바이낸스 공식 사이트는 도대체 어느 것인가요? 기술적 차원에서 진위를 확인하는 방법
검색 엔진에서 "바이낸스"를 검색하면 상위에 자주 광고 표시가 붙은 모방 사이트가 나타나며, 도메인도 그럴듯해 보입니다. binance-xxx.com, binanceapp.cc, bnance.com……. 일반 사용자는 한눈에 구분하기 어렵습니다. 이 글은 "UI 보기", "로고 보기" 같은 주관적 판단이 아니라 도메인 등록 정보, HTTPS 인증서 지문, APK 서명 인증서, 파일 해시 등 객관적으로 검증 가능한 기술 요점에서 출발하여 "진위 식별"을 재현 가능한 조작 프로세스로 만들어드립니다.
바이낸스의 진짜 1차 도메인
바이낸스 글로벌 사이트의 메인 도메인은 binance.com이며, 2017년부터 사용된 도메인입니다. 모든 지역 사이트는 이 1차 도메인 아래에 걸려 있습니다. 예: www.binance.com, accounts.binance.com, api.binance.com. 이외에도 바이낸스는 다양한 시나리오를 위해 예비 도메인 일괄을 등록했으며, 흔한 예로는 binance.info, binance.vision(아카데미 사이트), binance.charity(자선 프로젝트)가 있습니다.
특별히 강조해야 할 점은 하이픈이 들어간 변형 도메인(예: binance-app.com, binance-login.com, binance-pro.net)은 모두 바이낸스 공식 자산이 아니라는 것입니다. 바이낸스의 브랜드 전략은 매우 보수적이라 하위 사이트에 하이픈을 쓰지 않습니다. 이런 도메인을 만나면 기본적으로 바로 모방으로 판정할 수 있습니다.
앱 다운로드도 메인 도메인을 거치며, 진짜 다운로드 경로는 공식 다운로드 페이지이지 "binance-download" 같은 독립 도메인이 아닙니다.
WHOIS로 도메인 등록 정보 조회
임의의 WHOIS 조회 도구(예: who.is 또는 명령줄의 whois binance.com)를 열면 진짜 binance.com은 다음과 같이 표시됩니다.
- 등록 시점: 2017-02-08(또는 그 이전 기록)
- 등록업체: 보통 MarkMonitor 같은 대기업 전용 도메인 호스팅 업체
- 도메인 상태: clientTransferProhibited, clientUpdateProhibited 등 다중 잠금
- 등록자 정보: 개인정보 보호로 가려지지만 Binance Holdings 관련 주체에 귀속되는 것이 보임
조회한 도메인이 최근 1-2년 전 등록, 등록업체가 NameSilo/Namecheap 개인 계정, 어떤 잠금 상태도 없다면 기본적으로 모조품입니다. 모방 사이트는 비용 절감과 유연한 "껍데기 교체"를 위해 월 수천 달러인 MarkMonitor 같은 서비스를 쓸 수 없습니다.
HTTPS 인증서 지문 대조
브라우저 주소창의 자물쇠 아이콘을 클릭하면 인증서 세부정보를 볼 수 있습니다. 진짜 binance.com은 현재 DigiCert 또는 Amazon이 발급한 EV/OV 급 인증서를 사용하며(최근 OV 유형으로 많이 전환), 주체 정보의 Organization에는 명확히 Binance Holdings Limited가 쓰여 있고 지리적 위치는 케이맨 제도(Cayman Islands)입니다.
더 심도 있는 방법은 인증서의 SHA-256 지문을 대조하는 것입니다. Chrome에서 자물쇠 아이콘 → 연결이 안전합니다 → 인증서 유효 → 세부 정보 → 지문을 클릭해, 이 16진수 문자열을 다른 기기, 다른 네트워크 환경에서 본 지문과 비교합니다. 두 번의 접속에서 본 지문이 완전히 일치하고 모두 동일한 CA 발급 기관에 바인딩되어 있다면 중간에 MITM 치환이 없었다는 뜻입니다.
