📋 목차
바이낸스에서 API 키를 만들면 자동 매매 봇, 포트폴리오 트래커, 세금 리포트 도구 등과 계정을 연결할 수 있어요. 복잡해 보이지만 순서를 알면 누구나 따라 할 수 있어요. 여기서는 계정 보안부터 발급, 권한 설정, 연결, 보관까지 초보자 눈높이로 차근차근 안내해요.
API 키는 두 쌍으로 구성돼요. 공개되는 키가 ‘API Key’, 비밀번호 같은 값이 ‘Secret Key’예요. Secret은 최초 발급 시에만 보여주니 안전한 곳에 저장해야 해요. 팀이나 외부 서비스에 공유하면 권한 범위 내에서 거래나 조회가 가능하니 관리가 중요해요.
내가 생각 했을 때 핵심은 ‘최소 권한’과 ‘IP 제한’이에요. 필요한 기능만 열고, 접속 주소를 고정하면 사고 확률이 크게 줄어요. 이제 아래 섹션에서 단계별로 진행해봐요. 모바일에서도 잘 보이게 줄바꿈과 표를 정리했어요.
🔐 API 키 기본 개념과 구조
API는 서비스와 프로그램을 연결하는 표준 통로예요. 거래소의 주문·시세·잔고 기능을 앱이나 봇에서 쓰려면 인증된 열쇠가 필요하고, 그게 바로 API 키예요. 키는 식별자(API Key)와 비밀(Secret Key)로 구성돼요. 서명이 필요한 요청에는 Secret으로 HMAC 서명을 만들어 보내요.
키에는 권한이 붙어요. 읽기 전용(계정 조회), 현물 주문, 선물 주문, 출금 등으로 나뉘고 서로 독립적이에요. 보안 원칙은 필요한 최소 권한만 켜는 거예요. 포트폴리오 앱이면 조회만, 트레이딩 봇이면 현물 또는 선물 주문만 열어요. 출금 권한은 진짜 필요할 때에만 고려해요.
IP 제한은 특정 주소에서만 키가 작동하게 묶는 기능이에요. 가정·사무실 고정 IP, 또는 클라우드 서버의 공인 IP를 등록해요. 동적 IP 환경이면 프록시나 고정 IP 옵션을 검토해요. 키 만료(Validity) 설정이 제공되면 사용 기간을 짧게 잡아 위험을 줄일 수 있어요.
📊 API 키 구성 요약 표
| 요소 | 설명 | 권장 설정 |
|---|---|---|
| API Key | 계정을 식별하는 공개 키 | 외부에 노출돼도 단독으론 의미 적음 |
| Secret Key | 요청 서명용 비밀 키 | 최초 발급 즉시 오프라인 보관 |
| 권한 | 읽기·주문·출금 등 기능 범위 | 최소 권한 원칙 적용 |
| IP 제한 | 허용 IP에서만 사용 | 고정 IP 화이트리스트 |
👣 계정 보안 설정과 준비물
API 키를 만들기 전 보안을 단단히 해요. 이메일·비밀번호를 최신으로 바꾸고, 2단계 인증(Authenticator 앱 + SMS 중 최소 1개, 가능하면 앱+FIDO 보안키)을 켜요. 피싱 방지 코드(이메일 상단에 표시될 개인 문자열)도 꼭 설정해요.
필요 준비물은 인증 앱(예: Google Authenticator), 백업용 복구 코드, 안전한 비밀번호 관리자, 오프라인 보관 메모(종이, 금고, 암호화 파일)예요. 팀에서 사용할 키라면 역할별로 키를 분리해 책임 범위를 명확히 해요.
브라우저에서는 북마크를 통해 공식 도메인으로만 접속하고, 공용 PC·VPN·공용 와이파이 사용을 지양해요. 로그인 알림을 켜 두면 의심스러운 접근을 빠르게 알아챌 수 있어요. 계정 활동 기록도 주기적으로 점검해요.
🧷 발급 전 체크리스트 표
| 항목 | 확인 내용 | 상태 |
|---|---|---|
| 2단계 인증 | 앱 기반 MFA + 백업 코드 보관 | □ |
| 피싱 방지 코드 | 메일 상단 식별 문자열 확인 | □ |
| 비밀번호 | 12자 이상, 관리자로 저장 | □ |
| 도메인 | 공식 URL만 북마크 사용 | □ |
🧭 대시보드에서 API 키 발급 절차
1) 로그인 후 우측 상단 프로필 메뉴에서 ‘API 관리(API Management)’를 선택해요. 2) 새 키 생성(Create API) 버튼을 누르고 용도를 이해하기 쉬운 이름으로 지정해요. 예: “my-portfolio-readonly”, “trading-bot-spot”.
