바이낸스 공식 홈페이지에 가입한 지 반년이 넘었다면, 받은 편지함에는 "바이낸스"로부터 온 수십 통의 이메일이 쌓여 있을 것입니다. 하지만 그 안에는 진짜와 가짜가 섞여 있습니다. 바이낸스 공식 앱의 푸시 알림과 이메일은 보통 동시에 도착하므로 대조해 보는 것이 좋습니다. iPhone 사용자는 iOS 설치 가이드를 참고해 앱을 설치한 후, "메일보다 앱을 먼저 확인하는 습관"을 들이면 대부분의 피싱 시도를 차단할 수 있습니다.
A: 이메일의 진위를 판별하는 가장 빠른 3단계 — 1단계: 안티 피싱 코드 확인(본인이 설정한 문자열인지), 2단계: 발신자의 전체 도메인 확인(@binance.com 또는 @post.binance.com 필수), 3단계: 링크 위에 마우스를 올려 실제 연결 주소 확인. 세 단계를 모두 통과하면 진짜, 하나라도 어긋나면 가짜입니다.
1단계: 안티 피싱 코드는 기본 중의 기본
A: 계정 작업과 관련된 모든 바이낸스 공식 이메일에는 사용자가 미리 설정한 안티 피싱 코드(Anti-Phishing Code)가 포함됩니다. 이 문자열이 없는 이메일은 100% 피싱입니다.
안티 피싱 코드의 위치
이메일 유형에 따라 위치가 약간 다를 수 있습니다.
- 로그인 알림: 제목 또는 본문 첫 줄
- 출금 확인: 본문 중간 '확인 버튼' 바로 위
- 보안 경고: 제목 내부
- 입금 완료: 본문 상단
예시:
Subject: New Login from Seoul | Anti-phishing code: MyB1nance2026
또는:
Anti-phishing code: MyB1nance2026
Hi user@example.com,
We detected a new login from XX device...
안티 피싱 코드에 관한 세부 사항
- 안티 피싱 코드를 설정한 적이 없다면, 이메일에 적힌 코드를 신뢰해서는 안 됩니다(공격자가 임의로 입력했을 수 있습니다).
- 코드를 설정했다면, 이메일의 코드가 본인이 설정한 것과 한 글자도 틀림없이 일치해야 합니다.
- 마케팅, 이벤트, 홍보성 이메일에는 대부분 코드가 포함되지 않습니다(계정 보안과 직결되지 않으므로 바이낸스에서 의도적으로 제외한 것입니다).
- 안티 피싱 코드는 대소문자를 구분합니다. —
Cat$BnB≠cat$bnb
2단계: 발신자의 전체 도메인 확인
A: 바이낸스 공식 이메일의 발신자 도메인은 지정된 몇 개의 서브 도메인뿐입니다. 조금이라도 변형된 도메인은 사칭입니다.
공식 발신자 도메인 목록
| 용도 | 공식 도메인 |
|---|---|
| 보안 알림 | noreply@post.binance.com |
| 마케팅 및 이벤트 | marketing@post.binance.com |
| 고객 센터 답변 | support@binance.com |
| 인증 코드 메일 | verify@post.binance.com 또는 noreply@directmail.binance.com |
| 법률 및 규제 준수 알림 | compliance@binance.com |
흔한 사칭 도메인 유형
| 사칭 수법 | 예시 | 식별 방법 |
|---|---|---|
| 철자 추가/변경 | binnance.com, blnance.com |
n을 하나 더 붙이거나, i 대신 l 또는 1 사용 |
| 최상위 도메인 변경 | binance.cn, binance.io, binance.app |
.com이 아님 |
| 접두사 추가 | binance-cn.com, binance-login.com |
공식 도메인 뒤에 하이픈(-) 추가 |
| 접미사 추가 | binance.com.xx.cc |
하위 경로처럼 보이지만 실제로는 전혀 다른 도메인 |
| 국가명 변형 | binance-china.com |
바이낸스는 이런 도메인을 사용하지 않음 |
| 유사 문자 사용 | binаnce.com (키릴 문자 а 사용) |
시각적으로는 거의 동일해 보임 |
발신자 전체 주소 확인 방법
이메일 클라이언트에 따라 확인 방법이 다릅니다.
