많은 사람들이 "코인 구매"를 목적으로 Binance에 가입하며, "보안"을 위해 가입하는 사람은 거의 없습니다. 하지만 실제 기존 사용자가 피해를 보는 원인은 항상 시장 변동성이 아니라 계정 도용입니다. 계정 보안의 기초를 다지는 데는 사실 30분이면 충분합니다. 먼저 Binance 공식 사이트에서 가입을 완료하고, Binance 공식 APP을 다운로드한 후 본문의 순서대로 피싱 방어 코드, 2FA 및 화이트리스트를 차례로 설정하세요. iPhone 사용자 중 아직 APP을 설치하지 않았다면, 타사 플랫폼에서 다운로드하지 말고 먼저 iOS 설치 가이드에서 Apple ID 전환 단계를 확인하세요.
1. 어디서 가장 많이 도용당하는지부터 파악하기
거래소 해킹 사건에서 가장 흔한 5가지 진입점 순위는 다음과 같습니다:
- 피싱 이메일 링크 클릭——메일 제목과 발신자가 매우 정교하게 위조되어 있으며, 클릭하면 가짜 Binance 로그인 페이지로 연결됩니다.
- 피싱 APP——비공식 버전을 설치하여 로그인 비밀번호를 탈취당하고, 중간자가 2FA 인증 코드를 가로챕니다.
- 기기 분실 / 구형 기기 미로그아웃——휴대폰을 바꿀 때 계정에서 로그아웃하지 않아, 가족, 친구 또는 중고 거래 구매자가 구형 기기를 확보하게 됩니다.
- SIM Swap——공격자가 통신사 고객센터를 사회공학적 기법으로 속여 휴대폰 번호를 자신의 SIM 카드로 이전하여, SMS 2FA를 무용지물로 만듭니다.
- 공용 Wi-Fi 패킷 스니핑——카페나 호텔에서 로그인할 때 위조된 Wi-Fi 핫스팟에 연결하여 중간자가 트래픽을 해독합니다.
이 5가지 진입점의 공통점은 단 한 번의 설정만으로 위험을 대폭 줄일 수 있다는 것입니다. 본문 뒷부분에서 설명할 5가지 사항이 바로 이 5가지 진입점에 각각 대응합니다.
2. 첫 번째: 이메일을 메인 계정처럼 보호하기
Binance 계정의 진정한 "메인 계정"은 바로 가입 이메일입니다. 공격자가 이메일 제어권을 손에 넣으면, "비밀번호 찾기"를 통해 Binance 계정 비밀번호를 재설정할 수 있습니다. 2FA를 켜두었더라도 "계정 복구" 신청을 통해 우회할 수 있습니다. 따라서 이메일의 보안 등급은 최소한 Binance 계정과 동일해야 합니다. 권장 사항은 다음과 같습니다:
- 소셜/쇼핑/업무 이메일과 혼용하지 않는 독립적인 이메일을 Binance 전용으로 가입하세요.
- 이 이메일 자체에도 2FA를 활성화하세요(Gmail은 Google Authenticator 연동 권장, Outlook은 Microsoft Authenticator 연동 권장).
- 이메일 비밀번호는 비밀번호 관리자를 사용하여 생성한 최소 16자리의 무작위 문자열로 설정하세요.
- 추측하기 쉬운 "이름 + 생년월일"이나 "휴대폰 번호 + 영문자" 같은 조합은 사용하지 마세요.
3. 두 번째: 피싱 방어 코드 설정
피싱 방어 코드(Anti-Phishing Code)는 Binance가 2019년에 도입한 기능으로, 6–8자리의 사용자 지정 문자열을 설정하면 이후 Binance가 발송하는 모든 공식 이메일 제목에 이 문자열이 포함됩니다. 예를 들어 SBYT-42로 설정하면 정상적인 이메일 제목은 [SBYT-42] 출금 확인 알림이 되지만, 피싱 이메일에는 이 문자열이 절대 나타나지 않습니다.
작업 위치: Binance 공식 사이트 로그인 → 계정 → 보안 → 피싱 방어 코드. 설정을 마친 후 즉시 본인에게 출금 신청이나 입금 알림을 발송하여 이메일에 해당 코드가 실제로 포함되어 있는지 확인하세요. 피싱 방어 코드의 효과는 오직 설정 후 "메일을 볼 때 먼저 코드를 확인하는" 습관을 유지하느냐에 달려 있으며, 설정만으로 영구적인 보안이 보장되는 것은 아닙니다.
4. 세 번째: 2FA를 Google Authenticator로 변경하기
Binance의 기본 설정은 가장 취약한 방식인 SMS 2FA입니다. SIM Swap 공격은 이미 여러 차례 발생했습니다. 공격자는 통신사 고객센터를 사회공학적 기법으로 속여 휴대폰을 분실했으니 SIM 카드를 재발급해 달라고 요청하며, 성공하면 모든 문자 메시지가 그의 새 SIM 카드로 전송됩니다. 재발급이 완료된 후 계정의 자금이 모두 빠져나가기까지는 보통 30분도 채 걸리지 않습니다.
대응 방법: Google Authenticator(TOTP)로 변경하세요. 이는 휴대폰 번호에 의존하지 않고 네트워크가 필요 없으며, 인증 코드가 30초마다 갱신되므로 공격자가 귀하의 휴대폰 번호를 알아내더라도 사용할 수 없습니다. 연동 단계는 다음과 같습니다:
- App Store / Play Store에서 개발자가
Google LLC인 「Google Authenticator」를 다운로드하세요. - Binance 로그인 → 보안 센터 → Google 인증기 → 켜기.
- 화면의 QR 코드를 스캔하기 전에 반드시 16자리 복구 키를 종이에 직접 적어두세요. 이는 기기 변경/재설치 시 유일한 복구 수단입니다.
