API Key는 프로그램 매매를 위한 열쇠이자, **해커들이 가장 좋아하는 뒷문(백도어)**이기도 합니다. "비밀번호가 유출되지 않았는데 해킹당했다"는 사례의 상당수는 API Key 문제에서 비롯됩니다. 본 문서에서는 API Key의 권한 체계, IP 화이트리스트, 최소 권한 원칙 및 더 이상 사용하지 않는 Key를 주기적으로 정리하는 방법을 명확히 설명합니다. 관리 페이지는 계정 설정에 있으며, Binance 공식 웹사이트에 로그인하여 API 관리 페이지로 이동할 수 있습니다. 모바일 환경에서는 Binance 공식 앱에서도 확인할 수 있으며, 애플 사용자는 iOS 설치 튜토리얼을 참고하세요.
API Key란 무엇인가요?
API Key(Application Programming Interface Key)는 프로그램이 나를 대신해 내 계정을 조작할 수 있도록 권한을 부여하는 증명서입니다.
API Key는 두 부분으로 구성됩니다:
- API Key (공개 키): 내가 누구인지 식별합니다. 예:
xH3kL9... - Secret Key (비밀 키): 요청을 서명하는 데 사용되며, 절대 외부에 유출되어서는 안 됩니다.
이 두 가지와 적절한 권한만 있으면, 어떤 프로그램이든 사용자 본인처럼 Binance 계정에 접속하여 자산을 조회하고, 주문을 넣거나 출금할 수 있습니다.
언제 API Key가 필요한가요?
상황 1: 퀀트(알고리즘) 트레이딩
Python, Node.js 등의 프로그래밍 언어로 거래 봇을 만들어 API를 통해 자동으로 주문을 넣는 경우. 조회 + 현물 거래 + 선물 거래 권한이 필요합니다.
상황 2: 트레이딩 시그널 복사(카피 트레이딩)
다른 거래소의 포지션을 가져와 현재 거래소에 동일하게 적용하는 경우. 포지션 조회 + 주문 권한이 필요합니다.
상황 3: 자산 추적
CoinGecko, CoinStats 등 자산 관리 앱과 연동하여 내 보유 자산을 자동으로 업데이트하는 경우. 오직 읽기 전용(조회) 권한만 필요합니다.
상황 4: 세금 계산 소프트웨어
Koinly, Cointracker 등의 암호화폐 세무 도구는 과거 거래 내역 조회가 필요합니다. 오직 읽기 전용 권한만 필요합니다.
만약 위의 목적 중 어느 하나라도 해당하지 않는다면 → API Key를 만들지 마세요. API Key는 존재하는 것 자체만으로도 잠재적인 리스크가 될 수 있습니다.
API Key 권한 유형
Binance API Key는 권한을 세분화하여 선택할 수 있습니다:
1. 읽기 전용 (기본값)
- 가능: 계정 정보 확인, 주문 내역 조회, 과거 기록 다운로드
- 불가능: 매매 주문, 출금, 자산 이체
- 보안성: 매우 높음
2. 현물 및 마진 거래
- 가능: 매수/매도 주문, 주문 취소, 주문 조회
- 불가능: 자산 출금
- 보안성: 중간 (거래 중인 자산 내에서만 손실 발생 위험)
3. 선물 거래
- 가능: 선물 주문, 포지션 오픈/종료, 레버리지 조정
- 불가능: 자산 출금
- 보안성: 중간~낮음 (높은 레버리지로 인해 단시간에 큰 손실 위험)
4. 이체(자산 이동)
- 가능: 본인의 서브 계정 간, 혹은 계정 내 지갑 간(현물/선물/Earn 등) 자금 이동
- 불가능: 온체인을 통한 외부 주소로의 출금
- 보안성: 중간
5. 출금
- 가능: 모든 주소(기본값) 또는 화이트리스트 지정 주소로의 출금
- 기본적으로 꺼져 있으며, 사용자가 명시적으로 체크해야 활성화됨
- 보안성: 매우 낮음
- 새로운 Key 생성 시 기본 비활성화 상태이며, 절대 켜지 않는 것을 강력히 권장합니다.
최소 권한 원칙
API Key에 부여된 권한이 적을수록 계정은 안전해집니다.
읽기 전용 목적일 때
오직 "읽기" 권한만 체크하세요. Key가 유출되더라도 해커는 보기만 할 뿐 아무것도 건드릴 수 없습니다. 세무 도구, 포트폴리오 추적 앱 등은 모두 이 권한만 사용합니다.
거래만 하고 출금은 하지 않을 때
"읽기 + 현물 거래 + 선물 거래"만 체크하고, "출금"은 절대 체크하지 마세요. 이것이 퀀트 봇의 표준 설정입니다. Key를 도난당해도 해커는 내 계정 내에서 무작위로 주문을 낼 수는 있지만, 자산을 외부로 빼낼 수는 없습니다.
