문자는 피싱 조직이 가장 선호하는 수단 중 하나입니다. 발송량이 많고 비용이 저렴하며, 이메일에 비해 사용자의 경계심이 낮기 때문입니다. '바이낸스'를 사칭한 피싱 문자는 그 수가 상당하며, 많은 사용자가 당황해서 링크를 클릭했다가 순식간에 자산을 탈취당하곤 합니다. 본 가이드에서는 바이낸스 공식 문자의 발송 시나리오와 피싱 문자의 특징, 그리고 의심스러운 문자를 받았을 때의 올바른 대처법을 체계적으로 설명합니다. 계정 확인이 필요할 때는 반드시 본인이 직접 바이낸스 공식 홈페이지 또는 바이낸스 공식 앱에 접속해야 하며, 문자 내의 어떠한 링크도 클릭해서는 안 됩니다. iOS 사용자는 iOS 설치 가이드를 참고하여 신뢰할 수 있는 경로로 앱을 설치하십시오. 요약: 바이낸스 공식 문자는 로그인 인증, 출금 인증, 2FA 작업, KYC 상태 변경 등의 상황에서만 발송됩니다. 내용은 인증번호나 짧은 상태 설명만을 포함하며, 클릭 가능한 링크는 절대 포함하지 않습니다. 링크가 포함된 모든 '바이낸스 문자'는 피싱이며, 특히 '.cn / .top / .vip / 단축 URL' 도메인이 포함되어 있거나 '보상 수령', '계정 확인', 'VIP 업그레이드' 등을 유도하는 경우 100% 사기입니다.

바이낸스 공식 문자의 실제 사용 시나리오

핵심: 바이낸스는 인증번호 전달 및 주요 상태 변경 알림을 위해서만 문자를 발송하며, 내용은 간결하고 클릭 가능한 링크를 포함하지 않습니다.

실제 문자 시나리오 목록

시나리오 문자 내용 예시 링크 포함 여부
새 기기 로그인 [Binance] Your verification code is 482937. Valid for 10 mins. 아니요
출금 인증번호 [Binance] Withdrawal verification code: 738201. Don't share. 아니요
비밀번호 변경 [Binance] Your password reset code is 920134. 아니요
2FA 재설정 [Binance] 2FA reset code: 471830. 아니요
KYC 통과 [Binance] Your identity verification has been approved. 아니요
고액 출금 확인 [Binance] Withdrawal of 1 BTC to bc1qxxx requested. Code: 192847. 아니요
API Key 변경 [Binance] Your API key was modified at 2026/04/27 10:23 UTC. 아니요

공식 문자의 공통 특징

  1. [Binance]로 시작 (일부 국가/지역은 [BIN] 단축 번호 사용)
  2. 내용이 간결함 (30~100자 내외)
  3. URL 링크를 절대 포함하지 않음
  4. 인증번호는 6자리 순수 숫자
  5. 영문 위주이며, 일부 국가는 현지 언어 버전 제공 (한국 사용자의 경우 대부분 영문 문자를 수신함)
  6. 문구 끝에 "Click here"나 "View more"와 같은 유도 문구가 없음

피싱 문자의 흔한 템플릿

핵심: 피싱 문자는 링크를 포함하고, 긴박함이나 이익을 미끼로 사용하며 바이낸스 발신 번호를 사칭합니다.

템플릿 1: "계정 이상 발생, 확인 클릭"

[Binance] 귀하의 계정에서 비정상적인 로그인이 감지되었습니다. 2시간 이내에 본인 확인을 하지 않으면 계정이 동결됩니다: bnc-secure.com/v?u=xxx

특징:

  • 긴박함 조성 (2시간 이내)
  • 단축 URL 또는 유사 도메인 사용
  • "동결" 위협

진실: 바이낸스는 절대로 문자로 "계정 이상"을 통보하지 않으며, 문자 내 링크를 통해 본인 확인을 요구하지도 않습니다.

