거래소 API 키 발급과 보안 설정 완벽 가이드

자동매매와 봇 연동의 출발점은 거래소 API 키 발급입니다. 그런데 권한 설정 한 번을 잘못하면 잔고가 통째로 빠져나갈 수 있습니다. 키의 정체부터 권한·IP 화이트리스트·실전 보안수칙까지 차근차근 짚습니다.

거래소 API 키란 무엇인가

API 키는 거래소 계정에 로그인 없이 프로그램이 접근하도록 발급하는 출입증입니다. 보통 두 개의 문자열로 구성됩니다.

• API Key — 누가 요청하는지 식별하는 공개 아이디 역할
• Secret Key — 요청에 서명하는 비밀번호 역할. 발급 직후 단 한 번만 표시되며, 거래소도 다시 보여주지 않습니다.

일부 거래소는 추가로 Passphrase를 요구합니다. 핵심은 이것입니다. API 키는 비밀번호와 달리 2단계 인증(2FA)을 거치지 않고 동작하므로, 키가 유출되면 OTP가 있어도 무용지물입니다. 그래서 권한 범위를 좁히는 것이 가장 중요한 1차 방어선입니다.

자동매매·봇 연동에 키가 필요한 이유

스캘핑이나 그리드 같은 전략은 1초에도 여러 번 가격을 조회하고 주문을 내야 해서 사람이 직접 클릭할 수 없습니다. 트레이딩 봇은 API 키로 거래소와 통신하며 시세 조회 → 신호 판단 → 주문 → 체결 확인을 자동 반복합니다. 즉 봇에게 키를 넘긴다는 것은 내 계정의 일부 권한을 위임한다는 뜻입니다. 그래서 "어떤 봇이냐"보다 "어떤 권한을 줬느냐"가 안전을 좌우합니다.

권한 설정: 읽기·거래·출금의 차이

발급 화면에서 권한을 체크박스로 고릅니다. 용도별 최소 권한 원칙을 지키세요.

가장 중요한 규칙은 단 하나입니다. 출금 권한은 절대 켜지 마세요. 자동매매에 출금 권한은 필요 없습니다. 거래 권한만 있으면 봇은 사고팔 수 있지만, 자산을 외부로 빼낼 수는 없습니다. 만에 하나 키가 새도 피해가 계좌 안에서 멈춥니다. 단순 모니터링이라면 거래 권한도 빼고 읽기 전용만 발급하세요.

IP 화이트리스트로 잠그기

IP 화이트리스트는 허용한 IP 주소에서만 그 키를 쓸 수 있게 제한하는 기능입니다. 공격자가 키를 손에 넣어도, 등록되지 않은 IP에서 보낸 요청은 거래소가 거부합니다. 출금 권한 차단이 피해 범위를 줄인다면, IP 화이트리스트는 유출 자체를 무력화합니다.

• 봇을 고정 IP를 가진 서버(VPS·클라우드)에서 돌릴 때 효과가 가장 큽니다.
• 일부 거래소는 거래 권한 키에 IP 등록을 사실상 의무화합니다.
• 집 인터넷은 IP가 수시로 바뀌어(유동 IP) 봇이 갑자기 멈출 수 있으니, 자동매매는 가급적 고정 IP 환경을 권장합니다.

유출 위험과 실전 보안수칙

키는 생각보다 쉽게 샙니다. 코드에 키를 직접 적어 깃허브에 올리거나, 화면 공유·스크린샷·가짜 봇 사이트 입력으로 노출됩니다. 사기 회피의 연장선에서 다음을 지키세요.

1. 출금 권한 OFF + IP 화이트리스트 ON을 기본값으로 삼는다.
2. Secret Key는 코드에 박지 말고 환경변수나 별도 설정 파일로 분리하고, 공개 저장소에 올리지 않는다.
3. 봇·용도별로 키를 따로 발급해, 문제 발생 시 그 키만 폐기한다.
4. 2~3개월마다 키를 회전(폐기 후 재발급)한다.
5. 사용을 멈춘 키, 출처 불명 사이트에 넣은 키는 즉시 삭제한다.

마지막으로, 권한을 아무리 잘 잠가도 시드 관리와 포지션 사이징이 무너지면 손실은 막을 수 없습니다. 자동매매는 24시간 돌아가므로, 키 보안과 별개로 봇 자체가 낼 수 있는 최대 손실을 미리 가정하고 감당 가능한 자금만 연결하는 것이 현실적인 원칙입니다.