API 키 유출은 긴급 처리가 필요한 보안 사건입니다. API 키는 계정의 열쇠와 같아서 보유자가 계정에 로그인하지 않고도 거래 조작을 실행할 수 있습니다. 유출이 발견되면 즉시 행동해야 합니다.
바로 바이낸스 공식 사이트에 로그인하여 이 문제를 처리하세요. 휴대폰에서 작업해야 한다면 안드로이드 사용자는 APK 다운로드로 바이낸스 앱을 설치할 수 있습니다.
1단계: 즉시 유출된 API 키 삭제
바이낸스 계정에 로그인하여 "API 관리" 페이지에 들어가 유출된 API 키를 찾아 즉시 삭제합니다. 어떤 키가 유출되었는지 확실하지 않으면 모든 API 키를 삭제한 후 확실히 필요한 키만 다시 생성하는 것을 권장합니다. 삭제 조작에는 보안 인증이 필요하니 신속하게 행동하세요.
2단계: API 키의 권한 설정 확인
삭제 전 또는 동시에 유출된 키의 권한 설정을 확인합니다. 핵심적으로 확인할 사항: 출금 권한이 활성화되어 있었는지? 활성화되어 있었다면 공격자가 API를 통해 이미 자산을 이전했을 수 있습니다. 즉시 출금 기록을 확인하여 비정상 출금 조작이 있는지 확인하세요.
3단계: 계정 자산 및 거래 기록 확인
계정 잔액, 최근 거래 기록 및 출금 기록을 전면 확인합니다. 공격자가 API 키를 이용하여 수행할 수 있는 조작들: 저가에 주문을 걸어 자산을 매도(덤핑 공격), 특정 코인을 고가에 매수하여 공격자의 다른 계정 주문과 매칭하여 수익 실현, API를 통해 직접 출금(출금 권한이 있는 경우).
4단계: 기타 보안 설정 확인
로그인 비밀번호, 이메일, 전화번호, Google Authenticator 등 보안 설정이 정상인지 확인합니다. API 키 유출이 반드시 계정의 다른 정보도 유출되었음을 의미하지는 않지만, 안전을 위해 비밀번호도 함께 변경하는 것을 권장합니다.
API 키 유출의 일반적인 원인
가장 흔한 원인은 API 키가 포함된 코드를 GitHub 같은 공개 코드 저장소에 업로드한 것입니다. 다른 원인: 안전하지 않은 서드파티 거래 도구에 API 키를 입력한 경우, 컴퓨터에 트로이 목마가 감염되어 탈취된 경우, 공공장소나 스크린샷에서 키 내용이 노출된 경우.
API 키 재생성 시 보안 권장 사항
API 키를 재생성할 때 최소 권한 원칙을 따르세요. 실제로 필요한 권한만 활성화하세요. 예를 들어 시세 데이터만 읽으면 되는 경우 거래 권한을 활성화하지 말고, 출금이 필요하지 않으면 절대로 출금 권한을 활성화하지 마세요. IP 화이트리스트를 설정하여 특정 IP 주소에서만 해당 API 키를 사용할 수 있도록 제한하세요. 이렇게 하면 키가 유출되더라도 공격자가 다른 IP 주소에서 사용할 수 없습니다.
예방 조치
공개 코드에 API 키를 하드코딩하지 말고, 환경 변수나 구성 파일을 사용하세요. 채팅 기록이나 이메일로 API 키를 전송하지 마세요. API 키를 정기적으로 교체하고 같은 키를 장기간 사용하지 마세요. 더 이상 사용하지 않는 API 키는 적시에 삭제하세요.