명령줄 방식:
openssl s_client -connect binance.com:443 -servername binance.com </dev/null 2>/dev/null | openssl x509 -noout -fingerprint -sha256
출력된 지문을 브라우저에서 본 것과 교차 검증할 수 있습니다.
APK 서명 인증서 지문
다운로드한 설치 패키지가 정말 바이낸스가 컴파일한 것인지는 서명 인증서 지문으로 확인하는 것이 가장 정확합니다. 바이낸스 Android 앱의 서명 인증서는 고정되어 있으며 여러 버전 간에 변하지 않습니다(바이낸스가 서명을 능동적으로 교체하지 않는 한. 이 경우는 극히 드물며 사전 공지됩니다).
지문 추출 명령:
keytool -printcert -jarfile binance.apk
또는 Android SDK의 apksigner 사용:
apksigner verify --print-certs binance.apk
출력에서 SHA-256 인증서 지문, 주체 DN(Distinguished Name), 서명 알고리즘 등을 볼 수 있습니다. 이 지문을 기록해 두었다가 다음 새 버전 다운로드 시 다시 추출해 비교합니다. 일치하면 구판과 신판이 동일 출처이고, 일치하지 않으면 파일명이 아무리 비슷해도 설치하지 마십시오.
이 방법의 장점은 공식 사이트가 일시적으로 하이재킹되거나 다운로드 링크가 교체되더라도 이전 버전 지문 기록이 있으면 대조할 수 있는 기준선이 있다는 점입니다.
파일 해시 비교
SHA-256 해시는 파일 단위 지문이며 1바이트만 바뀌어도 완전히 달라집니다. APK 다운로드 후 먼저 해시를 계산합니다.
Windows PowerShell:
Get-FileHash binance.apk -Algorithm SHA256
Linux/Mac:
shasum -a 256 binance.apk
해시를 얻은 후 여러 채널로 교차 대조할 수 있습니다. 예를 들어 다양한 네트워크 환경(집 광대역, 모바일 4G, 해외 VPS)에서 동일 버전의 APK를 각각 다운로드해 해시를 계산합니다. 세 개가 완전히 동일하면 다운로드 경로가 오염되지 않았다는 뜻이고, 차이가 있다면 어느 한 경로에서 누군가가 파일을 교체했다는 뜻입니다.
공식 APK 주소에서 가져온 설치 패키지는 세 차례 네트워크 간 다운로드 해시가 완전히 동일해야 합니다.
디컴파일 표본 검사 아이디어
더 신중한 사용자는 한 단계 더 디컴파일 표본 검사를 할 수 있습니다. jadx 또는 apktool로 APK를 열어 다음 몇 곳을 중점 확인합니다.
AndroidManifest.xml의package필드가com.binance.dev(바이낸스 공식 패키지명)인지- 앱 내 하드코딩된 API 도메인이
api.binance.com등 공식 도메인을 가리키는지 - 의심스러운 외부 연결 도메인, 추가 요청 권한, 낯선 receiver가 있는지
모방 패키지의 전형적 특징은 패키지명이 유사하지만 완전히 같지 않은 문자열(예: com.binancce.app)로 위장되거나, API가 자체 중계 서버를 가리킨다는 점입니다. 이러한 것들은 디컴파일 후 한눈에 드러납니다.
앱 스토어 메타데이터로 판단 보조
국내에서는 Google Play에 직접 접속할 수 없지만, apps.apple.com을 통해 iOS App Store 항목을 조회하는 것은 완전히 가능합니다. 진짜 바이낸스 앱의 개발자 이름은 Binance LTD(또는 Binance Holdings 산하 실체)이며, 개발자 페이지에 걸린 다른 앱들도 바이낸스 계열 제품(Binance US, Trust Wallet 초기 버전 등)입니다.
이 개발자 이름을 안드로이드 측에서 다운로드한 APK 서명 DN과 교차 확인합니다. APK 서명 주체가 들어본 적 없는 회사라면 경계해야 합니다.
