거래 수량

[이미지 = utoimage]

246억 개의 크리덴셜이라는 건 실로 어마어마한 숫자다. 지구에 거주하는 모든 인간의 네 배에 해당하는 것으로 모든 사람이 네 번씩 크리덴셜을 도난당했다는 것과 같은 지표가 되기 때문이다. 또한 2020년에 비해 4배 증가한 수치이기도 하다. 이러한 상황을 조사하고 발표한 보안 업체 디지털셰도우즈(Digital Shadows)에 의하면 “자본금이 이렇게 든든하니 공격자들이 계속 부유해질 수밖에 없다”라고 표현한다. 실제 지금 세상은 전례를 찾기 힘든 크리덴셜 탈취 및 계정 탈취 공격에 시달리는 중이다.

earticle

본 연구에서는 정보거래자가 정보를 취득한 다음 가격추종거래와 수량추종거래가 이루 어지는 상황을 모형화하여 가격추종거래와 수량추종거래가 미치는 영향을 살펴보았다. 먼 저양의 가격추종거래자가 존재할 경우 정보의 과다반영을, 음의 가격추종거래자가 존재할 경우 정보의 과소반영을 가져오게 된다. 다음으로 정보거래자는 정보를 취득하는 시점에 는 평균적으로 정보를 거래량에 반영하지 않는다. 이러한 결과는 모형의 설정에 의한 것 이긴 하나, 이후의 가격추종거래 및 수량추종거래의 효과를 감안하여 의사결정하기 때문 으로 볼 수 있으며, 정보거래자가 전략적으로 정보를 노출할 가능성을 의미하기도 한다. 또한 정보거래자는 양의 가격추종거래가 존재할 때 양의 정보를 취득하는 경우 매도를 선 택하여 장기적인 효용을 극대화하는 것으로 나타났다. 더불어 정보거래자는 가격 상승에 대해 매도를 선택하여 최종시점에 내재가치로의 수렴에 따른 가격하락시 이익을 극대화하 는 것으로 나타났다. 가격변화의 변동성과 자기상관에 대해 추종거래가 미치는 영향을 살펴본 결과는 다음과 같다. 가격추종거래자와 수량추종거래자가 함께 존재할 경우 가격추종거래자는 가격변동 성을 증가시켜 시장의 불안정성을 키우는 반면, 수량추종거래자는 가격변동성을 감소시켜 시장의 안정성에 기여하는 역할을 한다. 한편 후기정보 거래자가 존재하지 않는 경우를 가정한 본 연구의 설정에서 수량추종거래자가 후기정보 거래자를 대신하여 1, 2시점간의 가격변화의 자기상관에 음의 관계를 가져오고 있으며 이는 수량추종거래자가 참고하는 정 보인 전기의 정보거래자의 거래량이 평균적으로 정보를 반영하지 않는다는 결과를 감안할 때 수량추종거래자는 정보를 이용하여 의사결정하지 않음에도 정보를 보유한 것과 유사한 역할을 실질적으로 수행하는 것으로 해석할 수 있다.

마진 거래란 – 거래량

외환 거래 시장은 일일 거래량이 수십억 달러에 달하는 가장 큰 분산 시장입니다. 은행간 시장의 최소 거래량은 매우 크기때문에, 작은 규모의 거래 수량 자산을 소유 한 개인 투자자는 접근 할 수 없습니다. 마진 거래로 인해 개별 투자자는 다양한 통화쌍과 온라인 거래를 할 수 있는 기회를 가지게 되었습니다.

마진 거래란?

그럼 마진 거래란 무엇을 말하는 것일까요? 마진 거래는 간단히 거래를 집행하는 것인데, 그 수량이 투자자의 자금 수준을 초과합니다. 다음과 같은 절차를 가집니다. 예를 들어 고객은 100 달러의 자금만 투자하고 중개 회사로부터 신용(레버리지)을 받아서 대량 거래를 수행하고 높은 수익을 올릴 수 있습니다. 레버리지 없이는 거래자가 추가 자금을 투자하거나 소량 거래를 해야합니다.

