많은 사용자가 바이낸스 공식 홈페이지의 보안 설정에서 '주소 관리'(화이트리스트) 스위치를 보고 활성화 여부를 고민하곤 합니다. 이 기능은 계좌에 자금 보호 가드레일을 설치하는 것과 같습니다. 활성화하면 바이낸스 공식 앱을 통한 출금은 미리 등록한 주소로만 가능해집니다. iPhone 사용자는 iOS 설치 가이드를 참고하여 클라이언트를 먼저 설치한 후 조작하는 것이 안정적입니다.

A: 장기 보유자, 1회 출금 금액이 1,000달러를 초과하는 경우, 또는 총 자산이 5,000달러를 넘는 사용자는 반드시 화이트리스트를 활성화해야 합니다. 고빈도 차익 거래를 하거나 매번 다른 주소로 즉시 출금해야 하는 사용자는 비활성 상태를 유지할 수 있지만, API 한도 설정, IP 제한, 하위 계정 분리 등 다른 수단으로 보안을 보강해야 합니다.

출금 화이트리스트란 정확히 무엇인가요?

A: 화이트리스트(Withdrawal Address Whitelist / Address Management)는 사용자가 승인한 출금 주소 목록입니다. 이 기능을 켜면 바이낸스는 목록에 있는 주소로만 코인 전송을 허용하며, 목록에 없는 주소로의 출금 시도는 즉시 차단됩니다.

작동 프로세스는 다음과 같습니다:

  1. '주소 관리'에서 BTC 주소, ETH/USDT 주소, TRX/USDT 주소 등을 추가합니다.
  2. 각 주소에 라벨을 붙입니다: '내 OKX', '내 렛저(Ledger)', '가족 Bybit' 등.
  3. 추가 시 이메일 인증 + 2FA 확인 + 24시간의 보안 검토 기간(냉각기)이 필요합니다.
  4. 24시간이 지나야 주소가 활성화되며, 이후 출금 시 화이트리스트 목록에서 선택하여 진행합니다.
  5. 만약 누군가 내 계정을 탈취하여 자신의 주소로 코인을 빼가려 해도 화이트리스트에 가로막히게 됩니다.

이 가드레일은 '공격자가 비밀번호와 2FA를 모두 탈취한 직후 자금을 즉시 이체하는' 극단적인 상황을 방지합니다. 모든 보안이 뚫렸더라도 새 주소를 추가하려면 다시 24시간을 기다려야 하며, 그동안 바이낸스에서 일련의 경고 메일을 발송하므로 사용자가 대응할 시간을 벌 수 있습니다.

어떤 사람에게 화이트리스트 활성화가 필수적인가요?

A: 다음 다섯 부류의 사용자가 화이트리스트를 쓰지 않는 것은 무방비 상태로 노출된 것과 다름없습니다. 장기 보유, 고액 자산, 고정된 출금 목적지가 활성화의 핵심 3요소입니다.

활성화를 강력 추천하는 대상

  1. 장기 홀더(HODLer) — 반년에 한 번 움직일까 말까 하며, 출금 목적지가 본인의 하드웨어 지갑으로 고정된 경우.
  2. 고액 자산가 — 계정 자산이 5,000달러를 초과하여 해킹 시 피해를 감당하기 어려운 경우.
  3. 초보 사용자 — 아직 완벽한 보안 인식을 갖추지 못해 추가적인 보호 장치가 필요한 경우.
  4. 기업/기관 계정 — 여러 명이 협업하는 환경으로 운영자 이탈 등의 리스크가 있는 경우.
  5. 해외 거주자/여행자 — VPN 전환이 잦아 IP 이상으로 인한 이상 징후 감지가 빈번한 경우.
  6. 피싱 또는 의심스러운 로그인 이력이 있는 사용자 — 계정이 이미 공격자의 타겟 리스트에 올라 있을 가능성이 큽니다.

활성화를 잠시 미뤄도 되는 대상

  • 일주일에 5회 이상 출금하는 고빈도 차익 거래자.
  • 수익 정산 시 매일 다른 주소를 사용하는 노가다/보따리상.
  • 테스트용으로 소액(500달러 이하)만 운영하는 계정.
  • API를 사용하여 동적으로 주소가 변하는 양적 거래(Quant) 수행자.

하지만 이런 사용자들도 보안을 포기하라는 뜻은 아닙니다. 대신 API 키 IP 제한 + 권한 제한 + 하위 계정 격리 + SMS 경고 등의 대안을 사용해야 합니다.

1단계: 주소 관리 페이지 접속

A: 화이트리스트 입구는 '보안'이 아니라 '지갑' → '개요' → '주소 관리'에 있습니다. 많은 분이 보안 설정에서 한참 찾다가 포기하는데, 이는 지갑 기능의 일부로 분류되어 있기 때문입니다.

