피싱 사이트는 암호화폐 사용자가 직면하는 가장 큰 온라인 위협 중 하나입니다. 이러한 가짜 바이낸스 사이트는 공식 사이트와 거의 동일한 외관을 가지고 있으며, 목적은 사용자를 속여 계정 비밀번호와 인증 코드를 입력하게 하는 것입니다. 피싱 사이트에서 이러한 정보를 입력하면 공격자는 즉시 실제 계정에 로그인하여 자산을 이체할 수 있습니다. 대륙 사용자의 경우 특정 방법으로 바이낸스에 접속해야 하므로, 검색이나 공유 링크에서 피싱 사이트를 만날 위험이 더 높습니다. 본 글에서는 바이낸스 피싱 사이트를 빠르고 정확하게 식별하는 5가지 실용적인 방법을 알려드립니다.

피싱 사이트가 위험한 이유

피싱 사이트의 작동 원리

피싱 사이트의 운영 방식은 일반적으로 다음과 같습니다:

  1. 공격자가 바이낸스 공식 사이트와 외관이 완전히 동일한 가짜 사이트를 만듭니다.
  2. 검색 엔진 광고, 소셜 미디어, 이메일 등의 경로로 가짜 사이트 링크를 퍼뜨립니다.
  3. 사용자가 진짜 사이트로 착각하고 이메일/전화번호와 비밀번호를 입력합니다.
  4. 가짜 사이트가 사용자가 입력한 정보를 실시간으로 공격자에게 전송합니다.
  5. 공격자는 즉시 진짜 바이낸스 사이트에서 해당 정보로 로그인합니다.
  6. 사용자가 가짜 사이트에서 2FA 인증 코드까지 입력하면, 공격자도 이를 획득하여 사용합니다.
  7. 공격자가 성공적으로 로그인한 후, 신속하게 보안 설정을 변경하거나 자산을 이체합니다.

이 과정은 몇 초 만에 완료될 수 있으며, 사용자는 전혀 모르는 상태에서 이미 피해를 입게 됩니다.

대륙 사용자의 특수 위험

대륙 사용자는 추가적인 피싱 위험에 직면합니다:

  • 바이낸스 공식 사이트에 직접 접속할 수 없어 특정 방법이 필요하므로, 가짜 사이트를 만날 기회가 증가합니다
  • 검색 엔진에 광고를 게재한 피싱 사이트가 섞여 있을 수 있습니다
  • 소셜 그룹에서 전파되는 링크의 진위를 판단하기 어렵습니다
  • 일부 사용자는 도메인을 구별하는 능력이 부족합니다

방법 1: 도메인을 꼼꼼히 확인하기

이것은 가장 기본적이면서도 가장 중요한 식별 방법입니다.

바이낸스의 공식 도메인

바이낸스의 주요 공식 도메인은 binance.com입니다.

이외에도 바이낸스는 특정 서비스를 위한 다른 공식 도메인을 보유하고 있으며, 바이낸스 공식 채널을 통해 확인할 수 있습니다.

피싱 도메인의 일반적인 수법

공격자는 공식 도메인과 매우 유사한 도메인을 사용합니다:

문자 대체:

  • blnance.com (소문자 L로 i를 대체)
  • b1nance.com (숫자 1로 i를 대체)
  • binnance.com (n이 하나 더 많음)
  • binanc3.com (숫자 3으로 e를 대체)
  • binancee.com (e가 하나 더 많음)

접두사/접미사 추가:

  • binance-login.com
  • binance-verify.com
  • secure-binance.com
  • binance.com.fake-domain.com (서브도메인 사기)

다른 최상위 도메인:

  • binance.org
  • binance.net
  • binance.io
  • binance.cc

Punycode 공격: 라틴 문자와 외관이 동일한 유니코드 문자를 사용합니다:

  • bіnance.com (키릴 문자 і로 라틴 문자 i를 대체)

도메인 확인하는 올바른 방법

  1. 주소 표시줄 확인: 브라우저 주소 표시줄에서 전체 URL을 한 글자씩 꼼꼼히 확인합니다.
  2. 서브도메인 주의: binance.com.attacker.com은 바이낸스 사이트가 아닙니다 -- 실제 도메인은 마지막 두 부분(attacker.com)입니다.
  3. 북마크 사용: 검증된 바이낸스 URL을 브라우저 북마크로 저장하고, 매번 북마크를 통해 접속합니다.
  4. 수동 입력: 북마크를 사용할 수 없다면, 검색이나 링크가 아닌 주소 표시줄에 직접 URL을 입력합니다.

