지갑 사용자의 보안 모델은 일반 트레이더와 다릅니다. 계정이 사칭 페이지로부터 비밀번호를 빼앗기는 것뿐 아니라, 지갑 서명·승인 한도·크로스체인 브리지 연결 같은 온체인 리스크까지 걱정해야 합니다. 2026년 6월 최신 검증: 바이낸스 공식 사이트의 메인 입구는 여전히 binance.com이며, 바이낸스 Web3 지갑 입구는 메인 도메인 내의 지갑 모듈에 위치하고 accounts, download, info 등 서브도메인과 함께 작동합니다. 본 사이트는 독립 제3자 튜토리얼 사이트이며 바이낸스에 속하지 않습니다. 본 글의 목적은 「웹페이지 + 지갑」 두 층의 리스크를 한 번에 명확히 정리하는 것입니다. 직접 이동이 필요하면 바이낸스 공식 사이트 앵커를 사용하세요.
1. 지갑 사용자가 마주하는 두 층의 리스크
지갑 사용자가 마주하는 것은 단일 층 문제가 아니라 두 층의 중첩입니다. 첫째는 웹페이지 도메인이 진짜인지, 둘째는 지갑 서명 요청이 합리적인지입니다. 진짜 binance.com을 열고 있더라도, 사칭 사이트는 다른 페이지에서 크로스체인 브리지로 위장해 unlimited 한도의 ERC-20 승인을 받아낼 수 있습니다.
1.1 웹페이지 계층
웹페이지 계층의 핵심은 「도메인, 인증서, 로그인 인터랙션」이며, 3장에서 별도로 다룹니다.
1.2 온체인 계층
온체인 계층의 핵심은 「서명 내용, 승인 한도, 컨트랙트 주소」입니다. 「빈 메시지를 sign 해 달라」는 팝업은 모두 의심해야 하며, nonce가 현재 세션의 것인지, 컨트랙트 주소가 익숙한 컨트랙트인지, 승인 한도가 「최대값」인지 확인해야 합니다.
2. 2026 바이낸스 공식 사이트와 지갑 입구 빠른 조회표
| 입구 | 유형 | 용도 | 비고 |
|---|---|---|---|
| binance.com | 웹페이지 | 메인 포털, 거래, 지갑 입구 | 표준 입구 |
| accounts.binance.com | 웹페이지 | 로그인 및 계정 보안 | 계정 작업 1순위 |
| api.binance.com | 인터페이스 | 시세 거래 API | API 키만 수용 |
| download.binance.com | 정적 | 클라이언트 / APK | 파일 해시 검증 |
| binance.info | 웹페이지 | 공지, 리서치, 아카데미 | 이곳에서 로그인하지 않음 |
| binance.com/ko/web3wallet | 웹페이지 | Web3 지갑 입구 | 메인 도메인 내 |
| binance.com/ko/bridge | 웹페이지 | 크로스체인 브리지 입구 | 메인 도메인 내 |
이 표를 로컬이나 브라우저 북마크 바에 저장하세요. 모바일 사용자는 바이낸스 공식 앱 입구를 이용하거나, 본 사이트의 다운로드 페이지에서 권장 설치 경로를 확인할 수 있습니다.
2.1 지갑 입구 주의사항
바이낸스 Web3 지갑은 바이낸스 공식 모바일의 일부입니다. 「바이낸스 Web3 지갑 독립 사이트」를 표방하는 독립 .com 도메인 페이지는 모두 경계해야 합니다.
2.2 크로스체인 브리지 입구 주의사항
크로스체인 브리지가 위치한 페이지 경로는 메인 도메인 아래에 있으며, 「binance-bridge.io」 같은 독립 도메인은 존재하지 않습니다.
3. 진짜·가짜 바이낸스 공식 사이트 식별 5단계
- 1단계: 주소창의 오른쪽 두 단락은 반드시
binance.com이어야 합니다. - 2단계: HTTPS 인증서 귀속은 반드시 바이낸스 관련 법인이어야 합니다.
- 3단계: 지갑 연결 팝업의 출처가 binance.com으로 표시되어야 합니다.
- 4단계: 서명 내용은 반드시 읽을 수 있어야 하며, nonce와 컨트랙트 주소를 확인합니다.
- 5단계: 승인 한도는 반드시 유한값이어야 하며, unlimited approve를 피합니다.
