바이낸스 공식 사이트에서 계정을 등록한 사용자라면 누구나 한 번쯤 「바이낸스」를 사칭한 메일을 받아본 적이 있을 것입니다. 그중 일부는 육안으로 구분하기 힘든 피싱 링크입니다. 바이낸스 공식 앱에서 안티 피싱 코드를 설정하면, 모든 공식 메일에 본인이 직접 설정한 특정 문구가 포함됩니다. iPhone 사용자는 iOS 설치 가이드를 참고하여 클라이언트를 설치하면 5분 안에 설정을 마칠 수 있습니다.
A: 바이낸스 계정 관리 페이지의 「보안 센터」 → 「안티 피싱 코드」로 들어가 8~20자리의 영문+숫자 조합을 입력하고 저장하세요. 이후 발송되는 모든 바이낸스 공식 메일의 본문이나 제목에는 이 문구가 표시됩니다. 이 문구가 보이지 않는 메일은 100% 피싱입니다.
안티 피싱 코드란 정확히 무엇인가요?
A: 안티 피싱 코드(Anti-Phishing Code)는 바이낸스가 계정 소유자에게 부여하는 일종의 '서명 인장'과 같습니다. 나에게 발송되는 모든 공식 메일에 이 코드가 포함되어 해당 메일이 바이낸스 서버에서 발송되었음을 증명합니다. 공격자가 발송하는 피싱 메일은 사용자가 설정한 코드를 알 수 없으므로, 해당 문구가 아예 없거나 틀린 문구가 적혀 있게 됩니다.
작동 원리는 매우 단순합니다:
- 계정 보안 페이지에서 임의의 문자열(예:
MyB1nance2026)을 저장합니다. - 바이낸스 서버는 이 문자열을 사용자의 계정 ID와 연결합니다.
- 이후 발송되는 로그인 알림, 출금 확인, API 생성 알림, 보안 경고 등 모든 메일 본문 상단이나 제목에
Anti-phishing code: MyB1nance2026이 표시됩니다. - 메일에 표시된 문자열이 내가 설정한 것과 일치하면 진짜 메일이고, 일치하지 않거나 없다면 가짜입니다.
피싱 메일 공격자는 이 코드를 위조할 수 없습니다. 사용자가 설정한 코드는 바이낸스 데이터베이스에 저장되어 메일 발송 시에만 삽입되기 때문에 외부에서는 전혀 알 방법이 없기 때문입니다.
왜 반드시 안티 피싱 코드를 설정해야 하나요?
A: 2025년 이후 암호화폐 사용자를 노리는 피싱 메일은 점점 정교해져서 단순히 「도메인」이나 「서명」만 보고는 판단하기 어렵기 때문입니다. 공격자들은 바이낸스의 메일 HTML 템플릿을 그대로 복제하며, 하단에 기재된 법적 고지문까지 토씨 하나 틀리지 않고 흉내 낼 수 있어 일반 사용자가 육안으로 식별하기란 사실상 불가능합니다.
피싱 메일의 흔한 위장 수법
- 발신자 주소를
noreply@binance.com으로 표시(실제로는 위조된 주소). - 바이낸스 공식 메일 템플릿을 그대로 복제한 HTML 구성.
- 링크 텍스트는
binance.com으로 적혀 있지만, 마우스를 올리면 실제 주소는binance-login.xyz로 연결됨. - 긴박한 어조 사용: 「계정에 비정상적인 로그인이 감지되었습니다. 즉시 클릭하여 인증하세요.」
- 가짜 출금 신청: 「5 BTC 출금 신청이 접수되었습니다. 10분 후 실행되니 본인이 아니라면 취소하세요.」
안티 피싱 코드를 설정해 두면 도메인이나 링크를 일일이 확인할 필요 없이, 메일 안에 내가 설정한 문자열이 있는지 한눈에 훑어보는 것만으로 충분합니다. 코드가 없다면 가짜입니다. 바로 삭제하세요.
1단계: 계정 로그인 후 보안 설정으로 이동
A: 앱보다 웹 버전에서 설정하는 것이 더 편리하므로 PC 사용을 권장합니다. 모바일 앱은 메뉴가 조금 더 복잡하게 숨겨져 있을 수 있습니다.
PC 버전:
- 바이낸스 계정에 로그인합니다.
- 우측 상단의 프로필/이메일 아이콘에 마우스를 올립니다.
- 드롭다운 메뉴에서 「보안」(Security)을 선택합니다.
- 페이지 중하단으로 스크롤하여 「안티 피싱 코드」(Anti-Phishing Code) 항목을 찾습니다.
- 「활성화」 또는 「편집」을 클릭합니다.
앱 버전:
- 바이낸스 앱을 열고 왼쪽 상단의 프로필 아이콘을 누릅니다.
- 「보안」을 선택합니다.
- 하단으로 스크롤하여 「안티 피싱 코드」를 찾습니다.