마진 거래의 정의는 매우 간단합니다. "마진"이라는 단어는 일반적으로 브로커가 특정 수량의 개설 포지션에 대해 고객의 예금에서 일시적으로 보유하고 있는 담보를 말합니다. 마진은 특정 금액의 신용(레버리지)을 얻기 위해 필요한 전제 조건인 예치금이라고도 불립니다. 마진 거래는 포지션을 열고 닫는 두 개의 반대 거래의 연속적인 수행을 의미합니다. Forex 시장 거래자들은 실제로 통화를 구매하는 것이 아니라 금리 차이에 관심을 가지고 이에 투기하여 이익또는 손실이 발생합니다.

마진 거래 예

더 나은 이해를 돕기 위하여, 예를 들어보겠습니다.

EURUSD 통화 쌍으로 10.000 거래량의 포지션을 개설하기로 결정했다고 가정해 보겠습니다. 현재 시장 가격은 1.0911 / 1.0912입니다. 이는 포지션을 개설하려면 약 $11,000가 필요하다는 것을 뜻합니다. 마진 거래로 $200의 자본을 가지고 1 : 100 Forex 레버리지를 이용하여 이 포지션을 개설 할 수 있습니다.이 경우 거래 계좌에 총 $20,000 잔액이 있기 때문입니다. 마진 거래는 방향에 관계없이 시장에 투기를 허용하기 때문에 롱/숏 포지션을 모두 열 수 있습니다.

위의 예시에서 마진 거래의 가장 주요한 특징인 외환거래 레버리지로 인하여 마진 거래가 쉽고 모든 사람이 이용할 수있는 방법임이 분명해졌습니다. 레버리지는 중개인의 신용 규모에 대한 고객 자금의 비율로 정의됩니다. 현명하게 사용하면 거래 결과에 긍정적인 영향을 줄 수 있으며, 그렇지 않으면 반대의 결과 또한 일어날 수 있습니다. 시장이 다른 방향으로 진행되는 경우 순간적으로 전체 자금을 잃을 수 있기 때문에 단일 계좌 개설시 잔고 전체를 사용하는 것은 절대 권장하지 않습니다.

임직원 또는 주요주주가 그 법인의 특정증권등을 6개월 이내에 매수 후 매도하거나, 매도 후 매수하여 이익이 발생한 경우에 내부정보 이용여부를 불문하고 법인은 동 차익에 대해 반환청구를 할 수 있습니다.

2. 반환대상자

임원•주요주주는 특정증권 소유상황 보고 주체와 동일

직원은 주요사항보고서(법 §161①) 제출 사항의 수립•변경•추진•공시 업무에 종사하는 직원 및 재무•회계•공시•기획•연구개발에 종사하는 직원이 반환대상자에 해당됩니다.

3. 단기매매차익 발생 거래 수량 기준

거래대상인 특정증권은 임원등 특정증권 소유상황 보고 대상과 동일합니다.

임직원의 경우 매도•매수 한 시점에 임직원이면 반환대상에 해당하나, 주요주주의 경우 매도•매수 모든 시점에 주요주주의 지위에 있어야 합니다.

4. 단기매매차익 반환의 주요 예외(영 §198, 단차반환규정 §8)다운로드

이미 소유하고 있는 스톡옵션, CB, BW 등 특정증권의 권리행사에 따라 주식을 취득하는 경우

모집•매출하는 특정증권등의 청약에 따라 취득하는 경우

우리사주조합원이 우리사주조합을 통하여 주식을 취득하는 경우(의무 예탁의 경우에 한함) 등

1. 산정방법(영 §195①) 다운로드

과거 6개월 이내에 1회 매수•매도한 경우

단기매매차익 = (매도단가 - 매수단가) X 매매일치수량 * - (매매거래수수료 + 증권거래세액 + 농어촌특별세액)
* 매수수량과 매도수량 중 적은 수량

매도후 6개월 이내 매수하여 얻은 이익도 반환대상임을 유의하시기 바랍니다.