카피 트레이딩 등의 목적일 때
"읽기 + 거래"만 체크하세요. 자산 이체 및 출금 기능은 절대 활성화하지 마세요.
한 줄 요약: 권한은 필요 없는 한 절대 켜지 말고, 최소한만 활성화하세요.
IP 화이트리스트: 가장 강력한 방어선
IP 화이트리스트는 API Key가 미리 지정된 IP 주소에서만 호출될 수 있도록 통제합니다. 허용되지 않은 IP에서는 Key를 확보해도 아무런 조작을 할 수 없습니다.
IP 화이트리스트 설정 방법
- API Key를 생성할 때 → "신뢰할 수 있는 IP만 액세스 허용(Limit access to trusted IPs only)"을 체크합니다.
- 허용할 IP 주소를 입력합니다 (여러 개일 경우 쉼표로 구분).
- 저장합니다.
내 서버의 IP를 확인하는 방법
- 로컬 PC에서 실행할 때:
whatismyipaddress.com에 접속하여 내 공인 IP 확인 - 클라우드 서버(VPS)에서 실행할 때: 클라우드 서비스 관리 패널에서 인스턴스의 공인(Public) IP 확인
- 유동 IP 환경: IP 화이트리스트를 사용할 수 없습니다 (고정 IP나 VPS 서버만 가능).
IP 화이트리스트의 강력함
해커가 여러분의 API Key와 Secret을 완벽하게 탈취하더라도, 해커의 컴퓨터에서는 API 호출이 완전히 차단됩니다. IP가 화이트리스트 목록에 없기 때문입니다. 이것이 API 유출을 막는 최고의 방어 시스템입니다.
IP 화이트리스트의 한계
- IPv4만 지원 (IPv6는 호환성이 떨어질 수 있음)
- 서버 IP가 변경되면 화이트리스트도 수동으로 업데이트해야 함
- 가정용 일반 유동 IP에는 부적합
API Key 생성 7단계
1단계: API 관리 진입
- binance.com 에 로그인합니다.
- 우측 상단 프로필 아이콘 → "API 관리"를 클릭합니다.
- "API 생성" 버튼을 누릅니다.
2단계: 생성 방식 선택
- 시스템 생성 (권장): 시스템이 퍼블릭 및 프라이빗 키 쌍을 자동으로 발급합니다.
- 자체 서명된 키 (고급): 사용자가 직접 생성한 퍼블릭 키를 업로드합니다.
3단계: 라벨(이름) 입력
해당 API Key의 용도를 쉽게 알 수 있는 이름을 지정하세요. 예:
퀀트봇-BTC전략Koinly-세금계산카피트레이딩-비트겟
라벨 이름은 나중에 사용하지 않는 Key를 정리할 때 큰 도움이 됩니다.
4단계: 신원 인증 완료
- 이메일 인증코드
- 휴대폰 인증코드 (연동된 경우)
- Google Authenticator 6자리 코드
5단계: 권한 설정
최소 권한 원칙에 따라 필요한 것만 체크하고, 조금이라도 불필요한 기능은 체크하지 마세요.
6단계: IP 화이트리스트 설정
반드시 설정하는 것을 권장합니다. 호출을 실행할 서버 IP를 정확히 입력하세요.
7단계: 저장 및 Secret Key 보관
Secret Key는 생성 직후 화면에 단 한 번만 표시됩니다. 화면을 닫기 전 즉시 복사하여 안전한 곳에 보관하세요 (스크린샷 저장 금지, 메일 전송 금지, 클라우드 보관 금지). 페이지를 닫으면 두 번 다시 확인할 수 없습니다.
안 쓰는 API Key 주기적인 정리
왜 정리해야 하나요?
- 모든 Key는 잠재적 공격 경로(리스크)가 됩니다.
- 어디서 어떤 Key가 실행되고 있는지 잊어버릴 수 있습니다.
- 오래된 Key의 권한 설정이 현재 기준보다 취약할 수 있습니다.
정리 요령
- 매월 1회 API Key 목록 점검하세요.
- 30일 이상 사용하지 않은 Key → 즉시 삭제
- 어디에 쓰는지 출처를 알 수 없는 Key → 즉시 삭제
- 권한이 과도하게 부여된 Key → 삭제 후 최소 권한으로 재생성
삭제 방법
- 'API 관리' → 삭제할 Key를 찾습니다.
- "삭제" 버튼을 클릭합니다.
- 신원 인증 과정을 거칩니다.
- 확인을 누릅니다.
- Key는 즉각 무효화되며, 해당 Key를 사용하던 모든 봇과 프로그램의 연결이 끊어집니다.