PC 버전:

  1. 바이낸스 계정 로그인.
  2. 상단 내비게이션에서 '지갑' → '개요' 선택.
  3. 왼쪽 메뉴에서 '주소 관리'(Address Management) 찾기.
  4. 들어가서 '화이트리스트 스위치' 확인 (기본값은 꺼짐).

앱(APP) 버전:

  1. 앱 실행 후 하단 '자산(Funds)'.
  2. 우측 상단의 점 세 개(...) 또는 설정 아이콘 클릭.
  3. '주소 관리' 선택.
  4. 상단 '화이트리스트' 스위치 활성화.

2단계: 첫 번째 화이트리스트 주소 추가

A: 처음 추가할 때 평소 자주 쓰는 모든 목적지(하드웨어 지갑, 타 거래소, 본인 보조 주소, 가족 주소 등)를 3~5개 정도 한꺼번에 등록하는 것이 좋습니다. 나중에 다시 24시간을 기다리는 번거로움을 피하기 위함입니다.

추가 프로세스

  1. '주소 추가' 클릭.
  2. 코인 및 네트워크 선택 (BTC, ERC20, TRC20, BSC, Polygon 등).
  3. 주소 붙여넣기.
  4. 라벨 작성: '목적지+코인+네트워크' 형식 추천 (예: OKX-USDT-TRC20).
  5. '화이트리스트 주소로만 출금 허용' 선택.
  6. 이메일 인증코드 + 2FA 인증코드 입력.
  7. 24시간 활성화 대기.
  8. 24시간 후 주소가 활성화되어 사용 가능해집니다.

추가 시 주의사항

  • 네트워크 오선택: USDT라도 TRC20과 ERC20은 완전히 다른 네트워크입니다. 각각 따로 추가해야 합니다.
  • 주소 오타: 붙여넣기 전 마지막 6자리를 다시 한번 확인하세요.
  • 너무 단순한 라벨: 주소가 많아지면 나중에 누구 주소인지 헷갈릴 수 있습니다.
  • 24시간 미경과: 24시간은 강제 대기 시간이며, 속도를 높일 수 없습니다.

화이트리스트 활성화 vs 비활성화 비교

A: 활성화 여부의 차이는 주로 '해킹 시 자금 보호'와 '출금 편의성'에 있습니다.

비교 항목 화이트리스트 활성화 화이트리스트 비활성화
출금 대상 제한 화이트리스트 주소만 가능 모든 주소 가능
임시 출금 새 주소 추가 후 24시간 대기 즉시 출금 가능
해킹 시 자금 보호 강력함 (공격자가 즉시 인출 불가) 취약함 (2FA 돌파 시 자실상 분실)
피싱 위험 낮음 (주소 고정) 높음
계정 간 편의성 낮음 높음
적합한 대상 장기 보유자 고빈도 거래자
비상시 주소 추가 지연 24시간 없음
SMS/이메일 인증 여전히 필요함 여전히 필요함

중요한 점은 화이트리스트 + 외부 주소 출금 차단 + 2FA + 피싱 방지 코드 + IP 제한 세트를 조합하면 계정의 방어력이 만렙에 도달하여 자금 탈취 가능성이 극도로 낮아집니다.

화이트리스트를 사용하지 않을 때의 대안

A: 고빈도 사용자는 API 권한 분리 + 하위 계정 격리 + 출금 한도 설정 등 3종 세트를 대안으로 활용할 수 있습니다. 본질적으로 '주소 잠금'을 '행동 잠금'으로 대체하는 것입니다.

대안 1: API 키 권한 엄격 제한

  • 메인 계정의 API 키는 '읽기' 권한만 허용하고 출금은 차단합니다.
  • 출금 전용 API 키를 별도로 생성하고 고정 IP를 할당합니다.
  • 어떤 API 키도 선물 거래와 출금 권한을 동시에 갖지 않도록 합니다.

대안 2: 하위 계정(Sub-account) 자산 격리

  • 메인 계정에는 단기적으로 사용할 활동 자금만 둡니다.
  • 하위 계정에 장기 보유 자산을 보관하며, 메인 계정 운영자는 이를 볼 수 없게 설정합니다.
  • 하위 계정에 별도의 2FA와 화이트리스트를 구성합니다.

대안 3: 출금 한도 설정 + SMS 경고

  • 보안 설정에서 1일/1회 출금 한도를 낮게 조정합니다.
  • 한도를 초과하는 모든 출금은 추가 승인 단계를 거치게 합니다.
  • SMS 경고와 이메일 경고를 동시에 활성화합니다.

대안들도 어느 정도 위험을 막아주지만, 화이트리스트의 물리적인 차단 효과를 따라가지는 못합니다. 초단위 차익 거래에 묶여 있는 상황이 아니라면 화이트리스트 사용을 권장합니다.

