다중 계정 먹튀검증 방법 – 사전 탐지와 예방 팁

다중 계정이 위험한 이유

2022‑2023년 KISA·한국스포츠투자연구원 데이터에 따르면, 다중 계정을 이용한 불법 베팅 비율이 전체 사기의 18 %를 차지한다. 다중 계정은 ‘보너스 남용·베팅 제한 회피·리스크 분산’을 위한 핵심 수단이며, 한 번이라도 누출되면 ‘전체 계정이 차단·재산 손실’로 이어진다.

본 가이드는 ‘IP·디바이스·쿠키·세션·행동 패턴’ 5가지 차원에서 다중 계정 탐지·예방 방법을 단계별로 제공한다.

1️⃣ IP·위치 기반 탐지

① 동일 IP 다중 로그인 감지

로그 테이블에 ‘IP 주소·시간·계정 ID’를 기록하고, GROUP BY IP, DATE_TRUNC('hour') 로 1시간 이내 동일 IP 접속 횟수를 집계한다.

SELECT ip, COUNT(DISTINCT account_id) AS acct_cnt
FROM login_log
WHERE login_time >= NOW() - INTERVAL '1 hour'
GROUP BY ip
HAVING acct_cnt > 2;
    

결과가 있으면 해당 IP는 ‘다중 계정 의심’으로 플래그한다.

② GeoIP 기반 이상치 탐지

‘IP → 국가’ 매핑을 통해 같은 계정이 짧은 시간 내 서로 다른 국가에서 로그인하는 경우를 감지한다.

SELECT account_id, MIN(country) AS first_country, MAX(country) AS last_country
FROM login_log
GROUP BY account_id
HAVING first_country != last_country;
    

이 경우 ‘VPN·프록시 사용 가능성’이 높아 추가 검증 필요.

2️⃣ 디바이스·쿠키·세션 기반 탐지

① 디바이스 지문(Fingerprint) 수집

JavaScript 기반 FingerPrintJS를 이용해 ‘Browser·OS·Screen·Canvas·WebGL’ 등 30가지 특성을 해시값으로 저장한다.

fingerprint = FingerprintJS.load().then(fp => fp.get()).then(result => result.visitorId);

동일 해시값이 여러 계정에 매핑되면 다중 계정 의심.

② 쿠키·세션 토큰 연계

‘session_id’와 ‘device_fingerprint’를 연동해 ‘1:1 매핑’을 강제한다.

INSERT INTO device_map(session_id, fingerprint) VALUES(?, ?)
ON CONFLICT(session_id) DO UPDATE SET fingerprint = EXCLUDED.fingerprint;
    

동일 fingerprint이 복수 session_id에 연결될 경우 알림 트리거.

3️⃣ 행동 패턴 분석 – 베팅 패턴 및 보너스 사용

① 베팅 금액·배당 패턴 비교

각 계정별 평균 베팅 금액·배당을 구하고, ‘z‑score’로 이탈 정도를 파악한다.

z = (x - μ) / σ

z‑score > 2.5인 경우 이상치로 플래그.

② 보너스·배팅 배수 일관성

‘보너스 사용 후 배팅 배수’를 계정별 평균과 비교한다. 동일 배수·시점에 여러 계정이 동시에 보너스를 사용하면 ‘보너스 남용’ 의심.

③ 시계열 이상 탐지 (LSTM)

‘시간 순서대로 베팅·입·출금’ 시퀀스를 LSTM 모델에 학습시켜 ‘예측 오차(Residual) > 0.8’을 보이는 계정을 다중 계정 후보로 지정한다.

4️⃣ 예방·제재 정책 – 운영 가이드라인

① 실시간 차단 정책

• IP·디바이스 중복 감지 시 ‘즉시 알림·계정 일시 정지’ (5분 이내).
• ‘고위험(점수 ≥ 0.9)’ 경우 자동 영구 차단.

② 보너스 제한

동일 IP·디바이스에서 보너스 사용 시 ‘보너스 지급 제한(1일 1회)’을 적용한다.

③ 사전 인증 절차

• ‘KYC·실명 인증·핸드폰 인증’을 필수화하고, 동일 주민등록번호·전화번호가 다중 계정에 사용될 경우 차단.
• ‘SMS OTP·2FA’를 모든 로그인·보너스 사용 시 적용한다.

④ 정밀 검증 단계 (오탐 방지)

실시간 차단 전 ‘백그라운드 검증 엔진’이 3가지 신호(IP·디바이스·행동) 모두 만족하면 차단, 하나라도 미충족 시 ‘수동 검토’를 거친다.

5️⃣ 시스템 구현 예시 – AWS 기반 다중 계정 탐지 아키텍처

1. AWS Kinesis → 실시간 로그인·베팅 로그 스트리밍.
2. AWS Lambda → IP·디바이스 중복 검사 로직 실행.
3. Amazon DynamoDB → ‘device_fingerprint → account_id’ 매핑 테이블.
4. Amazon SageMaker → LSTM·XGBoost 모델 호스팅, 위험 점수 API 제공.
5. Amazon SNS → 위험 이벤트 실시간 알림 (SMS·Slack).

전체 흐름도:

[User] → API Gateway → Kinesis → Lambda (IP/디바이스 검사) → DynamoDB
                              ↓
                          SageMaker (Risk Score) → SNS Alert → Admin Dashboard
    

FAQ – 다중 계정 탐지와 예방

Q1. IP가 공유(예: 사무실·공유 Wi‑Fi)인 경우 오탐이 우려됩니다.

A1. 동일 IP지만 디바이스 fingerprint·세션 ID가 서로 다르면 정상으로 판단한다. 공유 IP는 ‘Whitelist’에 추가 가능한 옵션을 제공한다.

Q2. VPN 사용자를 모두 차단해야 하나요?

A2. VPN 자체를 차단하기보다는 ‘다중 계정 의심 시 VPN 흔적 검사’와 함께 추가 인증(2FA·보안 질문)을 요구한다.

Q3. 기존 고객에게 새 정책을 적용하려면 어떻게 해야 하나요?

A3. ‘고객센터 공지·이메일·앱 알림’으로 정책 변경을 안내하고, 기존 계정에 대해 ‘자동 KYC 재인증’을 진행한다.

Q4. 탐지 모델이 오차를 보여도 바로 차단하면 안 되나요?

A4. 오탐을 최소화하기 위해 ‘다중 신호(IP·디바이스·행동)’가 모두 만족할 때만 차단하고, 하나라도 미충족 시 ‘수동 검토’ 단계로 넘긴다.

Q5. 모델 재학습 시 기존 데이터와 충돌이 발생할 수 있나요?

A5. 모델 버전 관리와 ‘Canary 배포’를 통해 새 모델을 소규모 트래픽에 먼저 적용하고, 성능 검증 후 전체 적용한다.