결론부터 말씀드리자면, 더 이상 사용하지 않는 바이낸스 API Key는 'API 관리' 페이지에서 단순한 '비활성화(Disable)'가 아닌 **'삭제(Delete)'**를 해야 합니다. 삭제는 되돌릴 수 없지만, 비활성화된 API는 누군가에 의해 다시 활성화될 위험이 있기 때문입니다. API 삭제 후에는 계정 접속 기기 목록과 최근 API 호출 기록도 함께 점검하는 것이 좋습니다. 계정에 접속하여 설정해야 한다면 바이낸스 공식 웹사이트로 접속하십시오. 앱 사용자의 경우 안드로이드는 바이낸스 공식 앱을, 애플 사용자는 iOS 설치 튜토리얼을 참고하여 다운로드하시기 바랍니다.
바이낸스 계정 해킹 사건의 약 30%는 직접적인 로그인 암호 유출이 아닌 API Key 유출로 발생합니다. 사용자가 매매 봇(BOT), 자동매매(퀀트) 플랫폼, 카피 트레이딩 도구 등을 사용한 뒤 API 삭제를 잊어버리는 것은 내 계정에 영구적인 뒷문을 열어두는 것과 같습니다. 이 글에서는 API를 완전히 지우고 보안을 유지하는 방법을 설명합니다.
왜 비활성화가 아니라 삭제를 해야 하는가?
바이낸스는 두 가지 API 상태 관리 방식을 제공합니다:
| 조치 | 복구 가능 여부 | 보안 등급 |
|---|---|---|
| API 비활성화 | 복구 가능 | 낮음 |
| API 삭제 | 복구 불가능 | 높음 |
'비활성화'는 일시적으로 꺼두는 것일 뿐이어서, 계정이 해킹당하면 해커가 다시 켜서 쓸 수 있습니다. 반면 '삭제'는 데이터베이스에서 해당 Key 자체를 없애버리므로, 해커가 지워진 Key를 되살릴 방법이 전혀 없습니다.
따라서 핵심 원칙은 **"단기간 안 쓰면 비활성화, 영영 안 쓰면 삭제"**입니다. 이 API를 다시 쓸 일이 확실히 없다면 남겨둘 이유가 전혀 없습니다.
API 삭제 단계
1단계: API 관리 페이지 진입
바이낸스 계정 로그인 후 다음 경로로 이동합니다:
- PC 웹 경로: 계정 아이콘 → API 관리(API Management)
- 앱(App) 경로: 계정 아이콘 → 설정(Settings) → API 관리
페이지에 진입하면 그동안 생성했던 모든 API Key 목록이 나타납니다. 각 Key마다 다음 정보가 표시됩니다:
- 이름 (생성 시 지정한 이름)
- 생성 시간
- 권한 범위 (읽기 / 현물 및 마진 거래 / 선물 거래 / 출금)
- 마지막 사용 시간
2단계: 각 API의 최근 사용 현황 점검
만약 어떤 API의 마지막 사용 시간이 30일 이전이라면 사실상 더 이상 쓰지 않는다고 봐도 무방합니다. 다만, 해당 API가 장기 실행 전략에 연결되어 있는지 먼저 확인해야 합니다:
- 퀀트 트레이딩 봇: 매일 호출될 수 있음
- 카피 트레이딩 툴: 거래가 있을 때마다 호출됨
- 세금 신고/포트폴리오 소프트웨어: 매월 혹은 분기별 1회 호출될 수 있음
확실하지 않다면 먼저 일주일 정도 '비활성화'를 해보고 사용 중인 서비스에서 오류가 발생하지 않는다면 그때 삭제하십시오.
3단계: 삭제 실행
삭제할 Key를 찾은 뒤 '삭제(Delete)' 버튼을 클릭합니다. 시스템은 3단계 인증을 요구할 것입니다:
- 이메일 인증번호
- Google Authenticator(구글 OTP) 6자리 동적 코드
- 휴대전화 문자(SMS) 인증 (연동된 경우)
모든 인증을 통과하면 Key는 즉시 삭제되며 복구할 수 없습니다.
4단계: 삭제 완료 확인
페이지를 새로고침하여 목록에서 해당 Key가 완전히 사라졌는지 확인합니다. '비활성화'된 Key는 목록에 회색으로 남아있지만, '삭제'된 Key는 아예 보이지 않습니다.
즉시 API를 삭제해야 하는 4가지 상황
현재 사용 중이든 아니든, 다음 상황에서는 API를 즉시 지워야 합니다:
상황 1: API Secret이 GitHub 등 공개된 곳에 유출되었을 때
GitHub 공개 저장소에 API Secret이 포함된 코드가 올라가면 자동 스캐너에 의해 노출됩니다. 공격자들은 매일 스크립트를 돌려 유출된 Key를 찾으며, 불과 몇 분 안에 해커의 손에 들어갑니다. Secret이 유출된 것을 인지했다면:
- 바이낸스에서 해당 Key를 즉시 삭제합니다.
