바이낸스 계정 보안 셀프 체크리스트: 필수 보안 설정 12가지
12가지 보안 설정을 완료하면 피싱, 크리덴셜 스터핑, API 오남용 공격의 95%를 차단할 수 있습니다. 본 가이드에서는 리스크 등급에 따른 실행 순서를 안내합니다.
바이낸스 계정 해킹 사고의 대부분은 사소한 부주의에서 시작됩니다. 보안 설정을 시작하기 전, 접속한 사이트가 바이낸스 공식 사이트인지 반드시 확인하세요. 또한 공식 경로를 통해 바이낸스 공식 앱을 다운로드한 후(아이폰은 iOS 설치 가이드 참고), 다음 12가지 항목을 순서대로 점검하시기 바랍니다.
보안 점검표 (우선순위순)
| 번호 | 항목 | 리스크 등급 | 예상 소요 시간 |
|---|---|---|---|
| 1 | 독립 이메일 + 강력한 비밀번호 | 높음 | 5분 |
| 2 | 인증기(Authenticator) + 백업 코드 | 높음 | 5분 |
| 3 | 패스키(Passkey) 또는 하드웨어 키 | 높음 | 10분 |
| 4 | 안티 피싱 코드 설정 | 높음 | 1분 |
| 5 | 출금 화이트리스트 활성화 | 높음 | 5분 |
| 6 | 접속 기기 관리 | 보통 | 2분 |
| 7 | API 사용 내역 감사 | 보통 | 5분 |
| 8 | 하위 계정 권한 점검 | 보통 | 5분 |
| 9 | 제3자 서비스 권한 해제 | 보통 | 3분 |
| 10 | 이메일 필터링 규칙 확인 | 보통 | 2분 |
| 11 | 브라우저 확장 프로그램 점검 | 낮음 | 5분 |
| 12 | 운영체제(OS) 최신 업데이트 | 낮음 | 30분 |
총 약 1시간 정도 소요되며, 최소 매달 한 번은 정기적으로 실행하는 것이 좋습니다.
1. 이메일 보안
이메일은 바이낸스 계정의 열쇠와 같습니다. 이메일이 뚫리면 계정 보안의 절반이 무너진 것과 다름없습니다.
권장 사항:
- 바이낸스 전용 독립 이메일을 사용하세요.
- 비밀번호는 대소문자, 숫자, 특수문자를 포함해 16자 이상으로 설정하세요.
- 이메일 계정 자체에도 2단계 인증(2FA)을 적용하세요.
- 학교나 회사 이메일은 사용하지 마세요 (졸업이나 퇴사 후 접근이 차단될 수 있습니다).
2. 구글 인증기 (Google Authenticator)
인증기 설정 시 다음 사항을 반드시 지키세요.
- 16자리 복구 키를 캡처하여 안전한 곳에 저장하세요.
- 복구 키를 종이에 적어 오프라인으로 보관하세요.
- 가능하다면 두 대의 스마트폰에 동시에 등록해 두세요.
이는 스마트폰 분실 시 복구 과정에서의 번거로움을 크게 줄여줍니다.
3. 패스키(Passkey) 또는 하드웨어 키
YubiKey, Titan Key 또는 애플 패스키는 물리적 또는 시스템 레벨의 2FA로, 일반적인 일회용 비밀번호(TOTP)보다 피싱 공격에 훨씬 강력합니다.
설정 방법: 바이낸스 앱 → 보안 → 패스키 → 추가. 한 번 설정으로 장기적인 보안 혜택을 누릴 수 있습니다.
4. 안티 피싱 코드 (Anti-Phishing Code)
안티 피싱 코드는 바이낸스에서 발송하는 이메일에 포함되는 본인만의 고유 문자열입니다. 예를 들어 '우리집강아지초코'라고 설정하면, 바이낸스에서 보낸 모든 진짜 이메일에는 이 문구가 포함됩니다. 이 문구가 없는 이메일은 가짜(피싱)입니다.
설정 방법: 보안 → 안티 피싱 코드 → 고유한 문자열 입력 후 저장.
5. 출금 화이트리스트
'화이트리스트 주소로만 출금 허용' 기능을 켜고 본인이 사용하는 지갑 주소만 등록하세요. 이렇게 하면 설령 계정이 탈취되더라도 공격자가 본인의 지갑 외에는 자금을 이체할 수 없습니다.
새 주소 등록 시에는 24시간의 대기 기간(Cooling-off period)이 적용되어 더욱 안전합니다.
6. 접속 기기 관리
보안 → 기기 관리 메뉴에서 사용하지 않는 기기를 모두 삭제하세요.
- 예전에 쓰던 스마트폰
- 친구 PC에서 로그인했던 기록
- 퇴사한 직장의 공용 컴퓨터
현재 본인이 사용하는 2~3대의 기기만 남겨두는 것이 원칙입니다.
7. API 사용 내역 감사
API 관리 메뉴에서 생성된 모든 API 키를 점검하세요.