2단계: 적절한 안티 피싱 코드 설정하기
A: 좋은 안티 피싱 코드는 세 가지 조건을 갖춰야 합니다. 충분히 길고, 독특하며, 본인이 한눈에 알아볼 수 있어야 합니다. 바이낸스는 4~20자리를 요구하지만, 4자리는 무작위 대입 공격(Brute Force)이나 추측에 취약할 수 있습니다.
권장하는 안티 피싱 코드 형식
- 길이: 8~20자리
- 문자 구성: 대소문자 영문 + 숫자 (숫자만 사용하는 것은 지양)
- 포함 내용: 본인만의 기억 포인트 + 무작위 문자
- 예시:
Cat$BnB7724,SeaMoon2026Bn,Q3pPpYQ9
피해야 할 사례
- 비밀번호 사용 금지 - 로그인 비밀번호와 동일한 문자열을 사용하는 것은 보안 위험을 가중시킵니다.
- 생일 사용 금지 -
19920328같은 숫자는 유추하기가 너무 쉽습니다. - 이름의 영문 철자 사용 금지 -
zhangsan2026등은 의미가 없어 보안상 좋지 않습니다. - 단순 숫자 나열 금지 -
12345678은 너무 취약합니다. - 일반적인 단어 사용 금지 -
binance123,password등 유출된 사전 데이터에 포함된 단어는 피하세요. - 다른 곳에서 쓰는 문자열 복제 금지 - 연관성 분석을 통해 추측될 확률을 낮춰야 합니다.
설정 후 저장하면 바이낸스에서 확인을 위해 2FA 인증 코드를 요구합니다. 이 문자열은 비밀번호가 아니므로 유출된다고 해서 바로 계정이 해킹되는 것은 아니지만, 「메일 진위 확인」이라는 목적을 상실하게 되므로 채팅창에 공유하거나 공개된 메모장에 적어두지 마세요.
3단계: 메일에서 안티 피싱 코드 확인하기
A: 설정을 완료하면 바이낸스에서 즉시 확인 메일을 발송합니다. 그 안에 본인이 설정한 코드가 들어있습니다. 이 메일을 테스트 샘플로 활용하세요.
메일함을 열어 바이낸스에서 보낸 최신 메일을 확인해 보세요. 본문 최상단이나 하단에 다음과 같은 줄이 표시됩니다:
Anti-phishing code: Cat$BnB7724
또는 한국어 설정 시:
안티 피싱 코드: Cat$BnB7724
메일 유형에 따라 위치가 조금 다를 수 있습니다:
- 로그인 알림: 주로 제목 뒤나 본문 첫 줄에 위치.
- 출금 확인: 본문 중간의 「확인 버튼」 바로 위에 위치.
- 보안 경고: 제목에 포함.
- 마케팅 메일: 보통 포함되지 않음 (이는 보안에 지장을 주지 않는 일반 홍보물임을 나타내기 위한 바이낸스의 의도적인 설정입니다).
로그인, 출금, API 생성, 비밀번호 변경, 2FA 재설정 등 계정 조작과 관련된 모든 메일에는 반드시 안티 피싱 코드가 포함되어야 합니다. 없다면 가짜입니다.
피싱 메일 vs 진짜 메일 비교
A: 아래 표의 체크 포인트를 확인하면 한눈에 판단할 수 있습니다.
| 식별 포인트 | 진짜 메일 | 피싱 메일 |
|---|---|---|
| 안티 피싱 코드 | 모든 메일에 정확하게 표시됨 | 없거나 엉뚱한 내용이 적혀 있음 |
| 발신자 도메인 | @binance.com 또는 @post.binance.com |
@binance-cn.com, @blnance.com 등 유사 도메인 |
| 링크 위 마우스 오버 시 실제 주소 | 모두 binance.com 하위 경로 |
xx.cc, xx.xyz 등 생소한 도메인으로 연결 |
| 어조 | 객관적인 사실 전달 | 매우 긴박하며 즉각적인 클릭을 유도 |
| 첨부 파일 | 거의 첨부하지 않음 | .zip, .exe, .html 등 첨부 파일 포함 |
| 번역 품질 | 자연스러움 | 번역기를 돌린 듯 어색한 문장이 많음 |
| 수신자 호칭 | 가입 시 설정한 닉네임 사용 | 「친애하는 사용자」, 「Dear user」 등 모호한 호칭 |
| 법적 고지문(푸터) | 홍콩/케이맨 제도 주소 등 상세 정보 포함 | 누락되었거나 정보가 틀림 |
가장 확실한 판단 순서: 먼저 안티 피싱 코드를 확인 → 발신자 도메인 확인 → 링크 위 마우스 오버로 실제 연결 주소 확인. 이 세 단계 중 하나라도 통과하지 못하면 즉시 메일을 삭제하세요.
안티 피싱 코드는 언제 교체해야 하나요?
A: 다음 세 가지 상황에서는 즉시 코드를 교체해야 합니다. 이메일 계정 해킹이 의심될 때, 공식 메일이 아닌데도 정확한 코드가 찍힌 의심스러운 메일을 받았을 때(극히 드물지만 주의 필요), 그리고 설정한 지 1년이 넘었을 때입니다.
권장하는 교체 주기
- 매년 1회 교체 - 비밀번호 변경과 함께 습관화하세요.