3) 보안 인증(이메일 코드, 2단계 인증 코드, SMS 등)을 통과해요. 4) 시스템이 API Key와 Secret Key를 보여줘요. 이때 Secret은 화면을 벗어나면 다시 확인이 어려워서 즉시 복사해 안전한 곳에 저장해야 해요. 5) 필요한 권한을 선택하고 저장해요.
초보자라면 ‘읽기 전용’부터 만들어 포트폴리오 앱과 연동해보는 걸 추천해요. 주문 권한 키는 사용 목적이 명확할 때 별도로 생성해요. 서로 다른 프로젝트는 다른 키로 분리하면 관리와 회수가 쉬워요.
🧾 발급 절차 한눈표
| 단계 | 동작 | 팁 |
|---|---|---|
| 1 | API 관리 진입 | 프로필 메뉴에서 빠르게 이동 |
| 2 | 이름 지정 | 용도·권한이 드러나게 |
| 3 | 보안 인증 | MFA 필수 통과 |
| 4 | 키 확인/저장 | Secret 즉시 백업 |
| 5 | 권한 선택 | 최소 권한 원칙 |
🧩 권한·IP 제한·만료 설정 방법
권한은 작업 범위를 결정해요. 조회(Read), 현물 주문(Spot Trade), 선물 주문(Futures), 출금(Withdrawal) 등이 대표적이에요. 포트폴리오 도구에는 조회만, 트레이딩 봇에는 해당 시장의 주문만, 백업·회계에는 조회만 열어요. 출금은 리스크가 매우 커서 오프라인 콜드 지갑 자동화 같은 특수 목적 외에는 비활성으로 두는 게 좋아요.
IP 제한을 사용하면 지정된 IP에서만 요청이 가능해요. 집이나 회사의 고정 IP, 클라우드 서버의 공인 IP를 화이트리스트에 등록해요. 여러 위치에서 써야 한다면 VPN의 고정 IP를 계약하거나, 프로젝트별로 각기 다른 서버 IP를 등록해 분리해요. 등록 후에는 IP 변경 시 봇이 멈출 수 있어 즉시 갱신해야 해요.
키 만료나 재발급 주기는 보수적으로 잡아요. 장기간 사용 키는 분기마다 회전(Rotation)하고, 더 이상 쓰지 않는 키는 즉시 비활성화·삭제해요. 프로젝트가 바뀌면 새 키를 발급하고 구 키를 회수해 접근 경로를 좁혀요.
🛰 권한·IP 설정 가이드 표
| 사용 시나리오 | 권한 선택 | IP 설정 |
|---|---|---|
| 포트폴리오 트래커 | 조회(Read)만 | 앱 서버 고정 IP |
| 현물 트레이딩 봇 | Read + Spot Trade | 봇 서버 IP만 허용 |
| 선물 트레이딩 봇 | Read + Futures | 선물 봇 서버 IP |
| 회계/세금 툴 | Read | 툴 제공사 IP 범위 |
🔗 봇·툴 연동과 오류 해결
연동은 보통 설정 화면에서 API Key와 Secret을 붙여 넣는 방식이에요. IP 제한을 켰다면 도구의 서버 IP를 화이트리스트에 추가해야 해요. 권한이 부족하면 “권한 없음” 오류가 발생하니 목적에 맞게 권한을 재확인해요. 거래 쪽은 마켓 종류(현물/선물)와 심볼 표기(예: BTCUSDT)도 정확히 맞춰요.
대표 오류는 인증 실패(서명 불일치), 시계 불일치, 레이트 리밋 초과, 권한 오류, IP 제한 위반이에요. 서버와의 시간 차는 NTP 동기화로 해결하고, 서명은 Secret이 올바르게 저장됐는지 재검토해요. 리밋은 재시도 지연(Exponential Backoff)과 큐 처리로 완화해요.
주문 테스트는 최소 수량(Min Notional)·스텝 사이즈를 지켜야 성공해요. 테스트 환경이 제공되면 먼저 모의로 점검해요. 실패 로그를 남겨 원인(HTTP 코드, 에러 메시지, 타임스탬프, 엔드포인트)을 파악하면 해결 속도가 빨라져요.
🧪 연동 트러블슈팅 표
| 증상 | 원인 | 조치 |
|---|---|---|
| 401/Signature | Secret 오입력, 파라미터 누락 | 키 재저장, 서명 파라미터 점검 |
| Timestamp | 시계 오차 | NTP 동기화, recvWindow 조정 |
| 429/리밋 | 요청 과다 | 백오프, 배치 처리 |
| 403/권한 | 권한 미부여 | 권한 켜고 저장 |
| 403/IP 제한 | 화이트리스트 미등록 | 서버 IP 등록 |
🧰 안전한 보관과 사고 예방 체크리스트
Secret은 클라우드 노트·메신저·이메일 첨부에 보관하지 않아요. 암호화된 비밀 금고(비밀번호 관리자, OS 보안 키체인)를 쓰거나, 오프라인 종이 메모를 금고에 보관해요. 팀 공유는 비밀 공유 기능이 있는 솔루션을 사용해 추적 가능성을 확보해요.
