바이낸스 검색하면 사이트 많은데 어떤 게 진짜?
검색 엔진에 "바이낸스"를 검색하면 상위 몇 개 결과의 절반 이상은 진짜 공식 사이트가 아닌 경우가 많습니다. 진정한 입구는 바이낸스 공식 사이트라는 메인 사이트 하나뿐이며(여기에 몇 개의 예비 도메인이 추가됨), 나머지는 모두 입찰 광고, SEO 위조 사이트 또는 블로그 집계 페이지입니다. 모바일에서 가장 안전한 방법은 바이낸스 공식 앱을 직접 설치하는 것이며, 앱 서명은 위조할 수 없습니다. iPhone 에서 App Store 에 검색되지 않으면 iOS 설치 가이드를 참고하시기 바랍니다.
검색 결과에 있는 사이트의 유형
바이두에서 "바이낸스"를 검색한 예를 들면, 첫 페이지에 보통 다음과 같은 유형이 나타납니다.
| 유형 | 비중 | 진짜 공식 사이트 여부 | 대표 특징 |
|---|---|---|---|
| 입찰 광고 | 약 30% | 아니오 | 좌측 상단에 "광고" 작은 글씨 |
| SEO 위조 사이트 | 약 20% | 아니오 | 도메인에 cn/vip/app 등 접미어 |
| 블로그/미디어 집계 | 약 25% | 아니지만 위험은 없음 | 소개 글, 이동 버튼 있음 |
| 진짜 공식 사이트 | 약 10% | 예 | binance.com 메인 도메인 |
| 뉴스/정보 | 약 15% | 관련 없음 | 뉴스 이벤트 보도 |
주의해야 할 것은 앞의 두 유형이며, 이들은 로그인 페이지로 위장하여 비밀번호 입력을 유도합니다.
가짜 사이트를 식별하는 5가지 직접적인 방법
방법 1: 도메인의 루트가 binance.com 인지 확인
검색된 링크가 얼마나 길든 마지막 두 구간만 보시기 바랍니다. 예를 들어 login.binance.com.vip-sec.net 같은 경우, 마지막 두 구간은 vip-sec.net 이므로 루트 도메인은 아예 바이낸스가 아닙니다.
진짜 공식 사이트의 루트 도메인은 다음과 같습니다.
- binance.com
- binance.info
- binance.bz
- binance.us(미국 사용자 전용)
나머지는 모두 해당되지 않습니다.
방법 2: "광고" 표시 확인
바이두, 빙, 구글의 유료 자리에는 모두 제목 옆에 "광고" 또는 "Sponsored" 표시가 있습니다. 진짜 바이낸스 공식은 입찰 광고를 구매하지 않습니다(그럴 필요가 없음). 모든 광고 자리는 다른 사람이 구매한 것으로, 위조이거나 블로그 연합입니다.
방법 3: 마우스 오버로 상태 표시줄 확인
마우스를 검색 결과 제목에 올리되 클릭하지 마세요. 그러면 브라우저 좌측 하단에 실제 이동 URL 이 표시됩니다. 많은 위조 사이트는 Google Ads 리디렉션 링크 googleadservices.com/.../adurl=xxx 를 사용하는데, 클릭해야 실제 도메인이 드러나며 그때는 이미 늦습니다.
방법 4: 로딩 속도
바이낸스 진짜 공식 사이트는 전 세계 CDN(Cloudflare 및 자체 구축 노드)을 배포하여 첫 화면 로딩이 보통 1.5초 이내입니다. 위조 사이트는 저렴한 호스팅을 사용해 여는 데 3-5초씩 걸리거나 심지어 흰 화면이 되기도 합니다.
방법 5: 로그인 페이지의 URL 확인
진짜 바이낸스에서 "로그인"을 클릭하면 accounts.binance.com/login 으로 이동하며, URL 이 고정되어 있습니다. 위조 사이트는 login.binance-xxx.com 또는 binance.com.xxx.com 으로 이동할 수 있으며, accounts 가 서브도메인이 아니고 다른 것이면 즉시 닫으시기 바랍니다.
Punycode 동형 문자 도메인
이는 최근 2년간 가장 교활한 피싱 수법 중 하나로, IDN 동형 문자 공격(IDN Homograph Attack) 이라고 불립니다.
원리
유니코드에는 라틴 문자와 "똑같아 보이는" 문자가 많이 있습니다. 예를 들어:
- 키릴 문자 а(U+0430) 와 라틴 문자 a(U+0061) 는 눈으로 보기에 완전히 동일
- 그리스 문자 ο(U+03BF) 와 라틴 문자 o 는 완전히 동일
공격자는 키릴 а 로 bіnаnce.com 을 등록(실제 인코딩은 xn--bnnce-xxx.com)하며, 자세히 보지 않으면 전혀 구별할 수 없습니다.