일괄 삭제 기능
한 번에 하나씩만 삭제할 수 있으며, 일괄 삭제 기능은 제공되지 않습니다. 당장 삭제가 부담스럽다면, 먼저 권한을 해제(비활성화)해 둔 뒤 나중에 천천히 삭제할 수도 있습니다.
API Key 도난 및 악용의 징후
징후 1: 비정상적인 매매 주문
- 본인이 직접 주문하지 않은 거래가 내역에 나타날 때.
- 특히 거래량이 적은 잡코인(알트코인)에서 매수 주문이 체결된 경우 (전형적인 자금 세탁 수법).
- 초고빈도의 소액 주문 (프로그램 봇의 특징).
징후 2: 자금 이체 이상 징후
- 현물 계정과 선물 계정 간에 갑자기 대량의 자금이 이동한 경우.
- 서브 계정 간 비정상적인 자금 쏠림 현상.
징후 3: API 로그 내 낯선 IP 기록
- 'API 관리' 화면에서 최근 호출 IP를 확인합니다.
- 알 수 없는 낯선 IP 주소가 보인다면 → Key가 유출된 것입니다.
징후 4: 승인하지 않은 권한 변경
- 분명 "읽기" 권한만 체크했는데, 어느 날 보니 "읽기+거래"로 바뀌어 있을 때.
- 누군가가 당신의 권한 설정을 변경한 것입니다.
이러한 징후 중 하나라도 발견되면 → 즉시 모든 API Key를 삭제하고 계정 보안 상태를 점검하세요.
API Key 유출의 흔한 원인 4가지
원인 1: 소스 코드를 GitHub에 업로드
API Key를 소스 코드에 텍스트 그대로 박아두고(하드코딩), GitHub 저장소에 Push해버린 경우. GitHub를 스캔하는 악성 크롤러가 1~2분 만에 이를 발견하며, 몇 초 뒤에 계정 자산이 털립니다.
방어책: 반드시 환경 변수(.env)나 별도 설정 파일을 사용하고, 해당 파일을 .gitignore에 등록하세요. 코드 내 하드코딩은 절대 금지입니다.
원인 2: 서버 설정 파일 해킹
봇이 돌아가는 VPS(가상 서버)가 해킹되어, 내부의 config.json 파일을 탈취당한 경우.
방어책: 서버 보안 패치 정기 업데이트, 비밀번호 로그인 금지(SSH Key 전용), 방화벽 활성화 조치를 취하세요.
원인 3: 타사 서비스 해킹
카피 트레이딩, 퀀트 시그널 업체 등 외부 서비스에 API Key를 연동했는데, 해당 업체가 해킹을 당한 경우.
방어책: 철저히 검증된 서비스만 이용 + 반드시 IP 화이트리스트 설정 + 읽기 및 거래 권한만 부여(출금 절대 금지).
원인 4: 내 PC에 트로이목마/악성코드 감염
사용 중인 Windows나 Mac에 악성코드가 설치되어, 로컬 파일로 보관 중인 API Key가 털리는 경우.
방어책: 백신 소프트웨어 설치 + 불법 크랙 프로그램 다운로드 금지 + 트레이딩 봇 등 중요 프로그램은 격리된 가상 환경에서만 구동.
자주 묻는 질문(FAQ)
Q: API Key 유출과 계정 비밀번호 유출 중 어느 것이 더 위험한가요?
A: 설정된 권한에 따라 다릅니다. API Key에 "출금" 권한이 활성화되어 있었다면 → 비밀번호가 털린 것과 동일할 만큼 치명적입니다. 하지만 "읽기" 권한만 있었다면 → 큰 피해는 없습니다. 다시 한번 강조하지만, 최소 권한 원칙은 매우 중요합니다.
Q: 하나의 계정에서 최대 몇 개의 API Key를 만들 수 있나요?
A: Binance는 하나의 계정당 최대 30개의 API Key를 동시에 생성할 수 있도록 허용합니다. 삭제 후에는 얼마든지 다시 만들 수 있습니다. 일반 개인 사용자는 보통 1~3개면 충분합니다.
Q: API Key에도 유효 기간이 있나요?
A: 기본적으로 명시적인 만료 기한은 없습니다. 하지만 90일 이상 아무런 호출(사용)이 없으면, Binance 시스템이 자동으로 권한을 비활성화합니다. 계속 사용하려면 **API 관리 페이지에 접속하여 수동으로 재활성화(재인증)**해야 합니다.
Q: 서브 계정 전용으로 API Key 권한을 분리할 수 있나요?
A: 네, 가능합니다. 서브 계정은 독립적인 API Key를 가지며, 메인 계정의 자산 및 권한과 완벽히 격리됩니다. 알고리즘 봇(퀀트 트레이딩)은 가급적 서브 계정을 만들어 운용하는 것을 강력히 추천합니다. 만약 서브 계정이 털리더라도 메인 계정의 자산은 안전하게 보호됩니다.