바이낸스 중문 사이트 전용 링크로 가입하고, 올바른 접속 주소를 즐겨찾기에 저장하세요.

방법 2: SSL 인증서 확인하기

SSL 인증서란 무엇인가

SSL 인증서는 웹사이트 신원의 디지털 "신분증"으로, 사용자와 웹사이트 간의 통신이 암호화되어 있음을 보장합니다. 정규 웹사이트는 모두 SSL 인증서를 사용하며, 브라우저 주소 표시줄에 자물쇠 아이콘과 "https://" 접두사가 표시됩니다.

SSL 인증서를 확인하는 방법

  1. 자물쇠 아이콘 확인: 주소 표시줄 왼쪽에 자물쇠 아이콘이 있어야 합니다.
  2. 자물쇠 아이콘 클릭: 클릭하면 인증서 세부 정보를 볼 수 있습니다.
  3. 인증서 발급자 확인: 정규 웹사이트의 SSL 인증서는 유명한 CA 기관에서 발급됩니다.
  4. 인증서 소유자 확인: 인증서가 "Binance" 또는 관련 법인에 발급되었는지 확인합니다.

SSL 인증서의 한계

SSL 인증서가 유일한 판단 근거가 될 수 없다는 점에 유의해야 합니다:

  • 공격자도 피싱 사이트에 SSL 인증서를 발급받을 수 있습니다 (Let's Encrypt의 무료 인증서 등)
  • 자물쇠 아이콘은 통신이 암호화되어 있다는 것만 의미하며, 웹사이트 자체가 신뢰할 수 있다는 것은 아닙니다
  • 따라서 SSL 인증서 확인은 도메인 확인과 함께 사용해야 합니다

방법 3: 바이낸스 공식 검증 도구 사용하기

Binance Verify

바이낸스는 공식 검증 도구인 Binance Verify를 제공하며, 다양한 채널이 바이낸스 공식인지 검증하는 데 사용할 수 있습니다.

사용 방법:

  1. 바이낸스 공식 사이트에 접속하여 "Binance Verify" 도구를 찾습니다.
  2. 검증하려는 내용을 입력합니다:
    • 웹사이트 도메인
    • 이메일 주소
    • 전화번호
    • Telegram 사용자명
    • Twitter 계정
    • 위챗 ID
  3. 도구가 해당 채널이 바이낸스 공식에 속하는지 알려줍니다.

주의: Binance Verify를 사용할 때, 진짜 바이낸스 공식 사이트에서 이 도구를 사용하고 있는지 확인하세요 (도메인 검증에 주의).

바이낸스 앱 내 검증

바이낸스 앱을 통해 각종 기능과 정보에 접근하는 것이 가장 안전한 방법입니다. 앱 내의 링크와 기능은 모두 검증된 것이기 때문입니다.

방법 4: 웹사이트 행동 관찰하기

정상 웹사이트가 하지 않는 것들

다음 행동은 피싱 사이트의 전형적인 특징입니다:

  1. 긴급 팝업 표시: 접속하자마자 "계정에 보안 위험이 있으니 즉시 인증하세요"라는 팝업이 뜹니다.
  2. 니모닉/개인 키 입력 요구: 지갑 니모닉이나 개인 키 입력을 요구하는 "바이낸스" 페이지는 모두 가짜입니다.
  3. 비정상적인 인증 코드 요청: 인증 코드가 필요하지 않은 작업에서 인증 코드를 요구합니다.
  4. 페이지 오류 및 이상: 일부 링크가 클릭되지 않거나, 페이지 레이아웃이 비정상이거나, 특정 기능이 누락되어 있습니다.
  5. 다운로드 프롬프트: 파일 다운로드 프롬프트가 자동으로 뜹니다.