과거 6개월 이내에 2회 이상 매수•매도한 경우

가장 먼저 매수(매도)한 수량과 가장 먼저 매도(매수)한 수량을 대응하여 위의 방법으로 계산한 금액을 이익으로 산정하고, 그 다음의 매수•매도 수량에 대해서는 대응할 수량이 없어질 때까지 같은 방법을 적용하여 차익 산정(선입선출법)

2. 가격 및 수량의 환산(영 §195②, 단차반환규정 §6) 다운로드

매수 및 매도 특정증권등이 종류는 같으나 종목이 다른 경우(이종종목)

이종종목의 매도•매수가격은 매매일 보통주 종가로 환산

매수 및 매도 특정증권등의 종류가 다른 경우(이종증권)

매매일 해당 특정증권등의 권리행사 대상이 되는 지분증권의 종가로 환산

매매일 해당 특정증권등의 권리행사가 이루어진다면 취득할 수 있는 것으로 환산되는 지분증권의 수량으로 환산

3. 단기매매차익의 반환절차 다운로드

Q 내부정보 이용 의사가 없는 경우라도 단기매매차익이 발생할 수 있는지?

A 답변내용

상장법인의 내부자는 미공개 내부정보를 이용할 개연성이 크기 때문에, 단기매매차익 반환제도는 미공개 내부정보 이용 여부를 불문하고 적용됩니다(대법원 2008. 3. 13. 선고 2006다73218 판결 참조).

즉, 주권상장법인의 임•직원 또는 주요주주에게 내부정보 이용 의사가 없더라도 특정증권등을 매수한 후 6개월 이내에 매도하거나, 매도한 후 6개월 이내에 매수하여 이익이 발생하였다면 법령에서 정한 예외사유에 해당되지 않는 한 단기매매차익 반환규정이 적용될 수 있습니다.

가. 선입선출법의 적용

6개월 이내에 다수의 거래가 있는 경우 가장 먼저 매수(매도)한 수량과 가장 먼저 매도(매수)한 수량을 대응하여 순차적으로 적용(선입선출)하되, 6개월이 경과한 매매는 단기매매차익 산정 대상에서 제외됨

나. 단기매매차익 산정 예시

3월 매수와 8월 매도를 우선 대응한 후 남은 8월의 매도 잔량(100주)을 4월의 매수와 순차적으로 대응하나, 이후 4월의 매수 잔량(100주)에 대해서는 11월의 매도가 6개월을 초과하므로 단차산정시 이를 고려하지 않음
⇒ (700원-500원) × 200주 + (700원-600원) × 100주 = 50,000원

Q 매수 특정증권등과 매도 특정증권등의 종류가 다른 경우 (이종증권)도 단기매매차익 반환대상이 되는지?

A 답변내용

단기매매차익 반환대상인 특정증권 등에는 신주인수권부사채(BW), 전환사채(CB) 등 지분증권(예 : 주식) 외의 증권도 포함되며, 지분증권 외의 증권은 단기매매차익 계산을 위해 그 가격과 수량을 보통주와 동일하게 환산해야 합니다.

이종증권 간 매매시 가격은 매매일에 권리행사 대상이 되는 지분증권의 종가로, 수량은 권리행사로 취득할 지분증권의 수량으로 환산하여 단기매매차익을 계산합니다(영 §195②, 단차반환규정 §6).

