'기기 관리'는 많은 사용자가 2FA 인증을 설정한 후 다시는 열어보지 않는 페이지입니다만, 역설적이게도 이곳은 계정 도용 시도를 발견하는 가장 첫 번째 현장입니다. 이 글에서는 매달 10분만 투자하면 되는 순회 점검 방법과, 전혀 모르는 낯선 세션을 발견했을 때 당장 실행해야 하는 5분짜리 응급 처리 절차를 다룹니다. 먼저 바이낸스 공식 사이트에 로그인하여 기기 관리 페이지를 열어주세요. 모바일 기기로 확인하시는 분은 바이낸스 공식 앱의 보안 센터에서도 조회가 가능합니다. 만약 아직 공식 앱을 설치하지 않으셨다면 iOS 설치 가이드부터 읽어보세요.
1. 바이낸스의 '기기 관리' 페이지가 알려주는 것
로그인 후 '계정' → '보안' → '기기 관리' 메뉴로 진입하면 목록 표 하나를 볼 수 있는데, 이곳에는 현재 로그인 세션이 유지되고 있는 모든 기기가 나열되어 있습니다. 각 항목은 다음 정보를 담고 있습니다:
- 기기 종류: iPhone 15 Pro / MacBook Air M3 / Chrome 브라우저 등
- 로그인 IP: 마지막으로 접속했던 IP 주소
- IP 접속 위치: 국가/지역 + 도시
- 로그인 시간: 마지막으로 접속 활동이 포착된 시간
- 디바이스 핑거프린트: 브라우저 UserAgent + 핑거프린트 해시 정보
이 표는 오직 현재 활성화된 세션만을 보여줍니다. 이미 로그아웃된 기기는 목록에서 사라집니다.
2. 매월 10분짜리 순회 점검 체크리스트
매달 하루(예를 들어 1일 저녁)를 정해두고 종합적인 점검을 진행하세요. 다음 단계대로 실행하면 됩니다:
1. 모든 기기 목록 교차 검증
목록의 각 줄을 보면서 스스로 질문해보세요:
- 이 기기 이름을 내가 알고 있는가?
- 이 IP 접속 위치에 내가 간 적이 있는가?
- 마지막 로그인 시간이 나의 평소 사용 패턴과 맞는가?
세 가지 질문 중 하나라도 "아니오"라면 경계해야 합니다.
2. 더 이상 사용하지 않는 기기 정리
아래에 해당하는 기기는 즉시 목록에서 지우세요:
- 중고로 팔거나 다른 사람에게 줘버린 옛날 휴대폰
- 포맷하거나 윈도우를 다시 깐 옛날 컴퓨터
- 다른 사람의 컴퓨터나 피시방 등에서 잠시 접속했다가 로그아웃하는 것을 깜빡한 세션
- 회사의 공용 컴퓨터 등 보안이 보장되지 않는 환경에 남은 세션
위 항목에 해당하는 세션을 일일이 "삭제"하세요. 이 작업만 해도 절반 이상의 사용자들이 잔뜩 쌓여있던 위험한 찌꺼기 세션을 지워낼 수 있습니다.
3. 비정상적인 IP 접속 위치 확인
전형적인 비정상 로그인 유형:
- 나는 한국에만 있었는데, 나이지리아/러시아/베트남 같은 낯선 지역에서의 로그인 기록이 있다.
- 평소 집에서 쓰는 개인 공유기만 사용하는데, 목록에 AWS나 DigitalOcean 같은 클라우드 업체의 IP가 보인다.
- 똑같은 시간에 서로 다른 두 국가에서 동시에 접속된 기록이 있다.
이 중 하나라도 나타난다면, 아래 섹션의 "응급 상황 처리" 매뉴얼을 즉시 따라야 합니다.
4. API 키 목록 점검
'계정' → '보안' → 'API 관리' 메뉴에 들어가 각 항목을 확인합니다:
- 이 API 키를 정말로 내가 만든 것인가?
- 허용된 권한이 내가 꼭 필요한 권한만 켜져 있는가 (조회/현물 거래만 켜고 출금 권한은 반드시 꺼둘 것)?
