API 키란
API 키는 플랫폼에서 생성한 한 쌍의 인증 자격 증명으로, API Key와 Secret Key로 구성됩니다. 이 자격 증명을 통해 제3자 프로그램이 수동 로그인 없이도 잔액 조회, 주문 실행, 시세 데이터 조회 등의 작업을 대신 수행할 수 있습니다.
API 키를 "기능이 제한된 보조 열쇠"로 이해할 수 있습니다. 로그인 비밀번호는 모든 작업이 가능한 만능 열쇠이고, API 키는 허가한 작업만 수행할 수 있는 제한적 열쇠입니다.
API 키가 필요한 사용자
퀀트 트레이더가 주요 사용자층입니다. 자동화 거래 프로그램을 작성했다면 API를 통해 바이낸스 서버와 통신하여 자동으로 매매를 실행해야 합니다.
제3자 거래 도구를 사용하는 사용자도 API 키가 필요합니다. 시세 분석 소프트웨어, 자동 카피트레이딩 플랫폼, 세금 계산 도구 등이 API를 통해 계정 데이터를 읽어야 합니다.
또한 바이낸스 생태계 관련 애플리케이션을 개발하는 개발자도 바이낸스의 데이터 인터페이스를 호출하기 위해 API 키를 신청해야 합니다.
API 키 신청 전제 조건
바이낸스 계정이 본인 인증(KYC)을 완료하고, 이중 인증(2FA)을 이미 활성화해야 합니다. Google Authenticator 또는 SMS 인증 중 하나를 선택할 수 있습니다. 2FA가 활성화되지 않은 계정으로는 API 키를 생성할 수 없습니다.
API 키 생성 상세 절차
1단계: API 관리 페이지 접속
바이낸스 공식 웹사이트에 로그인하고, 우측 상단 사용자 아이콘을 클릭한 후 드롭다운 메뉴에서 "API 관리"를 선택합니다. 바이낸스의 API 관리 페이지에 직접 접속할 수도 있습니다.
2단계: API 키 유형 선택
바이낸스는 두 가지 유형의 API 키를 제공합니다: 시스템 생성 키와 자체 생성 키(RSA 또는 Ed25519). 대부분의 사용자는 "시스템 생성"을 선택하면 됩니다. 비대칭 암호화 원리를 이해하는 고급 개발자라면 자체 생성 키를 선택하여 더 높은 보안성을 확보할 수 있습니다.
3단계: 라벨 설정
API 키에 라벨명을 입력합니다. 예를 들어 "퀀트 전략 A"나 "시세 모니터링" 등입니다. 이 라벨은 다양한 용도의 API 키를 구분하기 위한 것일 뿐, 기능에는 영향을 미치지 않습니다.
4단계: 보안 인증 완료
시스템에서 이중 인증을 요구하며, 이메일 인증 코드, 휴대폰 인증 코드, Google Authenticator 인증 코드 중 두 가지 또는 전부를 포함할 수 있습니다. 안내에 따라 인증을 완료합니다.
5단계: Secret Key 저장
생성이 완료되면 페이지에 API Key와 Secret Key가 표시됩니다. 특히 중요한 것은: Secret Key는 이 한 번만 표시되며, 이후에는 다시 확인할 수 없습니다. 반드시 즉시 안전하게 저장해야 하며, 비밀번호 관리 도구에 저장하거나 종이에 적어 보관하는 것이 좋습니다. Secret Key를 분실하면 해당 API 키를 삭제하고 새로 생성하는 수밖에 없습니다.
권한 설정 상세 안내
읽기 권한
가장 기본적인 권한으로, API를 통해 계정 잔액, 포지션 정보, 주문 기록 등의 데이터를 조회할 수 있습니다. 시세 분석 소프트웨어나 세금 도구에만 연동하는 경우 이 권한만 활성화하면 충분합니다.
현물 및 마진 거래 권한
활성화하면 API가 현물 및 마진 시장에서 주문 실행, 주문 취소 등의 거래 작업을 수행할 수 있습니다. 퀀트 트레이딩 프로그램은 보통 이 권한이 필요합니다.
