바이낸스에서 제공하는 2차 인증(2FA)은 크게 세 가지가 있습니다: SMS, APP형 인증기(Google Authenticator / Authy), 하드웨어 키(Yubikey / Passkey). 보안성 측면에서는 하드웨어 > APP > SMS 순이지만, 편의성은 그 반대입니다. 사용자는 바이낸스 공식 웹사이트에 로그인하여 「보안」 설정에서 하나 이상의 2FA를 활성화할 수 있으며, 모바일 기기에서는 바이낸스 공식 앱으로 QR 코드를 스캔하여 연동을 완료할 수 있습니다. iOS 기기의 첫 기기 인증은 iOS 설치 튜토리얼을 참고하여 완료할 수 있습니다. 결론부터 말씀드리면, 일반 사용자에게 APP형 인증기는 「필수 선택」이며, SMS는 백업용일 뿐 최우선 순위가 아닙니다. 자산 규모가 5만 USDT를 초과한다면 Yubikey와 같은 하드웨어 보안 솔루션으로 업그레이드할 것을 강력히 권장합니다.
1. 세 가지 2FA의 기본 원리
1단계: SMS 2FA
SMS 2FA는 통신사를 통해 6자리 무작위 숫자를 사용자의 SIM 카드로 전송하는 방식에 의존합니다. 장점은 별도의 앱 설치가 필요 없다는 것이지만, 단점은 통신사, 채널, 신호 및 SIM 카드 자체에 제약을 받으며 하이재킹 위험이 가장 높다는 것입니다.
2단계: APP형 인증기
APP형 인증기는 TOTP 알고리즘을 기반으로 로컬 기기에서 30초마다 6자리 숫자 세트를 생성합니다. 연동 시 바이낸스에서 APP에 16자리 시드를 기록하며, 이후에는 인터넷 연결이 필요하지 않습니다. 오프라인에서도 사용 가능하며 중간자 공격으로 탈취될 수 없다는 점이 가장 큰 장점입니다.
3단계: 하드웨어 키
Yubikey, Passkey, YubiHSM과 같은 하드웨어 키는 FIDO2/U2F 표준을 기반으로 하며, 로그인 시 기기에 물리적으로 삽입하거나 NFC로 접근한 뒤 버튼을 눌러야 합니다. 개인키가 하드웨어를 절대 벗어나지 않으므로 원격 공격이 거의 불가능합니다.
2. 구체적인 활성화 단계 및 권장 조합
바이낸스는 여러 유형의 2FA를 동시에 활성화할 수 있도록 허용하며, 사용자는 그중 하나를 「기본 2FA」로 선택하고 나머지를 백업으로 사용할 수 있습니다. 권장하는 조합 전략은 「하드웨어 + APP + SMS 백업」입니다.
- 계정 로그인 → 보안 → 2FA 섹션으로 이동합니다.
- 첫 번째 단계로 Google Authenticator를 활성화하고, QR 코드를 스캔하여 APP에 가져온 뒤 16자리 복구 코드를 메모해 둡니다.
- 두 번째 단계로 SMS 2FA를 활성화하고, 휴대폰 번호를 입력한 뒤 인증번호를 받아 제출합니다.
- 세 번째 단계(선택 사항)로 Yubikey를 구매하거나 Passkey를 활성화하여 기본 로그인 2FA로 등록합니다.
- 모든 2FA를 활성화한 후, APP형 인증기를 「기본 인증 방식」으로 설정합니다.
이러한 조합의 의미는 하드웨어 키로 일상적인 로그인을 처리하고, 휴대폰 교체 시 APP형 인증기가 오프라인 백업을 제공하며, SMS가 최종적인 계정 복구 수단이 된다는 것입니다. 어느 하나에 문제가 생겨도 나머지가 계정을 보호해 줍니다.
피해야 할 설정 오류는 SMS만 켜고 APP 인증을 끄는 것입니다. 이 조합은 SIM 카드가 하이재킹당했을 때 모든 방어선을 포기하는 것과 같습니다. 공격자는 SIM 카드만 재발급받으면 모든 자산을 가져갈 수 있습니다.
