서문
암호화폐 세계에서 "Not your keys, not your coins"(당신의 키가 아니면, 당신의 코인도 아니다)라는 격언은 널리 알려져 있습니다. 바이낸스와 같은 대형 거래소에 자산을 보관하는 것이 편리하긴 하지만, 계정 보안은 사용자가 항상 진지하게 대해야 할 사안입니다.
중국 대륙 사용자의 경우, 네트워크 환경의 특수성으로 인해 추가적인 보안 문제에 직면할 수 있습니다. 본 글에서는 포괄적인 보안 설정 가이드를 제공하여 다층적인 계정 보호 체계를 구축하는 데 도움을 드리겠습니다.
1. 비밀번호 보안
비밀번호 설정 원칙
안전한 바이낸스 비밀번호는 다음 조건을 충족해야 합니다:
- 최소 12자리 이상: 길수록 안전합니다
- 다양한 문자 포함: 대소문자, 숫자, 특수 기호
- 개인 정보 미포함: 이름, 생년월일, 전화번호 등을 사용하지 마세요
- 유일한 비밀번호: 다른 플랫폼과 동일한 비밀번호를 사용하지 마세요
- 규칙성 없음: 키보드 순서(예: qwerty)나 흔한 단어를 사용하지 마세요
비밀번호 관리자 사용
여러 개의 강력한 비밀번호를 수동으로 생성하고 기억하는 것은 어렵기 때문에 전문 비밀번호 관리자 사용을 권장합니다:
추천 도구:
- Bitwarden: 오픈소스, 무료, 크로스 플랫폼 지원
- 1Password: 기능이 풍부하고 보안성이 높음
- KeePass: 오프라인 비밀번호 관리자로 데이터를 완전히 자체 관리
비밀번호 관리자 사용법:
- 설치 후 강력한 마스터 비밀번호를 생성합니다(기억해야 할 유일한 비밀번호)
- 비밀번호 관리자의 무작위 비밀번호 생성 기능으로 바이낸스 비밀번호를 만듭니다
- 바이낸스 계정 정보를 비밀번호 관리자에 저장합니다
- 이후 로그인 시 비밀번호 관리자에서 자동으로 입력합니다
정기적인 비밀번호 변경
3~6개월마다 바이낸스 비밀번호를 변경하는 것을 권장합니다. 변경 시 주의사항:
- 새 비밀번호가 기존 비밀번호와 너무 유사하지 않아야 합니다
- 비밀번호 변경 후 비밀번호 관리자에서 업데이트했는지 확인하세요
- 비밀번호 변경 후 24시간 동안 출금 기능이 제한됩니다(바이낸스의 보안 조치)
2. 이중 인증(2FA)
인증 방식 우선순위
바이낸스는 다양한 이중 인증 방식을 지원하며, 보안 수준이 높은 순서대로 나열하면 다음과 같습니다:
- 하드웨어 보안 키(예: YubiKey): 보안성 최고
- 구글 OTP(Google Authenticator): 대부분의 사용자에게 추천
- 이메일 인증: 보안성 중간
- SMS 인증: 보안성 가장 낮음(하지만 설정하지 않는 것보다는 나음)
권장 설정
이상적인 2FA 설정은 여러 인증 방식을 동시에 활성화하는 것입니다:
최적 조합: 구글 OTP + 이메일 인증 + SMS 인증
이렇게 설정하면:
- 로그인 시 비밀번호 + 구글 OTP 코드 필요
- 출금 시 비밀번호 + 구글 OTP 코드 + 이메일 인증 코드 필요
- 보안 설정 변경 시 모든 인증 방식 필요
구글 OTP 설정
상세한 구글 OTP 설정 단계는 본 사이트의 전용 글을 참고하세요. 여기서는 핵심 사항만 강조합니다:
- 반드시 비밀 키를 백업하세요: 안전한 물리적 장소에 수기로 보관
- 스크린샷으로 저장하지 마세요: 악성 소프트웨어가 스크린샷을 탈취할 수 있습니다
- 시간 동기화 확인: 휴대폰 시간이 정확하지 않으면 인증 코드 오류가 발생합니다
- 보조 기기 고려: 두 번째 기기에도 동일한 키를 추가하여 백업으로 사용
이메일 인증 설정
- 바이낸스 보안 센터에 접속합니다
- 이메일을 연동하고 인증을 완료합니다
- 이메일 자체에도 2단계 인증을 활성화합니다
- 안전한 이메일 서비스를 사용합니다(Gmail, Outlook 추천)
3. 피싱 방지 코드
피싱 방지 코드란?
피싱 방지 코드는 바이낸스에서 설정하는 고유 문자열입니다. 설정 후 바이낸스가 보내는 모든 공식 이메일에 이 문자열이 포함됩니다. 수신한 "바이낸스 이메일"에 피싱 방지 코드가 없다면 해당 이메일은 피싱 이메일입니다.