방어 방법
- Chrome, Edge, Firefox 사용: 최신 브라우저는 IDN 을 감지하면 자동으로 Punycode 인코딩(xn-- 로 시작)을 표시하므로, 주소창에 xn-- 가 보이면 즉시 닫으시기 바랍니다
- 메모장에 수동으로 복사 붙여넣기: 문자가 다르면 드러납니다
- 브라우저 확장 설치: 예를 들어 Punycode Alert 가 능동적으로 알림을 줍니다
실제 사례
2022년에 bіnance.com(키릴 і 가 i 를 대체) 이 나타나 많은 사용자를 속였습니다. 2024년에는 binаnce.com(키릴 а 가 두 번째 a 를 대체) 이 또 나타났습니다. 이런 도메인은 보는 족족 걸리므로 보면 클릭하지 마시기 바랍니다.
서브도메인 및 접두어/접미어 위조
접두어 위조
login-binance.com, my-binance.com, secure-binance.com 같은 경우, 루트 도메인은 login-binance.com 으로 바이낸스와 무관합니다. 공격자는 이런 "바이낸스처럼 보이는" 도메인을 대량으로 등록하여 위챗 그룹, 트위터 댓글 섹션에 집중 살포합니다.
접미어 위조
binance-app.com, binance-login.net, binance-exchange.org 의 루트 도메인은 대시 오른쪽으로 app.com, login.net 등이며 모두 바이낸스가 아닙니다.
깊은 서브도메인
가장 헷갈리는 형태입니다: secure.binance.com.fake-site.net. 언뜻 보기에는 binance.com 의 secure 서브도메인처럼 보이지만, 실제로는 루트 도메인이 fake-site.net 이며 secure.binance.com 은 단지 서브도메인 접두어일 뿐입니다.
판단 요령: 마지막 두 구간만 보세요. 나머지는 모두 수식어입니다.
검색 엔진 외에 공식 사이트를 찾을 수 있는 곳
공식 SNS 계정
- X(트위터): @binance, 블루 체크 인증, 팔로워 1000만+, 고정 트윗에 공식 사이트 링크가 자주 게시됨
- Telegram: @binanceexchange, 공식 공지 채널
- 한국어 X: @binance_korea, 공식 한국어 계정
앱 스토어
- iOS App Store: "Binance" 검색, 개발자 표시 Binance(Binance Limited Co. 같이 접미어가 붙은 위조가 아님)
- Google Play: "Binance" 검색, 개발자 역시 Binance
과거 이메일
과거 바이낸스가 보낸 모든 알림 이메일(로그인 알림, KYC 완료, 출금 확인) 속 링크는 모두 진짜 공식 사이트입니다. 이는 가장 신뢰할 수 있는 출처 중 하나이며, 전제는 이메일 자체가 진짜임을 확인하는 것입니다(발신자 도메인 @binance.com 또는 @ses.binance.com).
실수로 가짜 사이트에 들어가 비밀번호를 입력했다면
즉시 다음 4단계로 조치하시기 바랍니다.
- 진짜 공식 사이트에서 로그인 비밀번호 변경, 비밀번호는 최소 12자 대소문자 숫자 포함
- 구글 OTP 재설정(Security → 2FA → 재바인딩)
- 모든 API Key 취소(이전에 생성한 적이 있다면)
- 출금 주소 화이트리스트 활성화, 24시간 쿨다운 후에야 주소 추가 가능
이 4단계를 완료하면 해커가 당신의 기존 비밀번호를 가져가도 출금할 수 없습니다. 그다음 로그인 기록에서 낯선 IP 가 있는지 확인하시고, 있다면 즉시 고객센터에 연락해 동결하시기 바랍니다.
몇 가지 흔한 위조 사이트의 특징 파일
아래는 최근 2년간 여러 차례 신고된 위조 사이트의 공통점으로, 해당되는 것을 보면 즉시 닫으시기 바랍니다.
위조 사이트 유형 A: 홈페이지 완전 복제
URL 은 보통 binance-xxx.com 또는 binance-yyy.net 입니다. 전체 홈페이지는 진짜 공식 사이트를 크롤링한 후 로컬 미러링 한 것으로, CSS 까지 동일합니다. 허점: 로그인 버튼이 accounts.binance.com 이 아닌 주소로 이동, 시세 데이터가 정적이며 새로고침 없음, 푸터 저작권 연도 오류.