템플릿 2: "이벤트 보상 당첨"

[바이낸스 공식] 축하합니다! 신년 기념 0.1 BTC 선물 패키지에 당첨되셨습니다. 오늘 내로 수령하세요: t.cn/xxxxx

특징:

  • 마케팅 문구 사용
  • 단축 URL (t.cn / dwz.cn 등) 사용
  • 구체적인 금액 출처 미기재

진실: 바이낸스의 모든 보상 지급은 앱 내 또는 binance.com 계정 내에서 확인 가능하며, 문자로 개별 통지하지 않습니다.

템플릿 3: "USDT 입금 예정, 확인 요망"

[Binance] 5,000 USDT 입금 건이 있습니다. 아래 링크를 클릭하여 수령 확인을 해주세요: binance-confirm.cc/r?id=xxx

특징:

  • 입금 알림 시뮬레이션
  • 금전적 유혹 (5,000 USDT)
  • 가짜 도메인 (.cc 등) 사용

진실: USDT 입금 시 별도의 "수령 확인"은 필요하지 않습니다. 온체인 컨펌이 완료되면 자동으로 입금되며, 바이낸스는 확인 여부를 묻는 문자를 보내지 않습니다.

템플릿 4: "VIP 업그레이드 채널"

[바이낸스 VIP] 귀하는 VIP 체험 사용자로 선정되었습니다. 거래 수수료 0% 혜택을 받으려면 QR 코드를 스캔하세요: bnvip.top/u/123

특징:

  • "VIP 초대" 사칭
  • QR 코드 스캔 또는 링크 클릭 유도
  • .top / .vip 등 저렴한 도메인 확장자 사용

진실: 바이낸스 VIP 등급은 거래량과 자산 보유량에 따라 자동으로 판정됩니다. 별도의 "초대 가입"은 필요 없으며, 문자로 마케팅 활동을 하지 않습니다.

템플릿 5: "상담원 연결 중, 빠른 소통 요망"

[Binance Support] 귀하의 문의 건이 장 매니저에게 배정되었습니다. 텔레그램 @binance_zhang으로 연락 바랍니다.

특징:

  • "장 매니저" 등 특정 상담원 사칭
  • 텔레그램 추가 유도
  • 상담원 배정 강조

진실: 바이낸스 상담은 binance.com 웹사이트 또는 앱 내 고객센터 시스템을 통해서만 이루어집니다. 절대로 문자를 통해 개인 메신저 계정으로 유도하지 않습니다.

피싱 문자의 발신 번호 유형

핵심: 피싱 문자의 발신 번호는 크게 세 가지 유형이 있으며, 모두 주의가 필요합니다.

유형 1: 해외 발신 번호 조작

SMS 게이트웨이는 발신자 이름(Sender ID)을 임의로 설정할 수 있습니다. 피싱 조직은 발신자를 'Binance', '바이낸스', 'BinanceCS' 등으로 표시할 수 있습니다. 이런 문자는 공식처럼 보이지만 실제로는 해외의 일반 SMS 서비스 업체를 통해 발송된 것입니다.

아이폰에서는 발신자 이름이 'Binance'로 뜨더라도 상세 정보를 확인하면 구체적인 전화번호가 보이지 않는 경우가 많습니다.

유형 2: 일반 휴대폰 번호 사칭

피싱 조직이 일반 휴대폰 번호를 사용하여 문자를 보내는 경우입니다. 가장 낮은 수준의 방식이지만, 오히려 친숙한 번호라는 점 때문에 성공률이 높기도 합니다.

유형 3: 기업용 단축 번호 (106/95/400 등)

일부 조직은 암시장을 통해 확보한 기업용 SMS 채널을 통해 발송합니다. 이런 방식은 비용이 많이 들며, 보통 사용자의 휴대폰 번호와 계정 정보를 이미 파악한 타겟 피싱에 사용됩니다.

실제 바이낸스 문자의 발신 번호

바이낸스의 국제 SMS 채널은 사용자 국가마다 다릅니다.

  • 대부분의 국가: 'Binance'라는 발신자 이름이 표시되는 해외 단축 번호
  • 미국: 현지 긴 번호 또는 5~6자리 단축 코드(Short code)
  • 일부 국가: 현지 기업용 단축 번호

한국 사용자가 한국어 내용에 일반 휴대폰 번호나 알 수 없는 기업 번호로 바이낸스 사칭 문자를 받았다면 100% 피싱입니다.