3. 보안성 및 편의성 비교
아래 표는 여러 차원에서 세 가지 솔루션을 비교한 것입니다.
| 차원 | SMS | APP 인증기 | 하드웨어 키 |
|---|---|---|---|
| SIM 하이재킹 방어 | 낮음 | 높음 | 매우 높음 |
| 피싱 사이트 방어 | 약함 | 중간 | 매우 높음 (도메인 바인딩) |
| 중간자 공격 방어 | 낮음 | 중간 | 매우 높음 |
| 오프라인 사용 | 불가 | 가능 | 가능 |
| 지연 시간 | 1 - 60초 | 0초 | 1 - 2초 |
| 지역 간 사용 | 로밍 실패 가능 | 전 세계 가능 | 전 세계 가능 |
| 초기 비용 | 없음 | 없음 | 약 7만 원 (350위안 상당) |
| 휴대폰 교체 난이도 | 낮음 | 복구 코드 필요 | 백업 키 필요 |
| 권장 등급 | 백업용 | 주력용 | 고액 자산가 필수 |
표에서 알 수 있듯이, **SMS의 유일한 장점은 「비용 제로」**뿐이며, 다른 핵심 차원에서는 APP형 인증기에 완전히 압도당합니다. Yubikey와 같은 하드웨어 키는 초기 투자 비용이 발생하지만, 자산 규모가 5만 달러를 넘는 사용자에게는 그 비용 이상의 보안 수준 향상을 보장합니다.
4. 전형적인 위험 시나리오 및 대응 방안
시나리오 1: SIM 하이재킹 (SIM Swap). 공격자가 통신사 고객센터를 통해 「휴대폰을 분실했다」는 핑계로 동일한 번호의 SIM 카드를 재발급받은 뒤 인증번호를 가로챕니다. 이는 SMS 2FA의 가장 크고 흔한 취약점입니다. 대응 방안: 통신사 측에 SIM 카드 재발급 시 2차 인증 비밀번호를 설정하고, 바이낸스 기본 2FA를 APP형으로 전환합니다.
시나리오 2: 피싱 사이트 실시간 중계. 공격자가 바이낸스 로그인 페이지를 위조하여 사용자가 비밀번호와 SMS 또는 APP 인증번호를 입력하면, 실시간으로 진짜 바이낸스에 전달하여 로그인에 성공합니다. 하드웨어 키는 FIDO2 표준이 서명을 도메인과 바인딩하기 때문에 가짜 도메인에서는 유효한 서명을 생성할 수 없어 이 공격을 방어할 수 있습니다.
시나리오 3: 휴대폰 바이러스의 인증번호 탈취. 안드로이드의 일부 악성 앱은 「SMS 읽기」 권한을 통해 몰래 인증번호를 가로챌 수 있습니다. 반면 Google Authenticator는 사용자가 직접 앱을 열어 확인해야 하므로 자동으로 읽히는 문제가 없어 상대적으로 더 안전합니다.
시나리오 4: 해외 로밍 SMS 지연. 해외 출국 시 국제 SMS 지연이 2분을 초과할 수 있으며, 인증번호가 만료되어 재전송해야 하는 등 사용자 경험이 매우 나쁩니다. APP형 인증기는 로밍의 영향을 전혀 받지 않습니다.
시나리오 5: 인증 기기 분실. 사용자가 휴대폰을 분실하고 복구 코드가 없는 경우, APP과 SMS가 동일한 휴대폰에 있다면 동시에 무력화됩니다. APP형 인증기와 SMS 수신 기기를 서로 분리하여 보관할 것을 권장합니다. 예를 들어 SMS는 집에 두는 보조 휴대폰에 연결하고, APP은 주력 휴대폰에 설치하는 방식입니다.
5. FAQ 자주 묻는 질문
Q: 바이낸스는 2FA 활성화를 강제하나요? A: 일반적으로 신규 사용자가 KYC를 완료하면 현물 거래를 할 수 있지만, 출금, 선물, C2C 거래를 이용하려면 최소 한 가지 이상의 2FA 연동이 필수이므로 사실상 강제 사항입니다.
Q: Authy가 Google Authenticator를 대체할 수 있나요? A: 네, 가능합니다. 둘 다 TOTP 프로토콜을 기반으로 하므로 연동 시 원하는 앱을 선택하면 됩니다. Authy는 클라우드 동기화 백업을 제공하지만, 그만큼 클라우드 해킹의 위험도 존재합니다.
Q: 하드웨어 키 하나로 여러 계정을 연동할 수 있나요? A: 네, 가능합니다. Yubikey 하나에 수십 개의 사이트를 등록할 수 있으며, 바이낸스는 그중 하나의 슬롯만 차지하므로 다른 서비스 이용에 지장을 주지 않습니다.
Q: Passkey와 Yubikey 중 어느 것이 더 좋나요? A: Yubikey는 물리적 장치로 보안성이 더 뛰어나며, Passkey는 iCloud 키체인이나 Google 클라우드에서 동기화할 수 있어 편의성이 더 높습니다. 예산이 넉넉하다면 Yubikey를, 편의성을 추구한다면 Passkey를 선택하세요.
Q: 단 하나의 2FA만 사용하고 싶다면 무엇을 선택해야 하나요? A: 추가 비용 없이 SMS보다 보안성이 훨씬 높은 APP형 인증기(Google Authenticator)를 강력히 권장합니다. SMS만 사용하는 것의 위험성은 최근 몇 년간의 사례를 통해 매우 높음이 반복적으로 증명되었습니다.