위조 사이트 유형 B: 로그인 페이지만 있음
URL 은 보통 매우 짧아서 bnc.cc, bnc.vip 같은 식입니다. 열면 로그인 박스만 있고, 계정 비밀번호를 입력하면 바로 블랙 마켓으로 넘겨진 후 진짜 공식 사이트로 이동해 "로그인 실패"처럼 보이게 합니다. 허점: 로그인 페이지 외 다른 기능은 모두 클릭 불가.
위조 사이트 유형 C: 다운로드 페이지로 위장
URL 은 binance-download.com, binance-app.net 같은 식입니다. 페이지에 큼지막한 다운로드 버튼이 있고 클릭하면 실제로는 트로이목마 APK 입니다. 허점: APK 파일이 30MB 미만이거나 SHA256 이 공식 사이트와 일치하지 않음.
위조 사이트 유형 D: 고객센터 위장
URL 은 support-binance.com, binance-help.org 같은 식입니다. 바이낸스 고객센터 온라인 채팅창으로 위장해 2FA 인증 코드 제공을 유도합니다. 허점: 진짜 바이낸스 고객센터는 binance.com 공식 사이트의 우측 하단 채팅 박스에서만 나타나며, 외부 링크로 유도하지 않음.
검색 시의 방어 습관
습관 1: 광고 자리 클릭하지 않기
광고 자리는 모두 건너뛰고 바로 자연 검색 결과를 보시기 바랍니다. 광고에 가끔 진짜 공식 사이트가 있긴 하지만(바이낸스는 미국 지역에서 실제로 광고를 구매함), 비전문 사용자는 일률적으로 광고 자리를 건너뛰는 것이 안전합니다.
습관 2: 한국어로 검색하지 않기
"바이낸스"로 검색한 결과의 품질은 "binance"로 검색한 것보다 훨씬 떨어집니다. 한국어 검색 키워드는 SEO 블랙 마켓의 집중 공격을 받으므로 직접 binance 로 검색하거나 아예 검색 엔진을 우회하시기 바랍니다.
습관 3: 유료 Q&A 를 믿지 않기
지식인, 네이버 지식iN 에는 "XX 거래소 추천"과 같은 답변이 대량으로 있는데, 대부분 유료 홍보입니다. 이런 Q&A 에서 제공되는 "바이낸스 공식 사이트" 링크는 거의 모두 위조이므로 일률적으로 클릭하지 마시기 바랍니다.
습관 4: 뉴스 사이트의 링크도 확인
유명 암호화폐 미디어의 기사 속 링크라도 마우스를 링크에 올려 실제 URL 을 확인해야 합니다. SEO 블랙 마켓에 하이재킹된 미디어 페이지도 있어 100% 신뢰할 수 없습니다.
FAQ
Q1: 검색 엔진은 왜 위조 사이트를 필터링하지 않나요? 검색 엔진은 사용자 신고를 수동적으로 처리하지만, 블랙 마켓이 새 도메인을 등록하는 속도는 심사 속도보다 훨씬 빠릅니다. 능동적 방어는 사용자 본인이 도메인을 확인하는 수밖에 없습니다.
Q2: 바이낸스 한국어 사이트와 국제 사이트는 동일한가요? 네, 동일합니다. binance.com 에서 우측 상단 언어를 전환하면 한국어가 표시되며, 독립된 "한국어 사이트" 도메인이 없습니다. "바이낸스 한국어 사이트"를 자처하는 어떤 독립 도메인도 가짜입니다.
Q3: 검색 결과를 클릭만 하고 로그인하지 않으면 위험한가요? 단순히 페이지를 열고 아무 정보도 입력하지 않으면 위험은 매우 작습니다. 다만 페이지가 브라우저 취약점을 이용해 악성 스크립트를 자동 다운로드할 수 있으므로, 닫은 후 캐시를 정리하고 진짜 공식 사이트를 여시는 것을 권장합니다.
Q4: 공식 트위터 @binance 가 해킹된 적이 있나요? 2020년에 한 번 해킹되었지만 공식이 1시간 이내에 복구했습니다. 일상적으로 확인할 때는 Telegram 과 공식 사이트 공지를 함께 참고해 3자가 일치하면 신뢰하시기 바랍니다.
Q5: 공식 사이트를 한 번에 기억하는 방법이 있나요? 가장 확실한 방법: 진짜 공식 사이트를 한 번 연다 → Ctrl+D 북마크 → 눈에 띄는 레이블 지정(예: "바이낸스-진짜 공식 사이트"). 이후로는 영원히 북마크에서 들어가며 검색을 완전히 우회합니다.