가. 매수 및 매도 특정증권등의 종류가 다른 경우(이종증권)의 단기매매차익 산정방법

매매일의 당해 특정증권등의 권리행사 대상이 되는 지분증권의 종가로 환산

매매일에 당해 특정증권등의 권리행사가 이루어진다면 취득할 수 있는 것으로 환산되는 지분증권의 수량으로 환산

나. 단기매매차익 산정 예시

사례 : BW 매수 → 권리 행사(주식취득) → 주식 매도

(1.1) BW 매수
* 매수가 9천원, 액면 1만원, 행사가 95원, 주식 종가 90원

(3.1) 권리 행사로 주식 105주 취득

(4.1) 권리 행사한 주식 105주 매도(매도단가 100원)

매수 특정증권(BW)과 매도 특정증권(주식)의 종류가 다르므로 신주인수권부사채 권리행사의 대상이 되는 지분증권(주식)으로 수량과 가격을 환산
- 수량 : 1만원/95원 = 105주
- 가격 : 90원(매매일의 주식 종가)

단기매매차익 계산 : (100 - 90원) × 거래 수량 105주 = 1,050원

Q 단기매매차익 반환 예외 사유가 발생할 경우 단기매매차익반환 적용은?

A 답변내용

가. 단기매매차익 반환 예외의 적용방법

임•직원 또는 주요주주가 행한 매매의 성격 및 기타 사정 등을 감안하여 단기매매차익 반환 예외로 규정되어 있는 매매의 경우 단기매매차익 산정시 당해 매수 또는 매도가 발생한 것으로 보지 않습니다.

※ 당해 매수 또는 매도를 없는 것으로 보고 단기매매차익 산정방식을 적용함

나. 단기매매차익 산정 예시

10월의 자사주를 상여로 지급받아 취득한 보통주는 단기매매차익 반환의 예외대상이므로 이를 단차산정시 고려하지 않고, 그 밖의 거래에 대해서만 단기매매차익을 산정함(11월 장내매도한 보통주가 10월 자사주를 상여로 지급받아 취득한 주식이라 하더라도 11월의 보통주 장내매도는 단차적용 대상임)

⇒ (700원-500원) × 50주 = 10,000원

Q 제3자 배정 유상증자(사모)로 매수한 주식이 보호예수되었는데, 동 기간 중에 기존의 다른 주식을 매도한 경우에도 단기매매차익 반환대상이 되는지?

A 답변내용

증권신고서를 제출한 경우(공모 * )는 단기매매차익 반환의 예외인 ‘모집•매출시 청약하여 취득하는 경우’(영 §198(9))에 해당되나, 증권신고서를 제출하지 않는 제3자배정 유상증자(사모)는 예외사유에 해당되지 않습니다.
* 50명 이상의 자에게 신규발행 또는 기발행된 증권의 취득•매매 청약을 권유하는 행위

따라서 제3자배정 유상증자 주식의 취득일(납입기일 다음날)로부터 6개월 전후의 기간 내에 매도하여 이익이 발생하는 경우 단기매매차익 반환대상에 포함됩니다.

단기매매차익 제도는 ‘매수 후 6개월 이내 매도’만을 반환 요건으로 정하고 있고(법 §172①), 매수한 특정증권과 매도한 특정증권이 동일한 특정증권일 것을 요하지 않고 동일한 법인이 발행한 증권 등이면 해당됩니다.

따라서 매수한 특정증권이 보호예수되었더라도 그 매수일로부터 6개월 전후의 기간 내에 동일한 법인이 발행한 다른 증권을 매도하여 이익이 발생하는 경우 단기매매차익 반환대상이 됩니다.

Q 임원 선임 이전에 매수하고 임원 선임 이후 매도한 경우에도 6개월 이내 매매하였다면 단기매매차익 반환대상이 되는지?

A 답변내용

주권상장법인의 임•직원은 특정증권등의 매도 또는 매수 어느 한 시점에만 임•직원이어도 단기매매차익 반환대상자가 됩니다.

따라서 임•직원이 되기 전에 매수한 주식을 6개월 이내에 임•직원이 된 후 매도하거나, 임•직원일 때 매수한 주식을 6개월 이내에 퇴사 후 매도한다면 단기매매차익 반환대상이 됩니다.

※ 다만, 주요주주는 거래 수량 매도 및 매수 모든 시점에 주요주주의 지위에 있어야 단기매매차익 반환대상자가 됩니다.