- Gmail 웹 버전: 메일을 열고 발신자 이름 옆의 작은 삼각형을 클릭해 전체 주소를 확인합니다.
- Outlook: 발신자 이름을 클릭합니다.
- Apple Mail: 발신자 이름을 길게 누르거나 상세 정보를 클릭합니다.
- 모바일 이메일 앱: 메일 상단의 '상세 정보' 또는 발신자 주소 부분을 터치합니다.
표시되는 "발신자 이름"만 믿는 것은 아무런 의미가 없습니다. 이름은 누구나 "Binance Official"로 바꿀 수 있기 때문입니다. 반드시 실제 이메일 주소를 확인해야 합니다.
3단계: 링크 호버(Hover) 검증
A: 이메일에 포함된 모든 링크는 클릭하기 전에 마우스를 올려(hover) 왼쪽 하단에 나타나는 실제 연결 주소를 확인해야 합니다.
진짜 링크의 특징
- 도메인:
binance.com또는 그 서브 도메인(accounts.binance.com,www.binance.com등) - HTTPS 사용: 모든 공식 링크는
https://로 시작합니다. - 합리적인 경로:
/ko/login,/security등 익숙한 경로 구조를 가집니다.
가짜 링크의 특징
- 생소한 도메인:
binance-secure.xyz,bnb-login.cc - 단축 URL 사용:
https://t.co/XXXX와 같은 단축 링크는 실제 목적지를 숨깁니다. - 하위 도메인 위장:
binance.com.fake-domain.io(실제 도메인은fake-domain.io입니다.) - 경로에 급박한 단어 포함:
verify,reset,urgent등을 사용해 심리적으로 압박합니다.
모바일에서 확인하는 방법
모바일에는 마우스 호버 기능이 없으므로, 링크를 2~3초간 길게 누르면 나타나는 미리보기 메뉴에서 실제 URL을 확인할 수 있습니다. 확실하지 않은 링크는 절대 바로 클릭하지 마십시오.
복사하여 붙여넣기 확인
여전히 불안하다면 링크를 복사하여 메모장에 붙여넣어 보십시오.
표시 텍스트: https://www.binance.com/login
실제 링크: https://binance-cn-secure.xyz/login?redirect=binance.com
메모장에서는 전체 URL이 명확히 보이므로 피싱 링크의 정체를 쉽게 파악할 수 있습니다.
진짜 이메일 vs 피싱 이메일 종합 비교
| 식별 요소 | 진짜 이메일 | 피싱 이메일 |
|---|---|---|
| 안티 피싱 코드 | 정확하게 표시됨 | 없음 / 틀림 / 일반 문구 사용 |
| 발신자 도메인 | @binance.com 또는 서브 도메인 |
@binance-xx.com 등 사칭 도메인 |
| 링크 호버링 | 모두 binance.com으로 연결 | 생소한 소수 도메인으로 연결 |
| 언어 품질 | 매끄럽고 자연스러움 | 번역기 말투가 강하고 어색함 |
| 호칭 | 사용자가 설정한 닉네임 | "친애하는 사용자" / "Dear customer" |
| 긴급성 압박 | 없음, 객관적인 사실 전달 | 강함, 24시간 내 조치 요구 |
| 첨부파일 | 거의 없음 | .zip / .html / .pdf 등 자주 포함 |
| 법적 하단부 | 완전하고 정확함 | 누락되었거나 형식이 엉망임 |
| 구독 취소 링크 | 실제 작동함 | 링크 자체가 피싱 사이트로 연결됨 |
흔한 피싱 이메일 수법 및 문구
A: 피싱 이메일은 본질적으로 사회공학적 공격이며, "공포"와 "탐욕"이라는 두 가지 심리를 파고듭니다. 이러한 수법을 미리 알면 냉정하게 대처할 수 있습니다.