선물 거래 권한
API가 USDT 마진 선물 및 코인 마진 선물 시장에서 거래 작업을 수행할 수 있도록 합니다. 퀀트 전략이 선물을 포함한다면 별도로 활성화해야 합니다.
출금 권한
API가 출금 작업을 실행할 수 있도록 합니다. 가장 민감한 권한으로, 매우 명확한 필요성이 있고 충분한 보안 조치를 취한 경우가 아니면 활성화하지 않는 것을 강력히 권장합니다. 이 권한이 활성화된 상태에서 API 키가 유출되면, 공격자가 직접 자산을 이전할 수 있습니다.
보안 모범 사례
IP 화이트리스트 설정 필수
가장 중요한 보안 조치입니다. API 관리 페이지에서 각 API 키에 접근 허용 IP 주소를 바인딩할 수 있습니다. 설정 후에는 화이트리스트에 등록된 IP에서만 요청이 실행됩니다. 프로그램이 고정 IP 서버에서 실행된다면 반드시 설정해야 합니다.
IP 화이트리스트를 설정하지 않으면, 바이낸스는 해당 API 키의 유효 기간을 90일로 제한하며 만료 시 재생성이 필요합니다. IP 화이트리스트가 설정된 키에는 유효 기간 제한이 없습니다.
최소 권한 원칙
실제로 필요한 권한만 활성화합니다. 데이터 조회만 필요하면 거래 권한을 활성화하지 않습니다. 현물 거래만 한다면 선물 거래 권한은 활성화하지 않습니다. "편의를 위해" 모든 권한을 활성화하는 것은 절대 금지입니다.
코드에 직접 기입하지 않기
API 키를 코드에 직접 작성하면 안 됩니다. 특히 코드가 GitHub 같은 공개 플랫폼에 업로드될 경우 더욱 그렇습니다. 환경 변수나 별도의 설정 파일을 사용하여 키를 저장하고, 설정 파일이 버전 관리 시스템에 커밋되지 않도록 해야 합니다.
정기적 키 교체
몇 달마다 API 키를 교체하는 것이 좋습니다. 이전 키를 삭제하고 새로 생성합니다. 이렇게 하면 어딘가에서 키가 유출되더라도 피해 범위가 제한됩니다.
API 사용 모니터링
바이낸스는 API 호출 로그를 제공하므로, 정기적으로 비정상적인 호출 기록이 있는지 확인하는 것이 좋습니다. 낯선 IP에서의 요청, 비정상 시간대의 대량 거래 등을 주의합니다.
API 호출 제한
바이낸스는 API 호출에 빈도 제한을 적용합니다. 현물 API의 요청 가중치 제한은 분당 1200이며, 주문 빈도 제한은 10초당 100개입니다. 선물 API에도 유사한 제한이 있습니다. 제한을 초과하면 IP가 일시적으로 차단되며, 심각한 경우 API 권한이 일시 정지될 수 있습니다.
퀀트 프로그램을 개발할 때 요청 빈도 제어를 잘 해야 하며, 제한에 걸리지 않도록 해야 합니다. 프로그램에 요청 대기열과 백오프 메커니즘을 구현하는 것이 좋습니다.
자주 묻는 질문
API 키는 최대 몇 개까지 생성할 수 있나요? 일반 사용자는 최대 30개의 API 키를 생성할 수 있으며, 대부분의 사용자에게 충분합니다.
Secret Key를 잊어버렸다면? 해당 API 키를 삭제하고 새로 생성하는 수밖에 없습니다. Secret Key를 복구하는 방법은 없습니다.
API 키가 갑자기 작동하지 않는다면? IP 화이트리스트가 올바른지, 권한이 완전한지, 키가 만료되지 않았는지(IP를 바인딩하지 않은 키는 90일 만료) 확인합니다. 모두 문제없다면 빈도 제한에 걸렸을 수 있으니 몇 분 후 다시 시도합니다.
정리
API 키는 바이낸스 계정과 외부 프로그램을 연결하는 다리입니다. 신청 과정은 간단하지만, 보안 설정이 매우 중요합니다. 세 가지 핵심 원칙을 기억하세요: IP 화이트리스트 설정, 최소 권한 부여, Secret Key 안전 보관. 이 세 가지를 지키면 API 키를 안전하게 사용하여 거래 효율을 높일 수 있습니다.