설정 방법
- 바이낸스 로그인 → 보안 센터
- "피싱 방지 코드" 옵션을 찾습니다
- "활성화" 또는 "설정"을 클릭합니다
- 4~20자의 피싱 방지 코드를 입력합니다
- 설정을 확인합니다
설정 시 권장 사항
- 기억하기 쉽지만 추측하기 어려운 문자 조합을 사용하세요
- 비밀번호와 동일한 문자열을 사용하지 마세요
- 공개된 개인 정보(닉네임, 생년월일 등)를 사용하지 마세요
- 설정 후 테스트 이메일을 발송하여 기능이 정상 작동하는지 확인하세요
피싱 이메일 식별
피싱 방지 코드 설정 후 이메일 진위를 판별하는 방법:
정상 이메일: 이메일 본문의 눈에 띄는 위치에 설정한 피싱 방지 코드가 표시됩니다 피싱 이메일: 피싱 방지 코드가 없거나 잘못된 코드가 표시됩니다
4. 기기 관리
로그인 기기 확인
어떤 기기가 바이낸스 계정에 로그인했는지 정기적으로 확인하세요:
- 보안 센터 → 기기 관리에 접속합니다
- 로그인된 모든 기기 목록을 확인합니다
- 각 기기에는 기기 유형, 운영체제, 로그인 시간, IP 주소가 표시됩니다
의심스러운 기기 식별
다음과 같은 상황이 발견되면 주의해야 합니다:
- 모르는 기기가 나타남
- 방문한 적 없는 도시나 국가의 IP 주소가 표시됨
- 조작하지 않은 시간대에 새로운 로그인 기록이 나타남
의심스러운 로그인 처리
의심스러운 기기를 발견한 경우:
- 즉시 해당 기기를 제거합니다: 기기 옆의 "삭제" 또는 "제거" 버튼을 클릭합니다
- 즉시 비밀번호를 변경합니다: 완전히 새로운 강력한 비밀번호를 사용합니다
- 계정을 점검합니다: 비정상적인 거래나 출금 기록이 있는지 확인합니다
- 모든 보안 설정을 초기화합니다: 침입이 확인되면 모든 보안 인증을 재설정합니다
- 고객 서비스에 연락합니다: 자산 손실이 있으면 즉시 바이낸스 고객 서비스에 문의합니다
5. 출금 화이트리스트
기능 설명
출금 화이트리스트는 중요한 보안 기능입니다. 활성화하면 암호화폐는 미리 화이트리스트에 추가된 주소로만 출금할 수 있습니다. 계정이 해킹되더라도 공격자가 자신의 주소로 자산을 출금할 수 없습니다.
설정 방법
- 보안 센터 → 출금 화이트리스트에 접속합니다
- 화이트리스트 기능을 활성화합니다
- 자주 사용하는 출금 주소를 추가합니다
- 새 주소를 추가할 때마다 모든 보안 인증을 통과해야 합니다
- 새로 추가된 주소는 24시간의 대기 기간이 있을 수 있습니다
사용 권장 사항
- 본인이 관리하는 지갑 주소만 추가하세요
- 추가 전 모든 문자를 꼼꼼히 확인하세요
- 정기적으로 화이트리스트를 검토하고 더 이상 사용하지 않는 주소를 제거하세요
- 화이트리스트를 활성화하면 모든 출금은 화이트리스트 내 주소로만 가능합니다
6. 로그인 보안 설정
IP 주소 제한
일부 보안 설정에서는 로그인 IP 범위를 제한할 수 있습니다:
- IP 주소가 비교적 고정적이라면 IP 제한 활성화를 고려하세요
- 새 IP에서 로그인할 때 추가 보안 인증이 필요합니다
로그인 알림
모든 로그인 알림이 활성화되어 있는지 확인하세요:
- 이메일 알림: 매 로그인 시 이메일 알림 발송
- APP 푸시 알림: 실시간 로그인 알림 푸시
- SMS 알림: 중요 보안 이벤트 SMS 알림
자동 잠금
일정 시간 비활동 후 계정이 자동으로 잠기도록 설정하세요:
- 웹 버전: 브라우저 탭을 닫으면 재인증 필요
- APP: 일정 시간 후 재인증이 필요하도록 설정 가능
7. API 키 보안
API 키가 필요한 경우
서드파티 거래 도구, 퀀트 트레이딩 봇 또는 데이터 분석 도구를 사용하는 경우 API 키를 생성해야 할 수 있습니다.