- 새 Key를 만들 때 '출금 허용(Enable Withdrawals)'은 절대 체크하지 마십시오.
- IP 화이트리스트를 설정하세요.
- Secret이 포함된 코드는
.gitignore에 넣거나 환경 변수(Environment Variables)를 사용하도록 코드를 수정하세요.
상황 2: 이용하던 퀀트 플랫폼의 폐업 또는 해킹
3Commas, Pionex 등 타사 퀀트 거래 플랫폼에서 보안 사고가 발생했을 경우:
- 플랫폼 해킹: 해커가 해당 플랫폼 이용자들의 모든 API Key를 탈취했을 수 있습니다.
- 플랫폼 폐업(먹튀): 운영진이 마지막으로 유저들의 계정을 악의적으로 조작할 수 있습니다.
어떤 플랫폼이든 서비스를 더 이상 사용하지 않게 되었다면 즉시 해당 API를 지워야 합니다. 전 서비스 제공자에게 권한을 남겨두지 마십시오.
상황 3: 카피 트레이딩 서비스 종료 후
카피 트레이딩 기간이 만료되거나 자발적으로 서비스를 중단한 뒤에도, 리드 트레이더나 서드파티 툴이 가진 API Key는 여전히 유효할 수 있습니다. 본인이 직접 지우지 않으면 상대방에게 계속 권한을 주는 셈이며, 타인이 나의 잔고와 거래 내역을 계속 들여다볼 수 있습니다.
상황 4: 내가 만들지 않은 낯선 API Key 발견
API 관리 페이지에 들어갔는데 본인이 생성한 적 없는 Key가 보인다면 즉시 삭제하고 비상 조치를 취해야 합니다:
- 계정 비밀번호 변경
- 2FA(구글 OTP 등) 초기화
- 모든 기기에서 원격 로그아웃
- 계정 동결(비활성화) 신청
이는 귀하의 계정이 이미 뚫렸다는 아주 명백한 신호입니다.
API 보안 설정을 위한 모범 사례(Best Practices)
만약 퀀트 전략 등 타사 툴을 계속 사용해야 한다면, 아래 보안 수칙을 반드시 따르십시오.
제1원칙: '출금 허용(Enable Withdrawals)'은 절대 체크하지 않기
바이낸스 API 생성 시 4가지 권한 옵션이 있습니다:
| 권한 | 용도 | 권장 여부 |
|---|---|---|
| 읽기 전용 (Enable Reading) | 자산 및 주문 조회 | 예 (기본값) |
| 현물/마진 거래 허용 | 주문 등록 및 취소 | 필요에 따라 |
| 출금 허용 (Enable Withdrawals) | 외부 지갑으로 전송 | 절대 금지 |
| 유니버설 트랜스퍼 허용 | 서브 계정 간 이동 | 필요에 따라 |
'출금 허용'만 켜지 않으면 API가 해킹당하더라도 해커는 내 코인을 훔쳐 갈 수 없습니다. 해커가 마음대로 주문을 넣는 장난은 칠 수 있지만 코인은 바이낸스 계정 안에 그대로 남습니다. 이것이 가장 핵심적인 방어선입니다.
제2원칙: IP 화이트리스트(IP Whitelist) 설정
API를 만들 때 이 Key를 호출할 수 있는 IP 주소를 지정할 수 있습니다. 이를 설정하면:
- 등록된 화이트리스트 IP에서만 해당 API를 사용할 수 있습니다.
- 다른 IP에서 접근하면 403 에러를 반환하며 차단합니다.
적용하기 좋은 경우:
- 고정된 VPS(가상 서버)에서 봇을 돌릴 때 해당 VPS의 고정 IP 등록
- 개인 컴퓨터에서 고정된 IP를 사용할 때
적용하기 어려운 경우:
- 카페, 모바일 데이터 등 네트워크를 자주 바꾸는 모바일 환경
- 수시로 IP가 바뀌는 VPN 사용 시
제3원칙: API는 목적별로 하나씩 따로 생성하기
하나의 API Key를 여러 도구에 돌려쓰지 마십시오. 도구마다 독립적인 Key를 생성해야 문제가 생겼을 때 해당 Key 하나만 지우면 되어 다른 서비스에 영향을 주지 않습니다. 용도에 맞게 명확하게 이름을 지어주세요.
