은 통신사 고객센터에 문의하세요.
전화번호를 함부로 노출하지 않기
당연한 말처럼 들리지만 실천하지 못하는 분이 많습니다. 바이낸스에 연동된 전화번호로 이것저것 사이트에 가입하는 것은 피하세요. 해당 사이트에서 정보가 유출되면 공격자가 추적해 올 수 있습니다.
5단계: 다중 인증 조합 활성화
바이낸스 공식 웹사이트의 보안 설정에서 여러 인증 방식의 조합을 구성할 수 있습니다. 권장 설정:
- 로그인 인증: 이메일 + Google OTP
- 출금 인증: 이메일 + Google OTP + 안면 인식
- 비밀번호 변경: 이메일 + Google OTP
이러한 다층 방어의 장점은, 공격자가 여러 채널을 동시에 뚫어야 하므로 난이도가 기하급수적으로 높아진다는 것입니다.
보안 주의사항
반드시 다음 사항을 지켜주세요:
- Google OTP 백업 키는 오프라인으로 보관하세요(종이에 적어 금고에 보관). 절대 스크린샷을 찍어 휴대폰 갤러리에 저장하지 마세요
- 휴대폰 신호가 갑자기 끊기면 즉시 통신사에 연락하여 SIM 무단 재발급 여부를 확인하고, 동시에 바이낸스에 로그인하여 계정을 동결하세요
- 바이낸스 로그인 기록과 기기 관리를 정기적으로 확인하고, 이상 징후가 발견되면 즉시 조치하세요
- 공용 Wi-Fi에서 바이낸스에 로그인하지 마세요
- 바이낸스 공식은 전화나 문자로 인증 코드를 요구하는 일이 절대 없습니다. 이런 연락이 오면 즉시 차단하세요
매월 보안 점검 체크리스트
매달 5분만 투자해서 다음을 확인하세요:
- Google OTP가 정상 작동하는지
- 출금 화이트리스트에 본인 주소만 있는지
- 최근 로그인 기록에 의심스러운 IP가 없는지
- 피싱 방지 코드가 활성화되어 있는지
- 통신사의 보안 설정이 정상인지
이 습관을 들이면 안심하고 지낼 수 있습니다.
자주 묻는 질문
전화번호가 이미 도난당했으면 어떻게 하나요?
당황하지 마세요. 즉시 통신사에 연락하여 번호를 정지시키고, 컴퓨터로 바이낸스에 로그인하여 보안 설정에서 계정을 동결하세요. 동결하면 모든 작업이 일시 중단되며, 전화번호를 복구한 후 해제할 수 있습니다. 자산이 이미 이체된 것을 발견하면 즉시 바이낸스 고객지원에 연락하고 경찰에 신고하세요.
알뜰폰(MVNO) 번호는 위험이 더 높나요?
솔직히 말하면 위험이 다소 높습니다. 알뜰폰 업체의 보안 관리가 대형 통신사만큼 엄격하지 않을 수 있기 때문입니다. 가능하다면 바이낸스에 연동하는 번호는 대형 통신사로 변경하고, 보안 인증 전용으로만 사용하여 다른 서비스에 등록하지 않는 것을 권장합니다.
Google OTP만 사용하고 SMS 인증을 안 쓰면 안전한가요?
대부분의 경우 안전합니다만, 이메일 인증도 함께 활성화하는 것을 권장합니다. 인증이 하나 더 추가되면 보호도 한 층 강화됩니다. Gmail이나 Outlook 같은 대형 이메일 서비스를 사용하고, 이메일 계정 자체에도 2단계 인증을 설정하세요.
바이낸스에서 YubiKey 같은 하드웨어 보안 키를 지원하나요?
네! 바이낸스는 FIDO2 보안 키를 지원합니다. YubiKey 등의 하드웨어 키를 갖고 계시다면 보안 설정에서 추가할 수 있습니다. 하드웨어 보안 키는 현재 가장 안전한 인증 방식입니다. 물리적 장치이므로 원격으로는 해킹이 불가능합니다.
SIM 스왑 공격이 국내에서도 흔한가요?
해외와 비교하면 실명 인증 제도 덕분에 국내에서는 SIM 스왑 공격이 비교적 드물지만, 아예 없는 것은 아닙니다. 특히 SNS에서 활발하게 활동하며 개인 정보를 많이 공개한 경우 위험이 있습니다. 조금 더 시간을 들여 보안 대책을 마련하는 편이 나중에 후회하는 것보다 훨씬 낫습니다.