API 보안 원칙
- 최소 권한 원칙: 필요한 권한만 부여합니다(데이터 읽기만 필요하면 거래 권한을 부여하지 마세요)
- IP 제한: API 키를 특정 IP 주소에서만 사용하도록 제한합니다
- 출금 권한 미부여: 절대적으로 필요한 경우가 아니라면 API의 출금 기능을 활성화하지 마세요
- 정기적 교체: API 키를 정기적으로 교체합니다
- 안전한 저장: API 키를 안전하지 않은 곳에 저장하지 마세요
안전한 API 키 생성
- 보안 센터 → API 관리
- 새 API 키를 생성합니다
- 필요한 권한만 선택합니다
- IP 화이트리스트를 설정합니다
- Secret Key를 안전하게 저장합니다(한 번만 표시됨)
8. 일반적인 공격 식별 및 방어
피싱 공격
특징:
- 바이낸스를 모방한 웹사이트로 공식 도메인과 약간 다른 도메인명
- "보안 인증" 또는 "계정 업그레이드"가 필요하다며 정보 입력을 요구
- 이메일, SMS 또는 소셜 미디어를 통해 링크 전파
방어:
- 주소를 수동으로 입력하거나 북마크를 사용하세요
- 피싱 방지 코드를 확인하세요
- 이메일의 링크를 클릭하지 마세요
- 브라우저 내장 피싱 사이트 감지 기능을 사용하세요
소셜 엔지니어링 공격
특징:
- 바이낸스 고객 서비스를 사칭하여 소셜 미디어로 연락
- 당첨이나 혜택이 있으니 협조가 필요하다고 주장
- "문제 해결을 도와주겠다"며 비밀번호나 인증 코드를 요구
방어:
- 바이낸스 고객 서비스는 공식 채널을 통해서만 연락합니다
- 절대로 비밀번호와 인증 코드를 누구에게도 알려주지 마세요
- "예상치 못한 좋은 소식"에 항상 경계하세요
SIM 카드 탈취
특징:
- 공격자가 소셜 엔지니어링을 통해 통신사에서 사용자의 전화번호를 새 SIM 카드로 이전
- 이후 공격자가 사용자의 SMS 인증 코드를 수신할 수 있게 됨
방어:
- SMS 인증에만 의존하지 말고 구글 OTP를 활성화하세요
- 통신사에 SIM 카드 변경에 대한 추가 인증을 설정하세요
- 소셜 미디어에 전화번호를 공개하지 마세요
악성 소프트웨어
특징:
- 키로거가 입력하는 비밀번호를 기록
- 클립보드 하이재커가 복사한 암호화폐 주소를 교체
- 원격 제어 트로이 목마가 기기를 직접 조작
방어:
- 신뢰할 수 있는 보안 소프트웨어를 설치하세요
- 출처 불명의 프로그램을 다운로드하지 마세요
- 정기적으로 시스템을 검사하세요
- 출금 시 주소의 모든 문자를 꼼꼼히 확인하세요
9. 보안 점검 체크리스트
정기적으로(월 1회) 다음 보안 점검을 수행하는 것을 권장합니다:
기본 점검
- [ ] 비밀번호가 여전히 안전한지(최근 데이터 유출 사고가 사용 중인 서비스에 영향을 미쳤는지)
- [ ] 구글 OTP가 정상 작동하는지
- [ ] 피싱 방지 코드가 설정되어 있는지
- [ ] 로그인 알림이 정상적으로 수신되는지
기기 점검
- [ ] 기기 관리에 의심스러운 기기가 있는지
- [ ] 휴대폰과 컴퓨터의 보안 소프트웨어가 업데이트되었는지
- [ ] 운영체제가 최신 버전인지
고급 점검
- [ ] API 키 권한이 합리적인지
- [ ] 출금 화이트리스트 주소가 정확한지
- [ ] 최근 거래 기록에 이상이 없는지
- [ ] 연동된 이메일과 전화번호가 안전한지
10. 긴급 상황 대처
계정 도용 발견 시
계정 침입이 의심되면 즉시 다음을 실행하세요:
- 비밀번호 변경: 완전히 새로운 강력한 비밀번호를 사용합니다
- 의심스러운 기기 제거: 기기 관리에서 모르는 기기를 모두 삭제합니다
- 거래 및 출금 기록 확인: 승인되지 않은 작업이 있는지 확인합니다
- 바이낸스 고객 서비스 연락: 공식 채널을 통해 보안 사건을 신고합니다
- 계정 동결(필요 시): 보안 설정에서 계정을 임시 동결할 수 있습니다
- 모든 보안 인증 재설정
휴대폰 분실 시
- 컴퓨터를 통해 바이낸스에 로그인하여 계정 보안을 확인합니다
- 구글 OTP 백업 키가 있다면 새 기기에서 복원합니다
- 백업이 없다면 바이낸스의 보안 인증 재설정 절차를 통해 처리합니다
- 통신사에 연락하여 SIM 카드를 분실 신고합니다
- 다른 기기를 사용하여 연관된 모든 계정의 비밀번호를 변경합니다
결론
계정 보안은 체계적인 작업이며, 한두 가지만 설정한다고 해서 끝나는 것이 아닙니다. 본 글에서 소개한 보안 조치는 기본적인 비밀번호 관리부터 고급 API 보안까지 바이낸스 계정 보안의 모든 측면을 다루고 있습니다.
대륙 사용자에게 가장 핵심적인 권장 사항은 다음과 같습니다:
- 강력한 비밀번호를 설정하고 비밀번호 관리자를 사용하세요
- 구글 OTP를 활성화하고 키를 안전하게 백업하세요
- 피싱 방지 코드를 설정하세요
- 기기 관리와 로그인 기록을 정기적으로 점검하세요
- 출금 화이트리스트를 활성화하세요
보안에 사소한 것은 없습니다. 몇 분간의 보안 설정으로 향후 발생할 수 있는 큰 손실을 방지할 수 있습니다.