CASE 1 : 내부정보 이용 의사가 없어도 단기매매차익 발생할 수 있어 유의

코스닥 상장법인 A社 대표이사 甲은 ‘16.10월 A社 주식을 매도한 후 주가가 낮은 상태로 지속되자 책임경영 차원에서 ’17.3월 주식 양수계약을 체결하여 이익이 발생
⇒ 甲은 내부정보 이용 의사 없이 양수 계약을 체결하였으므로 단기매매차익 반환대상에 해당되지 않는다고 오인하였으나, 내부정보를 이용하지 않았더라도 특정증권등을 매도한 후 6개월 이내에 매수하였기 때문에 단기매매차익 규정이 적용

주권상장법인의 임•직원 또는 주요주주에게 특정증권 등을 매수한 후 6개월 이내에 매도하거나 매도한 후 6개월 이내에 매수하여 이익이 발생하였다면, 법령에서 정한 예외사유가 아닌 한 단기매매차익 반환 규정이 적용

주권상장법인의 임•직원 * 또는 주요주주는 내부자로서 미공개 내부정보를 이용할 개연성이 크기 때문에 단기매매차익 반환제도는 미공개 내부정보 이용 여부를 불문하고 적용 **

* 직원의 경우 공시•재무•회계 등 일정업무에 종사하는 자로 한정(단기매매차익 반환 및 불공정거래 조사•신고등에 관한 규정 §5)

** 대법원 2008.3.13. 선고 2006다73218 판결 참조

CASE 2 : 단기매매차익 반환 규정은 이종증권간에도 적용됨을 유의

상장법인 A社 주요주주 甲은 ‘15.9월 A社 신주인수권부사채를 매수하고, ’15.12월 A社 보통주를 매도하여 이익이 발생
⇒ 甲은 신주인수권사채 매수 및 보통주 매도로 증권의 종류가 달라 단기매매차익 산정이 되지 않는다고 오인하였으나, 이종증권의 경우에도 적용

6개월이내 대응되는 매수•매도증권이 종목•종류가 다른 경우 * 에도 단기매매차익 반환규정이 적용됨

* 매수•매도증권이 종류는 같으나 종목이 다른 경우(이종종목):ex)보통주 매수•우선주 매도

매수•매도증권의 종류가 다른 경우(이종증권) :ex) 보통주 매도•전환사채 매수

CASE 3 : 제3자배정 유상증자(사모)로 취득한 주식의 보호예수 기간 중에 기존 주식을 매도한 경우에도 단기매매차익 반환대상

코스닥 상장법인 A社 주요주주 甲은 ‘15.3월 제3자배정 유상증자(사모)를 통해 A社의 보통주를 취득하고(보호예수기간 : 1년), ’15.4월 동 유상증자(사모)에 참여하기 이전부터 소유하고 거래 수량 있던 A社 보통주를 매도하여 이익이 발생
⇒ 甲은 보호예수된 주식이 아닌 기존 보유하고 있던 주식을 매도한 것이므로 단기매매차익 규정이 적용되지 않는 것으로 오인하였으나, 이 경우 보호 예수 기간 중에 거래 수량 매매한 경우에도 단기매매차익 규정이 적용

증권신고서를 제출한 경우(공모 * )는 단기매매차익 반환의 예외인 ‘모집•매출시 청약하여 취득하는 경우’에 해당되나, 증권신고서를 제출하지 않는 제3자배정 유상증자(사모) 는 예외사유에 미해당

* 50명 이상의 자에게 신규발행 또는 기발행된 증권의 취득•매매 청약을 권유하는 행위

제3자 배정 유상증자 주식의 취득일(납입기일 다음날)로부터 6개월 전후의 기간내에 매도하여 이익이 발생한 경우 단기매매차익 반환대상에 포함

한편, 매수한 특정증권이 보호예수되었더라도 그 매수일로부터 6개월 전후의 기간 내에 동일한 법인이 발행한 다른 증권을 매도하여 이익이 발생한 경우에도 단기매매차익 반환대상이 됨