- "3Commas-현물매매"
- "PionexBot-선물매매"
- "세무신고용-조회전용"
제4원칙: 정기적인 API 키 교체 (Rotation)
6~12개월마다 능동적으로 API Key를 한 번씩 바꿔주세요:
- 기존 Key 삭제
- 동일한 권한을 가진 새로운 Key 발급
- 타사 도구(툴) 설정창에 들어가 새 Key와 Secret 업데이트
자주 교체해 주면 장기간 Key를 보유함에 따른 누출 위험을 크게 줄일 수 있습니다.
API 삭제 후의 사후 점검
API를 삭제했다면 다음 확인 작업까지 마치는 것이 안전합니다:
- 거래 내역 확인: 최근 30일 동안 내가 모르는 주문 체결 내역이 있는지 확인
- 자산 변동 확인: 잔고가 예상과 일치하는지 확인
- P2P 주문 확인: 비정상적인 P2P 거래 기록이 있는지 확인
- 계정 보안 로그: 계정 → 보안 → 보안 활동 기록에서 최근 API 호출/로그인 기록 점검
만약 어떠한 이상 징후라도 발견된다면 즉각 계정을 동결하십시오.
자주 묻는 질문(FAQ)
Q: 여러 개의 API를 한 번에 일괄 삭제할 수 있나요?
불가능합니다. 바이낸스는 보안을 위해 각 API를 개별적으로 삭제하고 2FA 인증을 거치도록 강제하고 있습니다. 이는 사용자의 실수나 자동화 스크립트에 의한 일괄 삭제 공격을 막기 위한 조치입니다.
Q: API를 삭제하면 내 계정의 자산에 영향을 주나요?
전혀 영향을 주지 않습니다. API Key는 외부에서 접근할 수 있는 '허가증'일 뿐이므로, 이를 지웠다고 해서 지갑 잔고나 과거 거래 내역, 주문서가 바뀌지는 않습니다.
Q: API를 지웠을 때 기존에 걸어둔 미체결 주문은 어떻게 되나요?
이미 바이낸스 서버에 등록된 대기 주문(Limit Order 등)은 API 삭제에 영향을 받지 않으며 원래 설정한 조건대로 실행 대기 상태를 유지합니다. 다만 봇이 더 이상 해당 API로 이 주문을 취소하거나 수정할 수는 없으므로, 사용자가 직접 앱/웹에 로그인하여 수동으로 관리해야 합니다.
Q: 내 API의 과거 호출 기록을 볼 수 있나요?
네. 계정 → 보안 → '계정 활동 기록' 쪽에 들어가시면 접속 IP, 시간, 작업 유형 등 모든 API 호출 내역이 남아 있습니다. API 해킹이 의심된다면 가장 먼저 이곳을 확인하세요.
Q: 만들 수 있는 API 갯수에 제한이 있나요?
일반 사용자는 최대 30개의 유효한 API Key를 가질 수 있으며, VIP 사용자는 더 높은 한도가 적용됩니다. 더 이상 쓰지 않는 Key를 지우면 새 도구를 연결할 여유 공간(슬롯)을 확보할 수 있습니다.
Q: 실수로 지웠는데 어떻게 복구하나요?
삭제는 영구적이며 복구할 수 없습니다. 대신 똑같은 이름으로 새로운 Key를 생성하여 권한과 화이트리스트를 다시 구성하시면 됩니다. 그리고 사용하던 타사 프로그램 설정 화면에 가서 새로운 Key와 Secret 값을 입력해주면 똑같이 작동합니다.
Q: API Key와 Secret 둘 중 어느 것이 더 민감한가요?
둘 다 매우 민감하지만 Secret이 절대적으로 더 중요합니다. Key는 일종의 계정 아이디와 같고, Secret은 비밀번호와 같습니다. Key는 (암호화되긴 하지만) 네트워크 요청 시 전송될 수 있지만, Secret은 절대 전송되지 않고 로컬에서 서명을 생성할 때만 쓰입니다. 따라서 Secret이 털렸다는 것은 해커가 완벽한 제어권을 쥐었음을 의미합니다.
요약
더 이상 안 쓰는 바이낸스 API는 '비활성화'로 놔두지 말고 즉시 삭제하십시오. 삭제 전 이 API가 정기적인 백그라운드 작업을 하고 있지 않은지 확인하시고, 삭제 후에는 최근 30일 내 계정의 이상 활동 여부를 점검해야 합니다. 계속 사용해야 하는 API라 할지라도 '출금 허용' 권한은 절대 부여하지 마시고, IP 화이트리스트를 설정하는 것이 가장 안전합니다. 6개월에서 1년마다 선제적으로 API Key를 교체하여 보안 수준을 항상 높게 유지하십시오.