검색 엔진 입구에서 함정 피하기
피싱 사이트의 가장 흔한 유입 입구는 검색 엔진 광고와 소셜 미디어 단축 URL입니다. 회피 방법:
- 검색 결과의 「광고/Sponsored」 라벨이 붙은 항목은 클릭하지 않습니다
- 브라우저 즐겨찾기에 바이낸스 가입 링크와 APK 다운로드 주소를 저장하고 이후에는 즐겨찾기만 이용합니다
- 모르는 사람이 보낸 "바이낸스" 링크는 일절 클릭하지 마십시오. 자신이 고객센터라고 주장해도 마찬가지입니다
- 주소 검증 시 글자 단위로 대조하며 rn/m, l/1, 0/O 같은 시각적 유사 문자에 주의합니다
진짜 바이낸스는 전화, 문자, DM으로 먼저 연락하지 않으며 "긴급 로그인 링크"를 보내지 않습니다. "즉시 링크를 클릭해 인증하라"고 재촉하는 모든 메시지는 첫 반응이 모방 의심이어야 합니다.
가입 추천 코드와 초대
다운로드한 것이 정품 바이낸스 앱임을 확인한 후 공식 가입 링크를 통해 계정을 생성하시고, 가입 시 추천 코드 P394YSTZ를 입력하면 거래 수수료 영구 할인을 받을 수 있습니다. 가입 후 가장 먼저 할 일은 2FA를 활성화하여 계정 보안을 최고 수준으로 끌어올리는 것입니다.
자주 묻는 질문
Q: 모바일에서 이미 설치된 바이낸스 앱의 서명 지문을 빠르게 확인하려면 어떻게 해야 하나요?
A: APK Info, App Inspector 같은 도구를 설치하여 Binance 항목을 찾으면 그 안에서 SHA-256 서명 지문을 바로 볼 수 있습니다. 이전에 기록한 기준선과 대조하면 됩니다. 도구를 설치하지 않더라도 adb로 할 수 있습니다. adb shell pm list packages -f | grep binance로 APK 경로를 찾아 pull한 뒤 keytool로 검증합니다.
Q: 왜 모방 사이트의 HTTPS 인증서도 녹색 자물쇠인가요?
A: HTTPS 녹색 자물쇠는 "이 도메인과 이 인증서가 일치한다"만 의미할 뿐, "이 도메인이 바로 바이낸스"임을 의미하지 않습니다. Let's Encrypt는 binance-fake.com 같은 어떤 도메인에도 무료로 인증서를 발급할 수 있습니다. 따라서 핵심은 인증서의 Organization 필드를 보는 것이지 자물쇠만 보는 것이 아닙니다.
Q: APK 서명 지문의 바이낸스 공식 공시 기준선은 어디서 찾을 수 있나요?
A: 바이낸스는 중앙 페이지에 서명 지문을 공시하지 않으며, 업계 관례상 사용자가 정품 최초 설치 후 스스로 기록하여 이후 버전 비교의 기준선으로 사용합니다. 또는 공인된 신뢰할 수 있는 출처(예: APKMirror의 Verified 표시가 붙은 구버전)의 지문을 비교해 초기 기준선을 세울 수도 있습니다.
Q: 휴대폰에 "바이낸스"가 두 개 설치되어 있고 둘 다 로그인 가능한데 어느 것이 진짜인지 어떻게 확인하나요?
A: 각각의 패키지명과 서명 지문을 추출합니다. 패키지명이 com.binance.dev이고 서명 주체가 Binance 관련 실체인 것이 진짜이며, 다른 것은 모방일 가능성이 높습니다. 모방품을 발견하면 즉시 삭제하고 바이낸스 계정 비밀번호를 변경하고 2FA 설정을 확인하며 최근 로그인 기록과 출금 기록을 점검하시기 바랍니다.
Q: 인증서 지문이 매년 변하나요? 변하면 어떻게 해야 하나요?
A: HTTPS 인증서는 보통 1년 정도마다 갱신되며 지문도 변하므로 이는 정상입니다. 주목해야 할 것은 인증서 주체(Organization)와 발급 기관(Issuer CA)이 여전히 합리적인가 하는 점입니다. APK 서명 인증서는 기본적으로 변하지 않으며, 변하면 고도로 경계하여 공식 사이트/소셜 미디어에서 확인해야 합니다.