CASE 4 : 임원 선임 전에 매수, 선임 후에 매도하여 단기매매차익 발생

코스닥 상장법인 A社 임원 甲은 임원선임일 이전인 ‘15.11. A社 주식을 매수하고, 임원선임일 이후인 ’16.2. A社 주식을 매도하여 이익이 발생

임•직원이 되기 전에 매수한 거래 수량 주식을 6개월 이내에 임•직원이 된 후 매도하거나, 임•직원일 때 매수한 주식을 6개월 이내에 퇴사 후 매도하여 이익이 발생시 단기매매차익 반환대상

earticle

본 연구는 가격추종거래자와 수량추종거래자를 포함한 간단한 연구모형을 이용하여 수익률의 시 거래 수량 계열특성을 도출한 다음 이를 한국주식시장에서 확인하고자 한 연구이다. 먼저 가격추종거래자만 존 재하는 경우 수익률은 AR(1)과정으로 나타날 수 있으며, 가격추종거래자와 정보거래자의 거래량을 추종하는 수량추종거래자(i)가 존재하는 거래 수량 경우 ARMA(1,1)과정으로, 가격추종거래자와 가격추종거래 자의 거래량을 추종하는 수량추종거래자(pf)가 존재하는 경우에는 AR(2)과정으로 나타날 수 있다. 마지막으로 가격추종거래자와 수량추종거래자(i, pf)가 모두 존재하는 경우에는 ARMA(2,1)과정으로 나타날 수 있음을 살펴보았다. 한국주식시장의 자료를 이용하여 이러한 시계열특성이 나타나는지를 살펴보았다. 먼저 지수 수준에 서는 KOSPI지수는 장기간에 걸쳐서 AR(1), AR(2)과정이 나타나는 반면 1년, 3년의 기간에서는 이 러한 특성을 확인하기 어려웠다. KOSDAQ지수는 KOSPI지수와 달리 AR(1), AR(2), ARMA(1,1) 모 두 유의한 계수가 나타나는 기간들이 상당수 존재하였으며 따라서 수량추종거래자의 존재가능성이 높음을 의미하는 것으로 해석할 수 있다. 다음으로 개별 종목 수준에서의 분석에서는 AR(1) 과정으 로 추정할 때 유의하게 추정되는 경우가 다수 나타났다. 특히 유의한 양의 AR(1) 계수가 나타나는 경우가 많았으나 최근의 자료를 이용할 경우 유의한 AR(1)과정을 따르는 경우가 감소하는 한편 AR(1)의 계수가 음의 값을 가지는 비율은 증가하는 것을 볼 수 있어 시장 전반에 걸쳐 양의 가격추 종거래가 강화되는 경향을 확인하였다. 한편 KOSPI200 구성종목에서는 반대로 음의 AR(1)계수를 가지는 경우가 감소하는 것을 볼 수 있어 양의 가격추종거래가 강화되는 거래 수량 것이 시가총액이 작은 종 목에서 두드러지게 나타나는 반면 시가총액이 큰 KOSPI200 구성종목에서는 양의 가격추종거래가 큰 영향을 미치지 않고 있었다. 전체 표본 중 약 30%는 AR(2) 과정으로 추정할 때 유의하게 나타 나 수량추종거래자(pf)의 존재 가능성을 시사하고 있었으며 ARMA(1,1) 과정으로 추정 시 AR(1) 계 수와 MA(1) 계수의 부호가 반대인 경우가 거의 대다수를 차지하여 상당수의 주식에서 수량추종거 래자(i)가 가격추종거래자보다 활발히 활동하고 있는 개연성을 의미하는 것으로 판단된다. 이러한 특성들은 ARMA(2,1) 과정으로 추정하는 경우에도 지속적으로 발견되었다.