문자 내 링크를 클릭하면 안 되는 이유

핵심: 피싱 링크 클릭 시 비밀번호 유출, 악성 앱 설치, 기기 정보 노출, 제로데이 취약점 공격 등의 위험이 있습니다.

결과 1: 피싱 사이트 비밀번호 유출

가장 흔한 사례입니다. 클릭하면 binance.com과 똑같이 생긴 가짜 사이트로 연결됩니다. 로그인 페이지에서 이메일, 비밀번호, 2FA 인증번호를 입력하게 유도하며, 해커는 이 정보를 실시간으로 가로채 진짜 사이트에서 자산을 출금합니다.

결과 2: 악성 앱 설치

링크가 가짜 앱 다운로드 페이지로 연결되어 '바이낸스 최신 버전' APK나 iOS 프로필 설치를 유도합니다. 이런 앱을 설치하면 과도한 권한을 요구하며 문자 탈취, 클립보드 복사(지갑 주소 가로채기), 화면 녹화(비밀번호 탈취) 등을 수행합니다.

결과 3: 기기 핑거프린팅 노출

링크를 클릭하고 아무 정보도 입력하지 않더라도 피싱 사이트는 다음 정보를 기록합니다.

  • IP 주소
  • 기기 모델
  • OS 버전
  • 브라우저 정보(UA)
  • 화면 해상도 및 시간대

피싱 조직은 이를 통해 당신이 '공격 가치가 있는 타겟'인지 판단하며, 이후 전화 사기나 텔레그램 접근 등 2차 공격을 시도할 수 있습니다.

결과 4: 취약점 트리거

일부 피싱 링크는 브라우저나 OS의 패치되지 않은 취약점을 이용하여 클릭만으로 악성 코드를 다운로드하게 합니다. 특히 보안 업데이트가 늦은 구형 안드로이드 기기에서 위험성이 높습니다.

의심스러운 문자를 받았을 때의 올바른 대처법

핵심: 링크 클릭 금지, 답장 금지, 전달 금지. 계정 확인은 직접 접속하여 수행하고 신고하십시오.

대처 프로세스

  1. 문자 내 어떠한 링크도 클릭하지 마십시오. '수신 거부', '거부', 'N' 등 안전해 보이는 답장도 하지 마십시오. (일부 피싱은 답장 여부로 유효한 번호인지 확인합니다.)
  2. 답장하지 마십시오.
  3. 브라우저를 직접 열고 주소창에 binance.com을 입력하여 로그인한 뒤 이상 유무를 직접 확인하십시오.
  4. 확인 항목:
    • 로그인 기록 (설정 → 보안 → 로그인 기록)
    • 출금 내역 (지갑 → 출금 내역)
    • API 목록 (설정 → API 관리)
    • 기기 목록 (설정 → 보안 → 기기 관리)
  5. 실제 이상 징후 발견 시: 즉시 비밀번호 변경 + 2FA 재설정 + 고객센터 문의
  6. 이상이 없을 경우: 문자 신고
    • 아이폰: 문자 길게 누르기 → 정크 리포트 선택
    • 안드로이드: 메시지 앱 내 '스팸 신고' 옵션 활용
    • 관련 기관(KISA 등)에 신고
  7. 바로 삭제하지 말고 이후 증거 자료로 활용될 수 있으니 캡처해 두는 것이 좋습니다.

이미 링크를 클릭한 경우

  1. 정보를 입력하지 않은 경우: 즉시 페이지를 닫고 브라우저 캐시를 삭제한 뒤, 백신 정밀 검사를 실행하십시오. 며칠간 계정 상태를 주의 깊게 살피십시오.
  2. 비밀번호를 입력한 경우: 즉시 공식 사이트에서 비밀번호를 변경하고 2FA 재설정, 안티 피싱 코드 설정, API 관리 확인을 수행하십시오.
  3. 2FA 인증번호를 입력한 경우: 위와 동일하게 처리하십시오. 해당 인증번호는 이미 사용되었을 가능성이 큽니다.
  4. 앱을 다운로드한 경우: 즉시 삭제 + 백신 검사 + 비밀번호 변경을 수행하십시오. 안드로이드에서 앱에 루트 권한이나 관리자 권한을 부여했다면 공장 초기화를 권장합니다.
  5. USDT를 송금한 경우: 온체인 거래 특성상 회수가 거의 불가능합니다. 모든 증거(문자, 트랜잭션 해시 등)를 보존하여 수사 기관에 신고하십시오.