3.1 동형 문자와 ENS 동형
피싱범은 i를 키릴 і로, o를 그리스 ο로 바꿉니다. 의심 도메인을 메모장에 복사해 Punycode를 검증하세요. ENS 도메인도 유니코드 동형 문자 공격을 사용하므로 서명 시 반드시 명확히 확인해야 합니다.
3.2 인라인 Q&A
A: 지갑이 「sign」과 「approve」를 표시할 때 차이가 무엇인가요? 답: sign은 메시지 서명, approve는 한도 승인입니다. approve의 위험이 일반적으로 더 큽니다. A: unlimited approve는 안전한가요? 답: 안전하지 않습니다. DEX, 신뢰할 수 있는 크로스체인 브리지에서 단기간 사용 후 즉시 회수하세요.
4. 흔한 피싱 변종 대조표
| 의심 도메인 / 팝업 | 위험 특징 | 사용자 대응 |
|---|---|---|
| bnance.com | 알파벳 i 누락 | 닫고 정확한 도메인 재확인 |
| binance-app.com | APP 다운로드 위장 | binance.com에서만 패키지 취득 |
| bіnance.com(키릴 i) | 시각적 동형 | 메모장에 복사해 Punycode 검증 |
| binance-bridge.io | 크로스체인 브리지 독립 사이트로 위장 | 진짜 브리지는 메인 도메인 경로 |
| binance-airdrop.com | 에어드롭 수령으로 위장 | 팝업으로 지갑 연결해 에어드롭을 받지 않음 |
| permit-binance.com | EIP-2612 permit 서명 유도 | 낯선 permit 서명 거절 |
4.1 팝업 피싱
사칭 사이트는 자주 제3자 지갑 확장 팝업으로 서명을 유도합니다. 예상치 못한 모든 지갑 팝업은 일단 거절하고 출처 도메인을 다시 확인하세요.
4.2 가짜 에어드롭과 가짜 수령
「지갑 연결만 하면 에어드롭 수령」 광고는 거의 모두 사기입니다. 진짜 에어드롭은 보통 공식 공지 페이지 binance.info에서 직접 확인해야 합니다.
5. 국가/지역별 접속 주의사항
| 지역 | 메인 입구 권장 | 주의사항 |
|---|---|---|
| 중국 본토 | 현지 적극 영업 안 함 | 온체인 작업 제한, 사칭 페이지 다수 |
| 홍콩 | binance.com | 증감위 컴플라이언스 업데이트 주시 |
| 대만 | binance.com | 지갑 온체인 작업 자체 위험 부담 |
| 싱가포르 | binance.com(제한) | 파생상품 현지 거주자 제한 |
| 일본 | 현지 컴플라이언스 분점 | 파생상품 FSA 감독 |
| 한국 | binance.com | 컴플라이언스 공지 주시 |
| 미국 | binance.us | 메인 사이트와 차이 큼 |
| EU | binance.com + MiCA | 광고 공시와 쿨링오프 유의 |
5.1 네트워크 계층
먼저 DNS와 로컬 프록시를 점검하고, 공용 DNS를 임시로 1.1.1.1 또는 8.8.8.8로 전환할 수 있습니다.
5.2 온체인 노드
지갑 모듈이 연결되는 RPC 노드는 공식에서 제공하는 것을 선택해야 하며, 제3자 튜토리얼의 「커스텀 RPC」를 복사하지 마세요. 이는 흔한 백도어 입구입니다.
6. 리스크 고지
본 사이트는 독립 제3자 튜토리얼 사이트이며 바이낸스와 어떠한 소속 관계도 없습니다. 사용자 시드 구문을 보유하지 않으며, 서명을 대신하지 않고, 작업을 대신하지 않습니다. 암호자산은 24시간 연속 거래되며, 온체인 거래는 확정되면 되돌릴 수 없습니다. 셀프 커스터디 지갑 사용자의 자산 보안은 100% 본인 책임입니다. 「지갑을 복구해 드리겠다」「세금 회피용 송금을 대행하겠다」는 모든 요청은 사기입니다. 계정 계층 보안 설정은 먼저 바이낸스 공식 사이트에서 완료한 뒤 지갑 측에서 주소를 바인딩하세요.