- 이메일 비밀번호 유출 후 - 공격자가 메일 내역을 통해 이전 코드를 알 수 있으므로 즉시 교체하세요.
- 로그인 비밀번호 유출 후 - 연관성 분석을 통한 해킹을 방지하기 위해 함께 변경하세요.
- 계정 모니터링이 의심될 때 - 코드 교체와 함께 출금 화이트리스트를 활성화하고 기기 로그아웃을 실행하세요.
교체 절차는 처음 설정할 때와 동일합니다: 보안 설정 → 안티 피싱 코드 편집 → 새로운 값 입력 → 2FA 인증 → 저장. 바이낸스에서는 이전 코드를 보여주지 않으므로, 「기존 코드를 잊어버려서 못 바꾸는」 상황은 발생하지 않습니다.
안티 피싱 코드의 한계
A: 안티 피싱 코드는 만능이 아닙니다. 「메일의 진위 여부」를 확인해 줄 뿐, 「가짜 사이트에 직접 비밀번호를 입력하는 행위」를 막아주지는 못합니다.
안티 피싱 코드가 방어하지 못하는 상황
- 피싱 사이트에 직접 정보 입력 - 가짜 주소인
binance-login.com등에 직접 접속해 비밀번호를 입력하는 경우, 메일을 받기 전 단계이므로 코드가 소용없습니다. - 위조된 모바일 앱 - 비공식 경로로 설치한 가짜 앱에 정보를 입력하면 즉시 유출됩니다.
- 고객센터 사칭 - Telegram이나 Discord에서 바이낸스 직원을 사칭하며 1:1 메시지로 링크를 보내는 경우 메일과 무관합니다.
- API 키 유출 - 공격자가 API 키를 탈취해 자금을 빼가는 경우, 메일은 사후 알림 역할만 하게 됩니다.
따라서 안티 피싱 코드는 다른 보안 수단과 병행해야 합니다: 공식 사이트 URL 즐겨찾기 등록 + 2FA + 출금 화이트리스트 + API IP 제한 + 안티 피싱 코드의 5중 방어 체계가 필수입니다.
자주 묻는 질문 (FAQ)
Q: 안티 피싱 코드에 한글이나 특수 기호를 넣을 수 있나요?
A: 불가능합니다. 바이낸스는 영문 대소문자, 숫자 0~9, 그리고 일부 기본 기호($, #, @ 등)만 허용합니다. 한글, 공백, 이모지 등은 오류가 발생합니다. 메일 클라이언트에서 가장 안정적으로 표시되는 영문+숫자 조합을 추천합니다.
Q: 앱 푸시 알림에도 안티 피싱 코드가 표시되나요? A: 앱 푸시 알림의 제목에는 대개 표시되지 않습니다. 하지만 알림을 눌러 앱 내 메시지 센터에서 전체 내용을 확인하면 안티 피싱 코드를 볼 수 있습니다. 푸시 알림의 진위 여부는 바이낸스 공식 앱에서 보낸 것인지 확인하는 것이 핵심입니다.
Q: 내가 설정한 안티 피싱 코드가 무엇인지 잊어버렸다면 어떡하죠? A: 보안 설정에 들어가면 활성화 여부는 알 수 있지만 원래 문구는 보이지 않습니다. 문구를 확인하려면 메일함에서 최근에 받은 바이낸스 메일을 찾아보세요. 만약 도저히 찾을 수 없다면 그냥 「편집」을 눌러 새로운 코드로 덮어쓰면 됩니다. 기존 코드를 몰라도 새로 설정하는 데 지장이 없습니다.
Q: 바이낸스 고객센터에서 안티 피싱 코드를 물어보기도 하나요? A: 절대 아닙니다. 바이낸스 공식 상담원은 어떤 경우에도 안티 피싱 코드, 비밀번호, 2FA 코드, 이메일 인증 코드를 묻지 않습니다. 상대방의 프로필이 「바이낸스 공식」처럼 보이더라도 이러한 정보를 요구한다면 100% 사기입니다. 상담원은 오직 문제 상황 설명, 상담 번호(Ticket No), 스크린샷 등만 요구합니다.
Q: 이메일 주소를 변경하면 안티 피싱 코드를 다시 설정해야 하나요? A: 아니요, 그럴 필요 없습니다. 안티 피싱 코드는 이메일 주소가 아니라 바이낸스 계정 자체에 연동됩니다. 이메일을 변경하더라도 새로운 이메일로 발송되는 메일에 기존 코드가 그대로 적용됩니다. 다만 보안 강화를 위해 이메일을 변경할 때 코드도 함께 바꿔주는 것을 권장합니다.
Q: 하위 계정(Sub-account)이나 기관 계정도 안티 피싱 코드가 독립적인가요? A: 네, 독립된 바이낸스 계정마다 각각 고유한 안티 피싱 코드를 가집니다. 하위 계정은 기본 계정에서 생성되지만 코드는 별도로 설정할 수 있습니다. 특히 기관 계정의 경우 각 운영자마다 독립적인 이메일과 코드를 부여하는 것이 안전합니다.