웹사이트 세부 차이

피싱 사이트는 외관을 비슷하게 모방하지만, 일반적으로 다음 측면에서 공식 사이트와 차이가 있습니다:

  1. 푸터 정보: 법적 고지, 등록 번호 등의 정보가 누락되거나 부정확할 수 있습니다.
  2. 다국어 지원: 제한된 언어만 지원할 수 있습니다.
  3. 상호작용 기능: 고객센터, FAQ 등 하위 페이지가 정상적으로 접근되지 않을 수 있습니다.
  4. 로딩 속도: 피싱 사이트의 로딩 속도가 공식 사이트와 다를 수 있습니다.

바이낸스 앱을 안전하게 다운로드하여 피싱 위험을 방지하세요: 안드로이드 APK 다운로드

방법 5: 안티피싱 코드와 브라우저 도구 활용하기

안티피싱 코드의 활용

바이낸스에서 이미 안티피싱 코드를 설정했다면, 이를 활용하여 간접적으로 웹사이트를 검증할 수 있습니다:

  1. 의심스러운 웹사이트에서 "로그인"한 후 (이미 피해를 입은 경우), 이후 수신된 바이낸스 이메일에 안티피싱 코드가 포함되어 있는지 확인합니다.
  2. 이메일에 안티피싱 코드가 포함되어 있지 않다면, 해당 이메일도 가짜일 수 있으며 피싱 사이트와 함께 사용되는 것입니다.

하지만 가장 좋은 방법은 의심스러운 웹사이트에서 아무 정보도 입력하지 않는 것입니다.

브라우저 보안 도구

브라우저 확장 프로그램을 활용하여 피싱 방어를 강화합니다:

추천 보안 확장 프로그램:

  1. Netcraft Extension: 피싱 사이트를 실시간으로 탐지합니다.
  2. Google Safe Browsing: Chrome 내장 보안 브라우징 기능입니다 (활성화되어 있는지 확인하세요).
  3. uBlock Origin: 광고 및 악성 사이트 차단 프로그램입니다.

브라우저 내장 보호 기능:

  • Chrome, Firefox, Edge 등 최신 브라우저에는 모두 피싱 사이트 경고 기능이 내장되어 있습니다
  • 브라우저의 "안전 브라우징" 또는 "피싱 및 악성 소프트웨어 보호" 기능이 활성화되어 있는지 확인하세요
  • 브라우저를 최신 버전으로 적시에 업데이트하세요

검색 엔진 사용 팁

  1. 광고를 클릭하지 않기: 검색 결과의 광고 링크는 피싱 사이트일 수 있습니다. 자연 검색 결과만 클릭하세요.
  2. URL을 꼼꼼히 확인: 검색 결과를 클릭하기 전에 표시된 URL이 올바른지 확인하세요.
  3. 북마크 우선 사용: 바이낸스 공식 URL을 북마크로 저장하여, 매번 검색 엔진을 통해 접속하는 것을 피하세요.

실전 연습: 다음 중 피싱 사이트는 어느 것일까요

다음 예시를 통해 식별 능력을 연습해 보세요:

예시 1: https://www.binance.com/zh-CN/login

  • 판단: 올바른 바이낸스 도메인, HTTPS 사용, 경로가 합리적입니다. 진짜 사이트일 가능성이 있습니다.

예시 2: https://www.blnance.com/zh-CN/login

  • 판단: 도메인에서 "i"가 "l"로 대체되었습니다. 이것은 피싱 사이트입니다.

예시 3: https://binance.com.login-verify.net/secure

  • 판단: 실제 도메인은 "login-verify.net"이며 "binance.com"이 아닙니다. 이것은 피싱 사이트입니다.

예시 4: https://www.binance.org/login

  • 판단: ".com"이 아닌 ".org" 최상위 도메인을 사용합니다. Binance Verify를 통해 확인이 필요합니다. 고도로 의심스럽습니다.

이미 피싱 사이트에 접속한 경우 어떻게 해야 할까요

피싱 사이트에서 이미 정보를 입력한 경우:

즉시 조치

  1. 바이낸스 비밀번호 변경: 즉시 진짜 바이낸스 사이트나 앱에 로그인하여 비밀번호를 변경합니다.
  2. 보안 설정 확인: 2FA 설정, 출금 화이트리스트 등이 변조되지 않았는지 확인합니다.
  3. 계정 동결: 계정이 침입당한 것으로 의심되면 "계정 비활성화" 기능을 사용합니다.
  4. 거래 기록 확인: 승인되지 않은 거래나 출금 작업이 있는지 확인합니다.
  5. 이메일 비밀번호 변경: 피싱 사이트에서 이메일과 비밀번호를 입력했고, 이메일이 동일한 비밀번호를 사용한다면 즉시 변경합니다.
  6. 고객 서비스 연락: 공식 채널을 통해 바이낸스 고객 서비스에 상황을 보고합니다.

