바이낸스 계정에서 이루어지는 단 한 번의 출금조차도 밀크티 매장의 하루 매출보다 큽니다. 2FA를 켜지 않고 온체인 거래를 하는 것은 금고 열쇠를 문 앞에 걸어두는 것과 같습니다. 하지만 2FA도 켜기만 하면 끝나는 것이 아니며, 바이낸스는 4가지 방식을 제공하는데 각 방식의 보안 등급은 몇 배씩 차이가 납니다. 먼저 바이낸스 공식 사이트에 접속해 "보안 센터"에서 Google Authenticator를 활성화하고, 바이낸스 공식 APP을 다운로드하여 인증기를 앱과 한 번 더 연동할 것을 권장합니다. 공식 앱이 설치되지 않은 iPhone 사용자는 iOS 설치 튜토리얼에 따라 지역을 변경하여 설치하세요. 이 글에서는 4가지 2FA 방식을 상세히 분석하고, 가장 합리적인 조합이 무엇인지 설명합니다.
1. 바이낸스에서 지원하는 4가지 2FA 방식
| 유형 | 보안 등급 | 주요 위험 | 권장 용도 |
|---|---|---|---|
| SMS | 낮음 | SIM 스왑 (SIM Swap) 공격 | 보조용으로만 사용 |
| 이메일 | 보통 | 이메일 해킹 시 방어선 붕괴 | 다른 2FA와 병행 |
| Google Authenticator | 높음 | 기기 분실 시 시드 백업 필요 | 일상적인 기본 보안 |
| YubiKey 하드웨어 키 | 최고 | 물리적 분실 | 고액 출금 확인 |
SMS 2FA는 가장 편리해 보이지만, 공격 앞에서는 거의 무방비 상태나 다름없습니다.
2. SMS 2FA만 사용하면 안 되는 이유
SIM 스왑(SIM Swap) 공격은 지난 몇 년간 암호화폐 분야에서 가장 흔하게 발생한 계정 도용 수단입니다:
- 공격자는 귀하의 이름, 주민등록번호, 전화번호, 집 주소 등 사회공학적 정보(다크웹에서 구매하거나 OSINT로 수집)를 확보합니다.
- 공격자는 통신사 고객센터에 전화하여 "휴대폰을 분실했으니 유심을 재발급해 달라"고 거짓말을 합니다.
- 통신사 직원이 속아 넘어가면 공격자는 귀하의 전화번호가 담긴 새 SIM 카드를 받게 됩니다.
- 귀하의 기존 SIM은 비활성화되며, 모든 문자 메시지가 공격자의 휴대폰으로 전송됩니다.
- 공격자는 "비밀번호 찾기 + SMS 인증번호"를 이용해 이메일과 거래소 로그인 비밀번호를 재설정하고 2FA를 우회합니다.
SIM 스왑이 발생하면 전화번호에 의존하는 모든 보안 메커니즘이 순식간에 무력화됩니다. 이것이 SMS 2FA를 유일한 방어선으로 삼으면 안 되는 이유입니다.
3. Google Authenticator는 최고의 기본 방어선입니다
Google Authenticator는 TOTP(시간 기반 일회용 비밀번호)를 활용하는 오프라인 2FA입니다:
- 전화번호와 무관하며, SIM 스왑의 영향을 받지 않습니다.
- 암호키 시드는 기기 로컬에 저장되며, 어떤 서버에도 업로드되지 않습니다.
- 30초마다 6자리 인증번호를 새로 생성합니다.
연동 과정은 바이낸스의 "보안 → Google Authenticator 활성화" 메뉴에서 진행할 수 있습니다:
- APP Store 또는 Play Store에서 Google Authenticator를 설치합니다.
- Authenticator로 바이낸스에서 생성된 QR 코드를 스캔합니다.
- 화면에 표시된 16자리 암호키를 종이에 손으로 적거나 오프라인 비밀번호 관리자에 저장합니다(이 단계를 절대 건너뛰지 마세요).
- Authenticator에 표시된 6자리 인증번호를 입력하여 연동을 완료합니다.