본 사이트에 대한 더 자세한 내용은 BabiaHub 소개를 참고하시고, 관련 위험은 면책 조항을 확인하십시오.

피싱 문자 수신을 줄이는 방법

핵심: 근본적인 해결책은 휴대폰 번호 노출을 최소화하고 통신사의 스팸 차단 서비스를 활용하는 것입니다.

노출 방지

  • 바이낸스 등 민감한 서비스 가입 시 별도의 번호나 가상 번호 사용 권장
  • 공개 포럼이나 SNS에 휴대폰 번호를 남기지 않음
  • 중요하지 않은 웹사이트 가입 시 실제 번호 사용 지양

통신사 서비스

  • 각 통신사에서 제공하는 무료 '스팸 차단' 서비스를 적극 활용하십시오.
  • '00700' 등 국제 전화나 특정 키워드(대출, 코인 등)가 포함된 문자를 필터링 설정하십시오.

아이폰 설정

설정 → 메시지 → 알 수 없는 발신자 필터링 → 켬. 연락처에 없는 번호의 문자는 별도의 탭으로 분류됩니다.

안드로이드 설정

브랜드마다 차이가 있으나, 대부분의 메시지 앱 내에 '스팸 및 차단된 메시지' 설정이 있습니다.

자주 묻는 질문 (FAQ)

Q: 발신자가 'Binance'로 표시되는데도 피싱일 수 있나요? A: 네. 발신자 이름(Sender ID)은 조작이 가능합니다. 해외 SMS 업체를 통해 원하는 이름으로 문자를 보낼 수 있습니다. 진짜인지 판단하는 가장 쉬운 기준은 '링크 포함 여부'입니다. 링크가 있다면 무조건 피싱입니다.

Q: 인증번호 문자에도 링크가 없는데, 그럼 링크가 없는 문자는 다 안전한가요? A: 꼭 그렇지는 않습니다. 링크 없이 "비밀번호가 재설정되었습니다. 인증번호 482937"과 같은 문자를 보낸 뒤, 전화 사기로 연결하는 경우도 있습니다. 하지만 반대로 링크가 포함된 문자는 예외 없이 피싱이라는 규칙은 확실합니다.

Q: 내가 하지 않은 '출금 1 BTC 요청' 문자를 받았습니다. 어떻게 해야 하나요? A: 누군가 귀하의 계정을 탈취하려 시도 중일 수 있습니다. 즉시: 1. 인증번호를 누구에게도 알려주지 마십시오. 2. 공식 홈페이지에서 비밀번호를 변경하십시오. 3. 2FA를 재설정하십시오. 4. 로그인 기록과 API 설정을 확인하십시오. 5. 고객센터에 알리십시오.

Q: '바이낸스 상담원'에게 인증번호를 알려줘서 자산이 탈취되었습니다. 찾을 수 있나요? A: 블록체인 거래는 취소할 수 없으므로 바이낸스에서도 직접 회수할 수 없습니다. 할 수 있는 일은 모든 증거(문자, 녹취, 채팅 내역, 이체 해시)를 모아 수사 기관에 신고하고, chainabuse.com 등 온체인 신고 플랫폼에 등록하는 것입니다.

Q: 아이폰의 '알 수 없는 발신자 필터링'을 켜면 실제 인증번호를 못 받을 수도 있나요? A: 문자는 수신되지만 연락처 외 발신자 탭으로 자동 분류됩니다. 로그인이나 출금 시 '알 수 없는 발신자' 탭을 확인하면 되므로 수신 자체에는 문제가 없습니다.