정기 점검을 습관화해요. 사용하지 않는 키는 바로 삭제하고, 남은 키는 권한·IP·활동 로그를 확인해요. 프로젝트 종료, 멤버 퇴사, 벤더 교체 같은 이벤트가 생기면 즉시 키를 회수해요. 앱 권한도 함께 정리해요.
의심 활동이 보이면 즉시 조치해요. 키 비활성화, 비밀번호 변경, 2단계 인증 재설정, 고객센터 신고, 출금 잠금 등 가용한 방어 수단을 동원해요. 필요하면 접속 IP 로그와 시각을 수집해 지원팀에 제공해요.
🛡 보관·점검 체크 표
| 점검 항목 | 주기 | 기준 |
|---|---|---|
| 키 권한·IP | 월 1회 | 최소 권한 검토 |
| 로테이션 | 분기 1회 | 구 키 회수 |
| 로그 확인 | 주 1회 | 의심 접근 탐지 |
| 백업 점검 | 반기 1회 | 복구 가능성 확인 |
❓ FAQ 30
Q1. API 키는 몇 개까지 만들 수 있나요?
A1. 계정 유형에 따라 제한이 달라요. 필요 프로젝트별로 분리해 운용해요.
Q2. Secret Key를 잃어버리면 어떻게 하나요?
A2. Secret은 재확인이 어려워요. 기존 키를 삭제하고 새 키를 발급해요.
Q3. 출금 권한은 켜도 되나요?
A3. 위험도가 커요. 꼭 필요한 자동화가 아니면 비활성 권장해요.
Q4. IP 제한을 끄면 어떤 위험이 있나요?
A4. 키 유출 시 어디서든 악용될 수 있어요. IP 화이트리스트를 권장해요.
Q5. 권한은 언제든 바꿀 수 있나요?
A5. 가능해요. 변경 후 저장하고, 연동된 앱을 재시작해 반영해요.
Q6. 레이트 리밋을 자주 넘어요. 해결책은?
A6. 요청 합치기, 캐시, 백오프, 배치 호출을 적용해요.
Q7. 현물과 선물은 키를 분리해야 하나요?
A7. 분리하면 권한·리스크 관리가 쉬워요.
Q8. 팀원과 키를 어떻게 공유하죠?
A8. 비밀 공유 기능이 있는 보안 금고로 접근 권한을 최소화해요.
Q9. 봇이 “권한 없음”을 띄워요.
A9. 해당 기능 권한이 켜졌는지, 마켓 구분이 맞는지 확인해요.
Q10. 테스트 주문은 어디서 하죠?
A10. 제공되는 테스트넷·샌드박스가 있으면 먼저 활용해요.
Q11. Secret을 코드에 직접 넣어도 되나요?
A11. 환경변수·시크릿 매니저를 써요. 저장소 커밋은 금지해요.
Q12. 키가 유출된 것 같아요. 무엇을 먼저 할까요?
A12. 해당 키 비활성화→비번 변경→MFA 재설정→지원팀 신고 순서로 조치해요.
Q13. 여러 앱에서 같은 키를 써도 되나요?
A13. 분리 발급을 권장해요. 문제 발생 시 영향 범위를 줄여요.
Q14. 시간 동기화는 왜 중요하죠?
A14. 서명 검증에 타임스탬프가 쓰여요. 오차가 크면 인증이 실패해요.
Q15. 봇이 가끔 멈춰요. 어디부터 볼까요?
A15. 상태 페이지, 에러 로그, 리밋 초과, 네트워크·IP 변경을 점검해요.
Q16. 주문 최소 수량 오류가 떠요.
A16. 심볼의 스텝·티커 사이즈·최소 주문액을 준수해요.
Q17. 키를 로테이션하면 봇이 끊겨요.
A17. 새 키 배포→서비스 재기동→구 키 폐기 순으로 무중단 교체를 설계해요.
Q18. 계정권한과 API 권한의 차이는?
A18. 계정은 전체, API는 해당 키 범위에만 적용돼요.
Q19. 모바일에서 키를 발급해도 되나요?
A19. 가능하지만 저장·백업이 번거로워 PC에서 권장해요.
Q20. 계정이 잠겼을 때 API는 작동하나요?
A20. 보안 정책에 따라 제한될 수 있어요. 계정부터 복구해요.
Q21. KYC 미완료 계정도 발급 가능한가요?
A21. 정책에 따라 제한이 있을 수 있어요. 신원 확인을 먼저 끝내요.
Q22. 봇의 손실은 거래소에서 보상하나요?
A22. 일반적으로 사용자 책임이에요. 전략과 리스크 관리는 스스로 점검해요.