- 현재 사용 중인가? (안 쓰면 삭제)
- 권한이 최소화되어 있는가? (선물 및 출금 권한은 기본적으로 해제)
- 신뢰할 수 있는 IP 주소만 화이트리스트로 등록되어 있는가?
8. 하위 계정(Sub-Account) 권한
전략 분산 등을 위해 하위 계정을 운영 중이라면 다음을 확인하세요.
- 출금 기능이 비활성화되어 있는가?
- API 권한이 독립적으로 관리되고 있는가?
- 이메일이 주 계정과 분리되어 있는가?
9. 제3자 서비스 권한 해제
OAuth로 연동된 제3자 앱 목록에서 다음 항목을 삭제하세요.
- 더 이상 사용하지 않는 카피 트레이딩 플랫폼
- 테스트용으로 썼던 매매 봇
- 이미 삭제한 오래된 모바일 앱 연동 기록
10. 이메일 필터링 규칙 확인
해커는 이메일에 침입한 뒤 바이낸스의 보안 알림 메일이 사용자에게 보이지 않도록 '자동 삭제' 또는 '자동 전달' 규칙을 설정하곤 합니다.
이메일 설정 → 필터 및 차단 주소 메뉴에서 본인이 설정하지 않은 의심스러운 규칙이 있는지 확인하고 삭제하세요.
11. 브라우저 확장 프로그램 점검
브라우저 확장 프로그램은 비밀번호를 가로채는 흔한 경로입니다.
- 유명 프로그램을 사칭한 가짜 확장 프로그램은 없는가?
- 리뷰와 다운로드 수가 조작된 정황은 없는가?
- 요구하는 권한이 과도하지 않은가?
사용하지 않는 확장 프로그램은 즉시 삭제하는 것이 가장 안전합니다.
12. 운영체제(OS) 최신 업데이트
오래된 시스템의 보안 취약점은 키보드 입력 값 탈취나 클립보드 조작 등에 악용될 수 있습니다. 윈도우, 맥OS, 안드로이드, iOS를 항상 최신 버전으로 유지하세요.
또한 백신 프로그램(윈도우 디펜더 등)의 실시간 감시 기능을 항상 켜두세요.
고액 자산가 계정 강화 팁
자산 규모가 큰 경우 다음 사항을 추가로 권장합니다.
| 강화 항목 | 설명 |
|---|---|
| 콜드 월렛 활용 | 거래에 필요한 자산 외에는 개인 하드웨어 지갑에 보관 |
| 다중 하드웨어 키 | 메인과 백업용으로 두 개의 하드웨어 키 사용 |
| 입출금 전용 계좌 분리 | 거래소 입출금 용도로만 사용하는 은행 계좌 운영 |
| 전용 기기 사용 | 금융 거래 및 이메일 확인용 클린 PC/태블릿 운영 |
| 월간 정기 점검 | 위 12가지 항목을 매달 정해진 날짜에 반복 점검 |
해킹 의심 시 응급 조치 단계
- 즉시 비밀번호 변경
- 2FA(인증기) 재설정
- 모든 API 키 삭제
- 출금 화이트리스트 초기화 및 재점검
- 고객센터를 통해 계정 일시 동결 요청
- 관련 증거 수집 후 바이낸스 티켓 접수
- 필요시 수사 기관 신고
사고 발생 후 초기 2시간이 골든타임입니다. 24시간이 지나면 자금 회수가 매우 어려워집니다.
자주 묻는 질문(FAQ)
Q: 하드웨어 키를 분실하면 어떻게 하나요? A: 백업용 키를 사용하거나, 이메일 및 신원 인증 절차를 통해 복구할 수 있습니다. 그래서 반드시 두 개 이상을 등록해 두는 것이 좋습니다.
Q: 비밀번호 관리 앱을 써도 안전한가요? A: 1Password, Bitwarden 같이 검증된 도구는 안전합니다. 다만 해당 앱의 마스터 비밀번호를 매우 강력하게 설정해야 합니다.
Q: 공공 장소의 Wi-Fi에서 바이낸스를 써도 되나요? A: 보안상 위험할 수 있습니다. 가급적 LTE/5G를 사용하거나 신뢰할 수 있는 네트워크에서만 이용하세요.
Q: 핸드폰을 도난당했을 때 조치법은? A: 즉시 기기 원격 잠금을 실행하고, 통신사에 분실 신고를 한 뒤 PC에서 바이낸스에 접속해 해당 기기의 접속 권한을 해제하세요.
Q: 안티 피싱 코드를 이메일 비밀번호와 같게 해도 되나요? A: 절대 안 됩니다. 안티 피싱 코드는 메일 본문에 노출되는 정보이므로 비밀번호와는 별개로 설정해야 합니다.
관련 정보
보안은 한 번의 설정으로 끝나는 것이 아니라 생활 습관입니다. 매달 한 번씩 이 12가지 항목을 점검하는 습관만으로도 여러분의 자산을 해커로부터 안전하게 지킬 수 있습니다.