- 최근 30일 이내에 사용된 적이 있는가? 오랫동안 사용하지 않았다면 삭제를 고려하세요.
5. 비밀번호 및 2FA 인증 점검
매달 반드시 비밀번호를 바꾸라는 뜻은 아닙니다. 하지만 내 스마트폰의 Authenticator 앱에 2FA 코드가 멀쩡히 살아있는지, 복구용 백업 키(시드 문구)는 잘 보관되어 있는지 확인하세요. 많은 유저들이 1년 뒤에 다시 열어봤을 때 스마트폰에서 Binance 항목이 쥐도 새도 모르게 지워져 큰 낭패를 겪곤 합니다. 이것이 대형 보안 사고의 시작이 될 수 있습니다.
6. 안티 피싱 코드(Anti-Phishing Code) 작동 확인
의도적으로 새 기기에서 로그인 시도를 해보거나 알림을 유발해 시스템 이메일을 수신해보세요. 그리고 그 메일의 제목 앞부분에 본인이 설정해둔 피싱 방어 문자열이 똑바로 표시되어 있는지 확인하세요.
3. 모르는 세션을 발견했을 때의 5분 응급 처리 프로세스
가장 중요한 원칙: 꼼꼼함보다 속도가 생명입니다. 대응이 1분 늦어질 때마다 당신의 계좌에서 암호화폐가 인출될 확률이 기하급수적으로 올라갑니다.
첫 1분: 모든 세션 강제 종료
'계정' → '보안' → '기기 관리' 페이지에 들어가서 "모든 기기에서 로그아웃" 버튼을 누르세요. 이 작업을 하면 현재 활성화되어 있던 모든 접속 연결이 즉시 무효화됩니다. 본인이 띄워놓고 있던 화면마저도 튕겨 나가며 새롭게 로그인을 요구받게 됩니다.
2~3분: 비밀번호 변경 및 2FA 재생성
재로그인을 한 다음 즉시 수행합니다:
- 로그인 비밀번호를 즉시 변경하세요. (다른 어떤 사이트에서도 쓰지 않은, 완전히 새로운 20자리 암호를 생성하세요.)
- 만약 16자리 복구 키가 유출된 것이 의심된다면, 기존의 구글 OTP(Authenticator) 연동을 끊어버리고, 아예 새로 발급받아 연동하세요.
4분: 모든 API 키 전면 폐기
해커가 API를 통해 접근한 것이 확실하든 아니든, 목록에 있는 API 키를 전부 삭제해버리세요. API 키를 지운다고 해서 이미 주문이 들어간 거래가 멈추거나 취소되진 않습니다만, 추후 프로그램 매매 등을 사용할 거라면 처음부터 다시 권한을 발급받아야 합니다.
5분: 자산 상태 확인 및 출금 내역 체크
- '계정' → '지갑' → '개요'로 들어가서 내 기억 속에 있는 총 보유 자산 금액이 맞게 남아있는지 확인합니다.
- '계정' → '주문' → '출금 기록'을 열어 최근 24시간 이내에 누군가가 멋대로 자산을 외부로 보낸 내역이 있는지 확인합니다.
- '계정' → '로그인 기록'에서 본인이 모르는 제3자의 로그인 내역이 섞여 있는지 한 번 더 파악합니다.
만일 이미 자산이 엉뚱한 곳으로 빠져나간 사실을 발견했다면: 그 즉시 바이낸스 고객센터로 연락하여 계정 도용 신고(Account Stolen Appeal) 절차를 밟으세요 (계정 상단의 '지원' → '고객지원/온라인 채팅' 활용). 신고할 때 다음 자료를 함께 제출해야 합니다:
- 의심되는 로그인 IP 주소와 정확한 시간대
- 부정하게 전송된 출금 거래의 TxHash (블록체인 트랜잭션 해시)
- 본인이 마지막으로 정상 로그인했던 화면의 스크린샷
- 본인이 설정해둔 피싱 방어 문자열 (본인이 진짜 계정 주인이라는 것을 입증하는 도구)
사고 발생 후 빠르게 신고할수록 환수 성공 확률이 크게 높아집니다. 바이낸스의 리스크 관리 시스템은 때때로 비정상 출금 시도가 감지될 때 30분 동안 자산 이동을 막아두기도 하므로, 그 골든타임을 잡아야 합니다.