공포 유발형
- "계정에 비정상적인 로그인이 감지되었습니다. 차단을 막으려면 즉시 인증하십시오."
- "5 BTC 출금 신청이 접수되었습니다. 10분 후 실행되니 본인이 아니라면 취소하십시오."
- "새로운 규정에 따라 48시간 이내에 KYC를 다시 완료해야 합니다. 그렇지 않으면 계정이 영구 폐쇄됩니다."
- "API 키 유출이 감지되었습니다. 즉시 재설정하십시오."
- "2FA가 재설정되었습니다. 본인의 조치인지 확인하십시오."
탐욕 유발형
- "축하합니다! BNB 에어드랍 대상자로 선정되었습니다. 1,000 USDT를 받으려면 클릭하세요."
- "바이낸스 신규 코인 마이닝권 증정, 24시간 한정, 지금 바로 신청하십시오."
- "계정 VIP 등급 업그레이드 보상을 받으려면 클릭하십시오."
- "런치패드 사전 구매 권한이 부여되었습니다. 지금 입장하십시오."
권위 사칭형
- "바이낸스 법무팀에서 자금 세탁 조사 협조를 요청합니다."
- "바이낸스 준법 감시팀에서 자금 출처 증명 보완을 요구합니다."
- "저희 CEO가 귀하를 프라이빗 미팅에 초대합니다."
어떤 문구이든 먼저 냉정함을 유지하고, 확인한 뒤 행동하십시오. 실제 문제는 30분 정도 늦게 처리한다고 해서 계정이 파멸되지 않습니다.
가장 확실한 '역방향' 검증 방법
A: 가장 안전한 방법은 "이메일의 링크는 아무것도 클릭하지 않고, 직접 바이낸스 공식 홈페이지에 접속해 확인하는 것"입니다. 이 습관은 어떤 식별 기술보다 강력합니다.
역방향 검증 단계
- 이메일을 받으면 진짜든 가짜든 일단 창을 닫습니다.
- 브라우저를 열고
binance.com을 직접 입력하거나 즐겨찾기에 추가해둔 링크로 접속합니다. - 계정에 로그인합니다.
- '알림 센터' / '받은 쪽지함' / '보안 센터'로 이동합니다.
- 이메일 내용과 일치하는 실제 공지나 알림이 있는지 확인합니다.
바이낸스 사이트 내부 알림에 동일한 내용이 있다면 진짜이고, 없다면 가짜이므로 메일을 즉시 삭제하면 됩니다.
이 방법의 장점
- 안티 피싱 코드, 도메인, 링크를 일일이 대조할 필요가 없습니다.
- 피싱 사이트에 로그인 정보를 넘겨줄 위험이 원천 차단됩니다.
- 설령 이메일이 진짜라 하더라도, 직접 접속해 처리하는 것이 훨씬 안전합니다.
- 습관이 되면 "이 메일이 진짜일까?" 고민할 필요 자체가 사라집니다.
첨부파일 함정
A: 바이낸스 공식 이메일에는 첨부파일이 거의 없습니다. .zip, .exe, .html, .pdf 등이 첨부된 "바이낸스 메일"은 매우 주의해야 합니다.
첨부파일 위장 사례
Binance_Security_Update.exe— 실행 즉시 트로이 목마 바이러스 설치Account_Verification.html— 열면 로컬 피싱 페이지가 나타남Receipt.pdf.exe— 이중 확장자를 사용한 눈속임KYC_Form.zip— 압축을 풀면 악성 문서가 포함되어 있음Tax_Statement.docm— 매크로가 포함된 워드 문서
실제 첨부파일이 발생하는 경우
- 고객 센터 문의 답변 시 상담원이 PDF 법률 문서를 첨부할 수 있으나, 사전에 상담원이 채팅이나 티켓을 통해 안내합니다.