후속 조치

  1. 모든 관련 계정의 비밀번호를 전면적으로 업데이트합니다
  2. 컴퓨터/휴대폰에 악성 소프트웨어가 있는지 검사합니다
  3. 브라우저 캐시와 쿠키를 삭제합니다
  4. 바이낸스에 피싱 사이트 URL을 신고합니다

장기적인 방어 습관 구축

일상 보안 습관

  1. 북마크로 접속: 항상 브라우저 북마크나 바이낸스 앱을 통해 접속하고, 검색 엔진이나 타인이 공유한 링크를 사용하지 않습니다.
  2. 확인 후 조작: 매번 바이낸스 사이트에 접속할 때 3초간 도메인이 올바른지 확인합니다.
  3. 이메일 링크 클릭하지 않기: 바이낸스 이메일을 받은 후 이메일의 링크를 클릭하지 않고, 직접 앱이나 사이트를 엽니다.
  4. 의심 유지: "긴급 조작"을 요구하는 모든 정보에 대해 높은 의심을 유지합니다.
  5. 보안 지식 업데이트: 바이낸스 공식 보안 공지를 팔로우하여 최신 피싱 수법을 파악합니다.

타인 돕기

피싱 사이트를 발견한 경우:

  1. 해당 사이트에서 아무 정보도 입력하지 않습니다
  2. 사이트의 URL을 기록합니다
  3. 바이낸스 공식에 신고합니다
  4. 신뢰할 수 있는 커뮤니티에서 경고 정보를 공유하여 다른 사용자들이 피해를 입지 않도록 돕습니다

자주 묻는 질문

Q1: 바이낸스에는 여러 공식 도메인이 있나요?

A: 네, 바이낸스는 다양한 서비스와 지역을 위해 여러 도메인을 사용할 수 있습니다. 가장 신뢰할 수 있는 검증 방법은 바이낸스의 Binance Verify 도구를 사용하거나, 바이낸스 앱을 통해 직접 조작하는 것입니다.

Q2: 모바일에서도 피싱 사이트를 만날 수 있나요?

A: 네. 모바일 브라우저의 주소 표시줄은 일반적으로 더 작아서 전체 URL을 확인하기 어렵고, 심지어 숨겨져 있을 수도 있습니다. 따라서 모바일에서 더욱 주의가 필요합니다. 모바일 브라우저보다 바이낸스 앱을 우선 사용하는 것을 권장합니다.

Q3: 네트워크 도구를 사용하면 피싱 사이트를 만날 확률이 더 높아지나요?

A: 반드시 그런 것은 아니지만, 네트워크 도구 사용 시 DNS 해석 등의 단계가 하이재킹될 수 있습니다. 신뢰할 수 있는 DNS 서비스(예: 1.1.1.1 또는 8.8.8.8)를 사용하고, 네트워크 도구에서 DNS 누출 방지 기능을 활성화하는 것을 권장합니다.

Q4: AI 기술이 피싱 사이트 식별을 더 어렵게 만드나요?

A: 맞습니다. AI는 공격자가 더 사실적인 피싱 사이트와 이메일을 만드는 데 도움을 줄 수 있습니다. 이는 북마크를 통한 접속, 도메인 확인 등의 보안 습관을 기르는 것이 더욱 중요하다는 것을 부각시킵니다.

요약

바이낸스 피싱 사이트를 식별하는 5가지 핵심 방법은 도메인 확인, SSL 인증서 검증, 공식 검증 도구 사용, 웹사이트 행동 관찰, 보안 도구 활용입니다. 이러한 방법을 습관화하고 매번 바이낸스에 접속할 때 빠른 점검을 수행하면, 피싱 공격의 피해자가 되는 것을 효과적으로 방지할 수 있습니다. 가장 안전한 방법은 북마크나 앱으로 직접 접속하고, 검색 결과나 타인이 공유한 링크를 통해 바이낸스에 접속하지 않는 것임을 기억하세요.

바이낸스 가입 | 바이낸스 앱 다운로드