4. 이상 위치 로그인 알림 기능 켜는 법
기본적으로 기기 관리 페이지에 접속한다고 해서 이상 징후가 이메일로 쏟아지진 않습니다. 누군가 새 기기로 접속했을 때 곧바로 푸시 메일이 오게 만들려면 알림 설정 메뉴에서 따로 스위치를 켜주어야 합니다:
- '계정' → '보안' → '알림 기본 설정(Notification Preferences)'으로 이동합니다.
- "로그인 관련 알림" 그룹 섹션을 찾습니다.
- 「새로운 기기 로그인」, 「알 수 없는 위치에서의 로그인」, 「새 IP 로그인」 항목의 이메일 및 APP 푸시 알림 항목을 모두 체크 표시합니다.
- 변경 사항을 저장합니다.
이제 새로운 브라우저나 낯선 IP에서 접속이 감지되면 휴대폰으로 가장 먼저 알림이 울립니다. 본인이 한 것이 아닌데 이런 알림이 떴다면, 지체 없이 위의 '응급 처리 프로세스'로 돌입하세요.
5. 대체 어떤 IP를 '비정상'으로 간주해야 하나요?
해킹 시도가 아닌 정상적인 사용자 접속 IP의 특징:
- 접속 국가나 도시가 과거 30일 이내에 본인이 머물거나 출장 갔던 지역과 일치합니다.
- 당신의 집이나 사무실 혹은 스마트폰 데이터망에서 쓰는 익숙한 인터넷 서비스 제공업체(ISP)의 망 범위 안입니다.
반면, 100% 해킹이 의심되는 비정상 IP의 특징:
- IP가 아마존(AWS)이나 구글 클라우드(GCP), Azure, DigitalOcean 같은 클라우드 호스팅 업체 소속일 때 (일반인은 데이터센터 IP로 암호화폐 거래소에 접속하지 않습니다).
- 살면서 한 번도 발을 디뎌본 적 없는 전혀 다른 나라에서 접속된 경우.
- 아주 짧은 시간 안에 접속 IP가 이곳저곳을 널뛰는 경우 (예: 10분 전에 서울이었는데, 10분 뒤에는 싱가포르, 다시 암스테르담). 이는 해커가 VPN이나 프록시 서버들을 거쳐가며 우회 접속하고 있다는 뜻입니다.
- IP 주소가 공공 Tor 네트워크의 출구 노드이거나 널리 알려진 해커들의 악성 IP 블랙리스트에 올라있는 주소인 경우.
6. VPN을 쓰면 해커가 접속한 것처럼 엉뚱하게 락이 걸리지 않나요?
물론 알림 메일은 날아옵니다만, 이것은 전혀 문제가 되지 않습니다. 바이낸스의 이상 징후 감지는 철저히 표면상에 나타난 IP 위치를 기반으로 하기 때문에, 본인이 VPN을 켜고 해외 우회를 했다면 시스템은 "어? 못 보던 지역 접속이네?" 하고 알림을 보낼 것입니다.
이런 상황의 대처법: 가장 자주 쓰는 VPN 출구 노드 IP를 기기 관리 페이지에서 "신뢰할 수 있는 기기/IP"로 등록(화이트리스트화) 해두면, 다음부터는 그 지역의 VPN을 타고 접속해도 알림이 시끄럽게 울리지 않습니다. 다만 주의할 점은 무턱대고 아무 VPN 서버나 신뢰할 수 있다고 등록해 버리면, 정작 진짜 해커가 뚫고 들어왔을 때 알림이 안 올 수 있으므로 신중해야 합니다.