요약
Ⅰ. 서론
Ⅱ. 분석모형
1. 거래자의 설정
2. 가격추종거래자만 존재할 때
3. 가격추종거래자와 수량추종거래자(i)가 존재할 때
4. 가격추종거래자와 수량추종거래자(pf)가 존재할 때
5. 가격추종거래자와 수량추종거래자(i, pf)가 존재할 때
Ⅲ. 수익률 자료를 이용한 실증분석
1. 자료의 선택
2. 일별 지수수익률
3. 일별 개별주식수익률
Ⅵ. 결론
참고문헌

[보안뉴스 문가용 기자] 현재 보안 업계에서 가장 주목을 많이 받는 기술을 하나 꼽는다면 ‘비밀번호 대체재’라고 말할 수 있다. 비밀번호라는 오랜 보안 장치를 없애고, 그걸 대신할 만한 무언가를 만드는 것이 큰 화두였다. 하지만 비밀번호에 대한 일반 대중들의 선호도가 너무나 높기 때문에 아직까지는 그 어떤 기술로도 비밀번호를 대체하는 게 쉽지 않아 보인다. 그렇기에 현재 ID와 비밀번호 조합을 일종의 자원처럼 활용하는 범죄자들의 호기는 이어질 것으로 전망된다. 현재 다크웹에서 거래되는 크리덴셜은 246억 개라는 조사 결과가 발표되기도 했다.

[이미지 = utoimage]

246억 개의 크리덴셜이라는 건 실로 어마어마한 숫자다. 지구에 거주하는 모든 인간의 네 배에 해당하는 것으로 모든 사람이 네 번씩 크리덴셜을 도난당했다는 것과 같은 지표가 되기 때문이다. 또한 2020년에 비해 4배 증가한 수치이기도 하다. 이러한 상황을 조사하고 발표한 보안 업체 디지털셰도우즈(Digital Shadows)에 의하면 “자본금이 이렇게 든든하니 공격자들이 계속 부유해질 수밖에 없다”라고 표현한다. 실제 지금 세상은 전례를 찾기 힘든 크리덴셜 탈취 및 계정 탈취 공격에 시달리는 중이다.

디지털셰도우즈에 의하면 이 246억 세트의 크리덴셜 중 67억 세트가 고유한 것으로 분류된다고 한다. 즉 중복된 크리덴셜이 하나도 없다는 것으로, 아직 복제된 적이 없어 세상에 딱 하나 뿐인 크리덴셜이 다크웹에 이만큼이나 돌아다니고 있다는 뜻이 된다. 2020년 같은 조사를 실시했을 때 집계된 고유 크리덴셜은 이것보다 17억개 적었다. 디지털셰도우즈는 “이러한 크리덴셜을 취급하는 다크웹 시장은 대단히 탄탄한 기반을 갖추고 있으며, 기술력과 상술의 측면에서도 뛰어난 모습을 보여주고 있다”고 설명한다. “거래 수량 거래 수량 최근에는 구독 형태의 서비스도 제공하는 중입니다.”

침해된 데이터, 끝이 보이지 않아
그렇다면 이 많은 데이터는 어떤 과정으로 다크웹에 흘러 들어가게 됐을까? 디지털셰도우즈 측은 그 부분이 보안 전문가들에게는 더 절망적으로 거래 수량 느껴진다고 설명한다. “비밀번호가 애초에 안전하지 않은 방법으로 설정되고 있었습니다. 딱히 해킹 기술이 없는 사람이라도 가져가기 쉽게 만들어진 비밀번호가 대다수라는 겁니다. ‘1234’라든가 ‘password’, ‘admin’과 같은 비밀번호는 수년 째 가장 많이 사용되는 비밀번호 1위를 고수하고 있죠. 공격자 입장에서는 사용자의 이런 단순한 패턴을 활용해 자동화 도구를 만들면 간편하게 대량으로 크리덴셜을 수집할 수 있게 됩니다.” 수석 사이버 위협 분석가인 크리스 모건(Chris Morgan)의 설명이다.