암호키를 적은 종이는 최소 2장을 만들어 서로 다른 장소(집과 회사, 또는 각기 다른 책 사이)에 보관해야 합니다. 휴대폰을 바꿀 때 이 암호키를 사용하면 새 휴대폰의 Authenticator에서 동일한 6자리 코드를 복원할 수 있습니다.
4. 하드웨어 키(YubiKey)는 언제 사용해야 할까?
YubiKey 같은 하드웨어 키(U2F/FIDO2)의 보안 수준은 Google Authenticator보다 한 단계 더 높습니다:
- 독립적인 물리적 기기로, 로그인 시 USB를 꽂거나 NFC로 터치하여 인증을 완료합니다.
- 개인 키가 기기 자체를 절대 벗어나지 않으며, 본인조차도 읽어낼 수 없습니다.
- 피싱 사이트가 비밀번호를 탈취하더라도 U2F 프로토콜이 도메인을 검증하기 때문에 2FA를 우회할 수 없습니다.
바이낸스는 YubiKey를 2FA 및 "출금 확인"을 위한 2차 인증 수단으로 지원합니다. 자금 규모가 5만 달러 상당을 초과하는 사용자는 반드시 활성화할 것을 강력히 권장합니다. 일반적인 설정 방법은 다음과 같습니다:
- 기본 키: YubiKey 5C 또는 5 NFC 1개를 평소에 소지하거나 금고에 보관합니다.
- 백업 키: 두 번째 YubiKey를 집의 일정한 위치에 두고, 기본 키를 분실했을 때 사용합니다.
개당 비용은 몇만 원 수준으로, 계정의 자금 규모를 생각하면 거의 무료나 다름없습니다.
5. 자금 규모별 권장 2FA 조합
1만 달러 상당 미만
- 로그인 2FA: Google Authenticator
- 이메일 2FA: 활성화
- SMS: 계정이 잠겼을 때 복구용 보조 수단으로만 사용하며, 일상적인 인증에는 사용하지 않음
1만 ~ 10만 달러 상당
- 위 항목 모두 적용
- 출금 화이트리스트: 활성화하고, 새 주소 추가 시 24시간 지연 적용
- YubiKey를 기본 로그인 2FA로 도입하는 것을 고려
10만 달러 상당 초과
- YubiKey 2개(기본 + 백업)를 로그인 및 출금 2FA로 사용
- Google Authenticator는 비상 보조용으로만 사용
- 콜드 월렛 보유를 기본으로 하며, 거래소에는 거래에 필요한 금액만 보관
6. 가장 흔한 3가지 오해
- "이미 Google Authenticator를 켰으니 SMS는 꺼야지" —— 끄지 마세요. SMS는 계정 잠금 시 복구 용도로 남겨두되, 출금을 확인하는 유일한 수단이 되어서는 안 됩니다.
- "암호키 시드는 클라우드 사진첩에 보관하면 되겠지" —— iCloud나 Google Photos가 뚫리면 2FA를 설정하지 않은 것과 같습니다. 손으로 적은 종이나 오프라인 KeePass만이 안전합니다.
- "하드웨어 키는 너무 비싸서 가성비가 떨어져" —— 한 번 도난당했을 때의 손실은 보통 하드웨어 키 가격의 1,000배 이상입니다.
요약
- SMS는 보조용으로만 사용해야 하며, 절대 기본 2FA로 삼아서는 안 됩니다.
- Google Authenticator는 기본 방어선이며 모든 사용자가 켜야 합니다.
- 고액 계정은 YubiKey를 기본과 백업으로 2개 준비하고, 출금 확인 시 하드웨어 키를 사용하세요.
- 어떤 2FA든 설정 후 즉시 시드나 하드웨어를 백업해야 합니다. 그렇지 않으면 기기 교체 시 "스스로 계정을 잠가버리는" 꼴이 됩니다.
2FA를 올바르게 선택하고 백업을 철저히 하면, 바이낸스 계정에 대한 원격 공격의 90%를 차단할 수 있습니다.