- 일부 명세서나 월간 보고서가 PDF로 첨부되기도 하지만, 민감한 개인 정보를 요구하는 경우는 드뭅니다.
- 그 외의 상황에서는 첨부파일이 거의 없습니다.
받아야 할 이유가 없는 첨부파일이 포함된 메일은 즉시 삭제하십시오.
자주 묻는 질문(FAQ)
Q: 피싱 이메일임을 확인한 후에는 어떻게 해야 하나요?
A: 네 가지만 기억하십시오. (1) 링크 클릭, 답장, 첨부파일 열기 금지 (2) 이메일 서비스에서 '스팸' 또는 '피싱'으로 신고 (3) 바이낸스 공식 피싱 신고 이메일 report@binance.com으로 전체 메일 헤더 전달 (4) 이메일 삭제.
Q: 이미 알고 있는 바이낸스 고객 센터 주소로 온 메일도 가짜일 수 있나요?
A: 그렇습니다. 공격자는 발신자 주소를 사칭할 수 있습니다. 하지만 실제 발송 서버는 바이낸스의 것이 아닙니다. 메일 헤더의 Received-SPF, Authentication-Results 필드를 확인해 보십시오. 진짜 메일은 'pass'로 표시되지만 가짜 메일은 'fail'이 뜨는 경우가 많습니다.
Q: 모바일 앱에서 메일 헤더는 어떻게 보나요? A: iPhone 기본 메일 앱은 확인이 어렵습니다. 의심스러운 메일은 PC로 전달해 확인하는 것이 좋습니다. Gmail 앱은 오른쪽 상단 메뉴에서 '원본 보기'를 선택하면 전체 헤더를 볼 수 있습니다.
Q: 바이낸스에서 문자(SMS)나 전화로 연락을 주기도 하나요? A: 극히 제한적인 경우에만 연락합니다. (1) 본인이 직접 요청한 인증 코드 문자 (2) 고객 센터 문의 후 상담원의 회신 전화(매우 드문 경우). 바이낸스는 절대 먼저 문자로 링크 클릭을 요구하거나 전화로 비밀번호, 인증 코드를 묻지 않습니다. 먼저 접근하는 "상담원"은 100% 사기꾼입니다.
Q: 코인 전용 이메일을 따로 쓰는 게 더 안전할까요?
A: 매우 권장하는 방법입니다. 바이낸스나 다른 거래소 등록용으로 독립된 이메일 계정(예: mybnb.crypto@gmail.com)을 만들어 일상용 이메일과 분리하십시오. 이 메일 주소는 다른 사이트 가입이나 소셜 미디어에 노출하지 마십시오. 그렇게 하면 해당 이메일로 온 바이낸스 메일만 신뢰할 수 있게 됩니다.
Q: 안티 피싱 코드를 설정한 적이 없는데, 이 기능이 정말 있나요? A: 네, 존재하지만 사용자가 직접 활성화해야 합니다. 바이낸스는 보안 설정에서 '안티 피싱 코드'를 수동으로 설정하도록 권장합니다. 활성화한 이후부터 모든 공식 메일에 코드가 포함됩니다. 설정하지 않았다면 메일에 코드가 없는 것이 정상이지만, 이 경우에는 도메인과 링크 검증에 더욱 주의를 기울여야 합니다.
Q: 피싱 메일을 보낸 사기꾼을 골탕 먹여도 될까요? A: 권장하지 않습니다. 공격자와 상호작용을 하는 순간 귀하의 이메일 주소가 "활성 계정"으로 분류되어 더 많은 피싱 공격의 타깃이 될 수 있습니다. 무시하고 신고한 뒤 삭제하는 것이 가장 현명한 대처입니다.