화이트리스트 일시 중지 또는 조정 방법

A: 화이트리스트는 언제든지 끌 수 있지만, 끄는 동작 자체에도 24시간의 보안 기간이 적용됩니다. 이는 공격자가 계정을 잡자마자 화이트리스트를 해제하고 자산을 옮기는 것을 방지하기 위한 바이낸스의 의도된 설계입니다.

화이트리스트 비활성화 프로세스

  1. '주소 관리' 접속.
  2. '화이트리스트 주소로만 출금 허용' 스위치 끄기.
  3. 이메일 인증 + 2FA 인증.
  4. '24시간 후에 화이트리스트가 해제됩니다'라는 안내 메일 수신.
  5. 24시간 카운트다운 동안: 여전히 화이트리스트 외 주소로 출금 불가.
  6. 24시간 후 기능이 완전히 꺼지며 모든 주소로 출금 가능해집니다.

개별 주소 삭제

  • '주소 관리'에서 해당 주소를 찾습니다.
  • '삭제' 클릭.
  • 이메일 + 2FA 인증.
  • 삭제는 즉시 반영됩니다 (24시간 대기 없음).
  • 하지만 삭제 후 동일한 주소를 다시 추가하려면 또다시 24시간을 기다려야 합니다.

여기에 디테일이 있습니다. 삭제는 즉시, 추가와 전체 기능 해제는 24시간입니다. '특정 주소로의 출금을 즉시 차단'하고 싶은 사용자의 니즈를 보호하면서, 공격자가 '자신의 주소를 즉시 추가'하려는 경로는 차단하는 설계입니다.

자주 묻는 질문(FAQ)

Q: 화이트리스트 24시간은 신청 시점부터인가요, 메일 확인 시점부터인가요? A: 메일 확인 시점부터입니다. 바이낸스에서 발송한 확인 메일의 링크를 클릭해야 정식으로 대기열에 등록되며, 그때부터 카운트다운이 시작됩니다. 따라서 주소를 추가한 직후 즉시 메일함을 확인해야 시간을 낭비하지 않습니다.

Q: 화이트리스트 주소 개수 제한이 있나요? A: 각 코인 및 네트워크 조합당 약 200개까지 가능하며, 개인 사용자에게는 매우 충분한 양입니다. 기관 계정 등 특수 목적이 있다면 고객센터를 통해 확장을 요청할 수 있습니다. 평소 안 쓰는 주소는 정기적으로 삭제하여 관리하는 것을 추천합니다.

Q: 코인마다 화이트리스트가 연동되나요? A: 연동되지 않습니다. BTC 네트워크의 화이트리스트는 BTC 출금에만 적용되고, USDT-TRC20 화이트리스트는 TRC20 네트워크의 USDT에만 적용됩니다. 따라서 BTC와 USDT를 모두 출금하려면 각각의 주소를 따로 등록해야 합니다.

Q: 화이트리스트를 켜도 2FA가 필요한가요? A: 반드시 필요합니다. 화이트리스트는 '어디로 보낼 수 있는가'를 잠그는 것이고, 2FA는 '누가 보낼 수 있는가'를 잠그는 것입니다. 두 장치는 서로 다른 단계를 보호합니다. '화이트리스트 + 구글 OTP + 이메일 인증 + 피싱 방지 코드' 4종 세트를 모두 켜는 것이 베스트 프랙티스입니다.

Q: 친구 주소도 화이트리스트에 넣을 수 있나요? A: 가능하지만 신중해야 합니다. 화이트리스트의 본질은 '이 주소들만 신뢰한다'는 것입니다. 친구 주소를 추가하는 것은 친구의 지갑을 본인의 지갑처럼 간주하겠다는 뜻입니다. 만약 친구 계정이 해킹당하거나 관계에 변화가 생긴다면 즉시 해당 주소를 삭제해야 합니다.

Q: 삭제한 주소를 다시 등록할 때도 24시간을 기다려야 하나요? A: 그렇습니다. 삭제는 즉시 처리되지만, 동일한 주소라도 다시 등록할 때는 24시간의 보안 검토 기간을 거쳐야 합니다. 이는 공격자가 주소를 삭제하고 다시 추가하는 방식으로 보안을 우회하는 것을 방지하기 위함입니다.

Q: 해외 IP로 로그인하면 화이트리스트가 자동으로 꺼지나요? A: 아니요. 화이트리스트는 계정 수준의 설정이므로 IP 변화에 따라 자동으로 꺼지지 않습니다. 다만, 해외 IP 로그인은 바이낸스의 리스크 감지 시스템을 자극하여 출금 자체가 24~48시간 동안 일시 정지될 수는 있는데, 이는 화이트리스트와는 별개의 보안 매커니즘입니다.