Q23. 선물과 현물 키를 혼용하면 안 되나요?
A23. 목적별 분리가 안전해요. 잘못된 시장으로 주문이 나갈 위험을 줄여요.
Q24. 키 공유를 금지하는 규정이 있나요?
A24. 약관·정책을 준수해야 해요. 무단 공유는 계정 제재 사유가 될 수 있어요.
Q25. 서버 이전으로 IP가 바뀌었어요.
A25. API 관리에서 허용 IP를 즉시 갱신해요. 반영 전엔 요청이 막혀요.
Q26. 어떤 이름을 붙이는 게 좋나요?
A26. 프로젝트-권한-환경 형식(예: bot-spot-prod)으로 일관성 있게요.
Q27. Secret을 노출한 것 같아요. 로그만 지우면 되나요?
A27. 안 돼요. 즉시 키 폐기·재발급하고 영향 범위를 점검해요.
Q28. 무료 VPS에서 돌려도 괜찮나요?
A28. 신뢰·보안 수준을 검토해요. 고정 IP가 필수면 옵션을 확인해요.
Q29. 키를 깃 저장소에 올렸어요. 복구법은?
A29. 저장소 비노출 조치 + 키 폐기·재발급 + 비밀 스캔 규칙을 추가해요.
Q30. 공식 변경점은 어디서 확인하나요?
A30. 개발자 문서의 Change Log와 공지, 상태 페이지를 확인해요.
📦 주의사항 및 면책조항
본 문서는 바이낸스 API 키 발급·설정·운용 전반에 관한 일반 정보 제공을 목적으로 작성됐어요. 여기 수록된 설명, 표, 체크리스트, 링크, 팁은 교육용 자료이며, 특정 목적에 대한 적합성, 완전성, 최신성, 정확성을 보증하지 않아요. 실제 정책·약관·보안 기준·레이트 리밋·엔드포인트·권한 체계·IP 제한 방식·지원 범위 등은 서비스 제공자의 공지·개발자 문서·고객센터 가이드·시스템 업데이트에 따라 수시로 바뀔 수 있어요. 동일한 작업이라도 계정 유형, 지역 규정, 신원 인증 상태, 리스크 제어 수준, 네트워크 환경, 서드파티 도구의 구현 차이, 서버 시간 동기화 상태, 인프라 보안 설정 등에 따라 결과가 달라질 수 있어요.
본 문서는 법률·세무·회계·투자·보안 자문이 아니며, 자동매매·선물거래·레버리지 사용 등으로 발생하는 손실, 시스템 지연·API 장애·리밋 초과·오류 코드 오해석·오입력·권한 남용·키 유출·피싱·멀웨어 감염·소셜 엔지니어링·팀 내부 통제 실패 등으로 인한 직·간접·부수·특별·결과 손해에 대해 작성자는 책임을 지지 않아요. API 키 발급·변경·삭제, 권한 설정, IP 제한, 키 보관, 로그 관리, 백업·복구, 서드파티 연동, 코드 배포, 비밀 관리, 접근 통제는 전적으로 사용자 또는 조직의 책임 하에 수행되어야 해요. 키와 계정에 대한 접근 권한 부여·회수·감사 기록 유지·역할 분리·4눈 원칙(승인 분리) 등 내부통제 체계를 스스로 확립하고 지속적으로 점검해야 해요.
여기 포함된 외부 링크는 편의를 위해 제공되며, 링크된 사이트의 신뢰성·정확성·가용성·보안성을 보장하지 않아요. 링크·정책·문서의 변경으로 발생하는 영향은 사용자가 직접 최신 정보를 확인해야 해요. 키 유출이 의심되거나 보안 사고가 발생한 경우, 즉시 해당 키 비활성화, 계정 비밀번호 변경, 2단계 인증 재설정, 접속 로그 확인, 허용 IP 갱신, 관련 서비스 중단, 거래소 지원팀 신고 등 비상 조치를 취하고, 필요한 경우 전문 보안 컨설턴트와 법률 자문을 통해 후속 대응을 진행하세요. 국가별 규제 준수, 제3자와의 계약 관계, 개인정보·거래 데이터 처리, 세무 신고, 회계 기준 적용 등 법적·규제적 요구사항은 각 관할의 법령과 전문가 자문을 우선해요.
본 문서의 이용은 전적으로 사용자 재량이며, 사용자가 이 문서의 내용을 신뢰해 취한 행위 또는 미취한 행위로 인해 발생하는 모든 결과에 대해 작성자는 책임을 부담하지 않아요. 가장 정확하고 최신의 내용은 바이낸스 공식 웹사이트, 개발자 문서, 고객센터 공지, 서비스 상태 페이지에서 확인할 수 있어요. 본 문서와 공식 정보가 상충하는 경우 공식 자료를 우선하세요.