이러한 사실은 디지털셰도우즈의 보고서에 좀 더 적나라하게 나타난다. “예를 들어 다크웹에서 판매되는 비밀번호 200개 중 1개는 123456입니다. 또한 가장 많은 사람들이 사용하는 비밀번호 50개 중 49개는 해커들이 흔히 사용하는 크래킹 도구를 사용할 경우 1초 안에 해독될 수 있습니다. 공격자 입장에서 지금 우리가 만들어 놓고 사용하고 있는 사이버 공간이 얼마나 풍부한 금광인지 감이 오시나요? 어느 날 갑자기 컴퓨터와 친하지도 않은 일반인이 크리덴셜을 훔쳐서 돈을 벌겠다고 마음만 먹으면 얼마든지 벌 수 있는 상황이라고 말해도 과언이 아닙니다.”

이 상황을 어떻게 극복할 수 있을까
비밀번호를 더 이상 사용하면 안 된다는 주장이 나오는 많은 이유 중 하나가 바로 이것이다. 비밀번호를 제대로 사용하지 않아 오히려 사이버 공격자들에게 자원을 퍼주는 것과 마찬가지인 결과를 낳는 사람들이 압도적으로 많다는 사실 말이다. 그럼에도 아직까지 비밀번호를 완전히 사용하지 않겠다는 방향으로 움직이는 기업들은 얼마 되지 않는다. 디지털셰도우즈의 조사에 의하면 87%의 기업들이 적어도 하나 이상의 비밀번호가 업무 프로세스 안에서 사용된다고 한다. 비밀번호 없이 업무가 안 되는 기업이 절대 다수를 차지한다는 뜻이다.

기업들이 가장 먼저 비밀번호를 없애고 싶어 하는 건 워크스테이션 로그인 시스템에서였다. 그 다음은 레거시 애플리케이션, 클라우드 애플리케이션이 순위에 올랐다. 즉 계정이 탈취될 경우 가장 치명적으로 작용할 수 있는 요소들이 꼽힌 것이다. 그리고 이런 곳에 비밀번호 대신 적용될 수 있는 것으로는 FIDO 얼라이언스(FIDO Alliance)의 인증 기술이 첫 손에 꼽혔다. FIDO 얼라이언스는 10년 넘게 비밀번호 대체 기술을 연구해 온 단체다.

하지만 기업들이 아무리 비밀번호를 대체하고 싶어 해도 현실적인 문제들이 있어 실천이 어렵다. 그 현실적 문제 중 하나는 이제 보편화 된 ‘BYOD’이다. 직원들이 개인장비를 자유롭게 회사로 들고 들어와 네트워크에 연결해 업무에 활용하는 현상을 말한다. 이는 최근 코로나로 인해 재택 근무가 활성화 되고, 개인장비의 사용 비율이 높아지면서 더 넘기 힘든 문제가 됐다. 그래서 지난 5월 애플, 구글, 마이크로소프트는 비밀번호보다 편리하고 강력한 로그인 체제를 개발 적용하겠다고 발표하기도 했었다.

모건은 “확실히 비밀번호가 없는 미래로 가고 있는 것은 맞다”고 말한다. “다만 그 전진 속도가 너무 느리고, 그래서 그 사이에 피해를 입는 기업과 개인들이 늘어나고 있습니다. 미래에는 비밀번호가 없어질 것이기 때문에 비밀번호 보안에 대해 생각할 필요가 없지만, 그 전까지는 비밀번호를 안전하게 활용할 방법을 마련하고 보급해야 합니다. 그 방법이란 건 사실 간단합니다. 해독하기 어려운 비밀번호를 사용하고, 계정마다 다른 비밀번호를 설정하는 것입니다.”

3줄 요약
1. 현재 다크웹에서 거래되고 있는 비밀번호의 수는 246억 개.
2. 그 중 고유한(중복 없는) 비밀번호는 67억 개.
3. 비밀번호 없는 미래로 가고 있긴 하지만 속도가 너무 느림.
[국제부 문가용 기자([email protected])]