- QR 코드를 스캔한 후 APP에 표시된 6자리 동적 코드를 입력하여 연동을 완료하세요.
- 연동 후 Binance는 로그인, 출금, 보안 설정 변경의 세 가지 동작에서 모두 2FA를 사용하도록 요구할 것입니다.
중요 알림: Google Authenticator는 기본적으로 클라우드 동기화가 되지 않으므로, 휴대폰을 분실하거나 시스템을 재설치할 경우 복구 키를 적어두지 않았다면 영구적으로 접근할 수 없게 됩니다. 복구 키를 적어두는 이 단계를 절대 게을리하지 마세요.
5. 네 번째: 출금 화이트리스트 활성화
화이트리스트의 역할은 사전에 등록한 주소로만 자금 출금을 허용하는 것입니다. 이를 활성화하면 계정 비밀번호와 2FA가 모두 뚫리더라도 공격자가 자신의 주소로 자금을 빼낼 수 없습니다.
설정 경로: 계정 → 보안 → 출금 화이트리스트 → 켜기. 그런 다음 자주 사용하는 콜드 월렛 주소나 다른 거래소의 입금 주소를 하나씩 추가하세요. 새 주소를 처음 추가한 후 시스템은 24시간의 대기 기간을 강제로 적용한 후에만 사용할 수 있게 합니다. 이 메커니즘 자체가 바로 보안 조치입니다.
많은 기존 사용자들은 "24시간 대기 기간"이 번거롭다고 여겨 화이트리스트를 켜지 않습니다. 하지만 데이터를 보면, 화이트리스트를 활성화한 계정은 크리덴셜 스터핑(Credential Stuffing)이나 사회공학적 공격을 당하더라도 자금 손실 확률이 90% 이상 감소합니다. 번거로움을 감수하고 안심을 얻는 것은 충분한 가치가 있습니다.
6. 다섯 번째: 과거 로그인 기기 정리
계정 → 보안 → 기기 관리로 들어가면 일련의 로그인 기록을 볼 수 있습니다. 일반적인 정리 방법은 다음과 같습니다:
- 교체한 휴대폰, 친구의 컴퓨터, 테스트용으로 로그인했던 웹 브라우저 기록은 즉시 제거하세요.
- 현재 주력으로 사용하는 휴대폰과 자주 쓰는 컴퓨터는 유지하세요.
- 유지할 각 기록에 대해 로그인 시간, IP 접속 지역, 기기 지문이 모두 합당한지 대조해 보세요.
- "새 기기 로그인 이메일 알림"을 활성화하여 이후 새로운 기기에서 로그인할 때마다 실시간으로 알림을 받으세요.
이 단계는 간단해 보이지만 매우 중요합니다. 도용 사례의 대부분을 분석해 보면, 공격자가 당사자가 정리하는 것을 잊어 "활성 세션"에 그대로 남아있던 구형 기기를 사용한 것으로 나타났습니다.
7. 이 5가지를 완료한 후
이 5가지 설정을 마치면 계정은 일반적인 블랙 해커들이 공격을 포기할 수준의 보안 등급에 도달하게 됩니다. 이후에는 매월 10분 정도의 "보안 점검" 습관을 유지하는 것을 권장합니다:
- 피싱 방어 코드가 그대로 있는지 확인하세요(Binance는 간혹 리스크 관리 차원에서 이를 초기화할 수 있습니다).
- 기기 관리에 낯선 세션이 있는지 확인하세요.
- (API 거래를 이용하는 경우) API 키 권한을 한 번 갱신하세요.
- 최근 30일간의 이메일을 훑어보며 모든 Binance 이메일에 피싱 방어 코드가 포함되어 있는지 확인하세요.
자주 묻는 질문
Q: 피싱 방어 코드를 설정했는데, 코드가 없는 이메일을 받으면 무조건 피싱인가요? A: 대다수의 경우에는 그렇습니다. 하지만 한 가지 예외가 있습니다. 가입 시 발송되는 이메일 인증 메일은 아직 계정이 생성되기 전이므로 코드가 포함되지 않습니다. 이 경우를 제외하고, 피싱 방어 코드가 없는 모든 Binance 공식 이메일은 피싱으로 간주하여 처리해야 합니다.
Q: Google Authenticator와 Authy 중 어느 것을 더 추천하나요? A: 둘 다 사용 가능하며, 차이점은 클라우드 동기화 여부에 있습니다. Authy는 다중 기기 동기화를 지원하므로 휴대폰을 자주 바꾸는 사용자에게 적합하지만, 클라우드 동기화 자체가 새로운 공격 표적이 될 수 있습니다. Google Authenticator는 기본적으로 로컬에 저장되어 더 안전하지만 기기를 바꿀 때 번거롭습니다. 더 높은 보안 등급을 원하는 사용자는 Google Authenticator와 복구 키의 오프라인 백업 조합을 권장합니다.
Q: 화이트리스트 기능은 이미 추가된 주소에도 효력을 잃을 수 있나요? A: 아닙니다. 추가된 주소는 사용자가 직접 삭제하지 않는 한 영구적으로 유효합니다. 새로 추가된 주소만 24시간의 대기 기간 제약을 받습니다.
Q: 이 5가지를 모두 마친 후 더 걱정해야 할 것이 있나요? A: 남은 가장 큰 위험은 스스로 비밀번호나 인증 코드를 넘겨주는 것입니다. 여기에는 피싱 링크 클릭, 가짜 고객센터 전화 수신, 의심스러운 사이트에서의 "계정 인증" 등이 포함됩니다. 기술적인 측면의 방어는 이미 충분히 갖추어졌으니, 이제부터는 피싱을 구별하는 인식을 기르는 것이 중요합니다.