이어 읽기: 본 사이트의 Web3 입문 카테고리에는 완전한 입문 가이드가 있고, USDT 관리 카테고리는 스테이블 코인 전송과 크로스체인 주의사항을 다룹니다.
6.1 시드 구문 관리
- 시드 구문은 어떠한 웹페이지나 APP 외부에도 입력하지 않음;
- 오프라인 종이 또는 메탈 백업, 클라우드 백업 금지;
- 최소 2부의 지리적으로 분리된 백업;
- 매년 「백업으로 복구 가능한가」 훈련 실시.
6.2 승인 한도 점검
매월 revoke 류 도구로 온체인 승인 목록을 점검하고 사용하지 않는 unlimited approve를 모두 회수하세요. 흔한 방식은 체인별로 따로 점검하는 것입니다. 이더리움 메인넷, BNB 체인, Polygon, Arbitrum 등을 각각 별도로 확인해야 합니다. 어떤 체인에 소량 토큰만 있더라도 과거 승인 때문에 피싱 컨트랙트에 의해 쓸려나갈 수 있습니다. 완전한 점검 리스트에는 최소 세 컬럼이 필요합니다: 컨트랙트 주소, 승인 한도, 최근 사용 시각. 90일 넘게 사용되지 않으면서 unlimited로 걸려 있는 모든 승인은 즉시 회수해야 합니다.
6.3 다중 서명과 콜드·핫 분리
자금 규모가 큰 지갑 사용자는 일상 사용용 핫 지갑과 장기 보유용 콜드 지갑을 분리하는 것이 좋습니다. 핫 지갑에는 단기 운용 한도만 두고, 콜드 지갑에는 하드웨어 지갑이나 다중 서명 방식으로 주요 자산을 보관하세요. 흔한 분리 비율은 핫 지갑이 총자산의 10%를 넘지 않게 하는 것입니다. 다중 서명 임계값은 최소 2/3로 권장하며, 서명자는 서로 다른 물리적 위치에 분산 보관합니다. 이러면 핫 지갑이 피싱되어도 손실이 통제 가능한 범위에 갇힙니다.
6.4 온체인 활동 감사
분기마다 「지갑 활동 감사」를 한 번씩 수행하세요. 최근 90일의 온체인 거래 기록을 내보내 한 건씩 본인이 시작한 작업인지 확인합니다. 낯선 approve, transferFrom, permit는 모두 즉시 추적하고 해당 승인을 회수해야 합니다. 이 단계는 기술 독자도 자주 빠뜨리지만, 「피싱 자산의 만성적 유출」을 막는 핵심입니다.
7. 자주 묻는 질문
Q1: 지갑 잔액이 갑자기 0이 되면 어떻게 하나요?
A: 먼저 침착하게, 거래 기록에서 sweep 당했는지 확인하세요. sweep 당한 시드 구문은 다시 사용할 수 없으니, 즉시 새 지갑을 만들어 남은 자산을 이전해야 합니다.
Q2: 이상한 permit에 서명했다면 어떻게 하나요?
A: 최대한 빨리 revoke 도구로 승인을 회수하고, 영향받을 수 있는 자산을 새 지갑으로 이전하세요.
Q3: 크로스체인 브리지는 어떤 것을 써야 하나요?
A: 바이낸스 메인 도메인 경로의 공식 브리지를 사용하세요. 제3자 브리지는 신중히 선택해야 하며, 최소한 감사 보고서와 보험 메커니즘이 있어야 합니다.
Q4: 지갑 확장과 바이낸스 공식 지갑은 충돌하나요?
A: 충돌하지 않습니다. 다만 매번 연결하는 지갑이 어느 것인지 명확히 해야 잘못 서명하지 않습니다.
Q5: 하드웨어 지갑이 피싱을 막아 줄 수 있나요?
A: 개인 키 유출은 막아 주지만, 본인이 잘못된 승인에 서명하는 것은 막지 못합니다. 화면에서 서명 내용을 확인하는 것이 여전히 핵심입니다.
Q6: 본 사이트가 지갑 복구를 도와주나요?
A: 도와주지 않습니다. 「지갑 복구를 도와주겠다」는 사람은 모두 사기꾼입니다.
Q7: 본 사이트는 바이낸스인가요?
A: 아닙니다. 본 사이트는 독립 제3자 튜토리얼 사이트입니다.
문서 발행일 2026-06-21, 다음 검토 예정 2026-09-21