7. 기기 관리 보안의 끝판왕: 세션 유지 시간 단축
스스로의 보안 관리에 자신 있는 유저들은 '계정' → '보안' → '세션 타임아웃(Session Timeout)' 메뉴에서 로그인이 켜져 있는 시간을 대폭 줄일 수 있습니다. 기본값이 24시간인데, 이것을 2시간 내지 4시간으로 매우 짧게 바꿔버리세요. 로그인을 더 자주 해야 하는 번거로움이 생기지만, 반대로 생각하면 해커가 우연히 내 세션 쿠키를 훔쳐 갔더라도 그들이 내 계정에서 장난칠 수 있는 유효 시간 역시 2시간 내로 쪼그라든다는 의미입니다.
거액의 암호화폐를 다루는 분들에게 드리는 권장 세팅:
- 웹 브라우저(PC) 로그인 세션 유지 시간: 2시간
- 모바일 APP 세션 유지 시간: 24시간 (모바일 앱은 기기 고유 인증이 들어가 있어 상대적으로 더 안전합니다)
- 매번 새로 로그인할 때마다 2FA 인증 강제 (기본적으로 적용되어 있습니다)
자주 묻는 질문 (FAQ)
Q:모든 기기에서 강제로 로그아웃시켜 버리면, 이미 걸어둔 지정가 주문 같은 것도 다 날아가나요? A:아닙니다. 주문 내역은 당신의 컴퓨터 화면이 아니라 바이낸스 서버 측 계정 장부에 귀속되어 돌아가고 있습니다. 지정가 매수, 스탑로스(Stop-loss), 그리드 매매 봇 등은 로그아웃 유무와 상관없이 원래 설정대로 계속 작동합니다. 그저 당신이 그 진행 상황을 보고 싶을 때 다시 로그인해야 할 뿐입니다.
Q:기기 관리 목록에 뜨는 저 IP 위치 정보로 범인이 살고 있는 아파트나 번지수까지 찾아낼 수 있나요? A:불가능합니다. 기껏해야 특정 도시 단위와 그 지역 통신사(ISP)까지만 나옵니다. 바이낸스에 표기되는 IP 위치 정보는 범용 GeoIP 데이터베이스를 가져다 쓰기 때문에, 적게는 수십 km에서 크게는 수백 km까지 실제 물리적 위치와 오차가 납니다.
Q:기기 목록에 똑같은 내 컴퓨터 이름이 왜 여러 개나 중복되어 떠 있는 거죠? A:바이낸스 시스템은 각각의 브라우저 세션을 별개의 기기로 봅니다. Chrome 하나, Firefox 하나, Edge 브라우저를 하나 띄웠다면 3개의 기기가 접속한 것으로 간주됩니다. 심지어 Chrome 쿠키를 싹 날려버리고 새로 접속해도 새로운 기기 1대가 추가된 것으로 여깁니다. 그래서 주기적으로 목록을 청소해 주어야 합니다.
Q:모바일 스마트폰 APP 버전하고 PC 웹 브라우저의 '기기 관리' 메뉴는 완벽히 똑같은가요? A:네, 그렇습니다. 화면의 생김새(UI)만 다를 뿐 뒷단에서 불러오는 백엔드 데이터는 완벽하게 100% 동일합니다. 휴대폰의 공식 앱에 있는 [보안 센터] 메뉴에서도 똑같이 세션을 지우고 관리할 수 있습니다.
Q:휴대폰을 잃어버렸는데 휴대폰 안에 바이낸스 앱이 로그인되어 있어요! 휴대폰이 없는데 제 손으로 강제 로그아웃을 어떻게 시키죠? A:주변에 있는 아무 PC나 친구의 컴퓨터를 빌려 binance.com에 로그인한 뒤, '기기 관리' 페이지에 들어가 잃어버린 그 휴대폰 항목을 찾아 삭제 버튼을 누르거나 "모든 기기에서 로그아웃" 버튼을 누르세요. 서버에서 연결을 끊었기 때문에 30초 내로 분실된 폰 화면에서도 로그아웃 처리가 됩니다. 만약 2FA(구글 OTP)마저 그 휴대폰 안에 들어 있었다면, 사전에 백업해둔 16자리 복구 키를 이용해 다른 폰에서 2FA 앱을 부활시킨 다음 로그인 과정을 밟아야 합니다.