바이낸스의 모든 공식 설치 패키지는 바이낸스 공식 사이트 다운로드 페이지 하단에 8d5f2a1c9b3e47d6...(총 64자 16진수 문자)와 같은 형식의 SHA-256 검증 값을 공개합니다. 검증의 핵심은 로컬에 다운로드한 APK/DMG/EXE 파일을 해시 도구로 다시 계산하여 SHA-256 값을 구한 뒤, 공식 사이트의 수치와 한 글자씩 대조하는 것입니다. 값이 완전히 일치해야만 파일이 중간에 변조되지 않았음을 증명할 수 있습니다. 공식 설치 패키지를 얻는 가장 확실한 방법은 바이낸스 공식 앱 링크를 이용하는 것으로, 이를 통해 제3자 미러 사이트에서 발생할 수 있는 위험을 피할 수 있습니다. 다음은 Windows, macOS, Linux, Android의 네 가지 환경에서 30초 내에 SHA-256 검증을 완료하는 방법과 APK 서명 검증의 심화 방법입니다.
1. SHA-256 검증이란 무엇이며 왜 필수인가?
SHA-256은 SHA-2 가족의 해시 알고리즘 중 하나로, 임의의 길이를 가진 파일을 고정된 256비트(64자 16진수 문자) 요약본으로 변환합니다. 다음의 세 가지 특성 덕분에 무결성 검증에 매우 적합합니다.
- 변조 방지: 파일 내용이 단 1바이트만 바뀌어도 요약본 전체가 크게 변합니다.
- 충돌 저항성: 현재 컴퓨터 기술로는 내용이 다르면서 요약본이 같은 두 파일을 만들어낼 수 없습니다.
- 단방향성: 요약본을 통해 원본 파일을 역추적하는 것이 불가능합니다.
왜 반드시 검증해야 할까요? 피싱 공격자의 흔한 수법은 원본 APK를 분해하여 지갑 주소를 가로채는 등의 악성 SDK를 주입한 뒤 다시 패키징하여 배포하는 것입니다. 겉보기에는 아이콘, 패키지명, 버전 번호가 같아 보여도 SHA-256 값은 반드시 달라집니다. 이 검증 단계를 통해 99%의 가짜 앱을 걸러낼 수 있습니다.
2. Windows에서 SHA-256을 검증하는 방법
Windows 10 또는 11에는 별도의 소프트웨어 설치 없이도 사용할 수 있는 certutil 명령어가 내장되어 있습니다.
방법 1: certutil 명령어
- 다운로드한
BinanceSetup-1.50.2.exe파일을D:\Downloads\폴더에 둡니다. - Win + R 키를 누르고
cmd를 입력하여 명령 프롬프트를 엽니다. - 다음 명령어를 입력합니다:
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- Enter 키를 누르면 약 3~5초 후 결과가 출력됩니다:
SHA256 hash of D:\Downloads\BinanceSetup-1.50.2.exe:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile command completed successfully.
- 이 64자리 문자를 바이낸스 공식 사이트 다운로드 페이지의 SHA-256 값과 대조하여 완전히 일치하는지 확인하세요.
방법 2: PowerShell Get-FileHash
PowerShell 명령어를 사용하면 더욱 간결합니다:
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
출력 형식:
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
참고: PowerShell은 결과를 대문자로 출력하므로, 대조 시 대소문자를 무시하거나 모두 소문자로 변환하여 확인하세요.
방법 3: 7-Zip 우클릭 메뉴
7-Zip이 설치되어 있다면 EXE 파일에서 우클릭 → CRC SHA → SHA-256을 선택하면 해시값이 팝업창으로 즉시 표시됩니다. 명령줄에 익숙하지 않은 사용자에게 가장 편리한 방법입니다.
3. macOS에서 SHA-256을 검증하는 방법
방법 1: shasum 명령어
macOS에는 shasum이 내장되어 있습니다. 터미널을 열고 다음을 입력하세요:
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
출력 결과:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/you/Downloads/Binance-1.50.2.dmg
방법 2: openssl 사용
shasum 사용에 문제가 있다면 openssl을 이용할 수 있습니다:
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
방법 3: GUI 도구 QuickHash
명령어 입력이 번거롭다면 무료 도구인 QuickHash-GUI를 설치하여 DMG 파일을 드래그하는 것만으로 다양한 해시값을 확인할 수 있습니다.
4. Linux에서 SHA-256을 검증하는 방법
Linux에서는 sha256sum을 사용하는 것이 표준입니다:
sha256sum ~/Downloads/BinanceSetup.AppImage
또는 일괄 검증을 수행할 수도 있습니다:
cd ~/Downloads
sha256sum -c binance.sha256
여기서 binance.sha256은 사용자가 생성한 텍스트 파일이며 형식은 다음과 같습니다:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
sha256sum -c 명령어는 자동으로 대조하여 OK 또는 FAILED 결과를 출력합니다.
5. Android에서 APK를 검증하는 방법
Android 검증은 해시값 검증과 서명 검증 두 가지로 나뉘며, 두 가지 모두 수행하는 것을 권장합니다.
해시값 검증 (Termux)
- Termux 앱을 설치합니다 (F-Droid에서 다운로드 가능).
- APK 파일을 휴대폰의
/sdcard/Download/경로에 둡니다. - Termux에서 다음을 실행합니다:
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
서명 검증 (apksigner)
해시값이 일치한다는 것은 파일이 변조되지 않았음을 뜻하지만, 서명이 일치해야만 바이낸스 공식 배포본임을 확신할 수 있습니다.
- PC에 Android SDK Build-Tools (34.0.0 이상)를 설치합니다.
- 다음 명령어를 실행합니다:
apksigner verify --print-certs --verbose binance.apk
- 주요 필드 확인:
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
서명 인증서 SHA-256 값은 고정되어 있습니다 (v1에서 v2 마이그레이션 시 한 번 교체됨). 인증서 요약본이 공식 사이트 발표값과 일치한다면 정품 앱입니다.
가짜 APK를 빠르게 식별하는 5가지 신호
| 항목 | 정품 특징 | 가짜 앱 특징 |
|---|---|---|
| 패키지명 | com.binance.dev | com.binance.app / com.binance.pro 등 변종 |
| 서명자 | Binance Cayman Holdings | 무작위 문자열 또는 Unknown |
| 파일 크기 | 70-80 MB | 40-60 MB 또는 120 MB 이상 |
| 권한 수 | 28-35개 | 40개 이상 (SMS/연락처 접근 권한 포함) |
| 최초 실행 | 즉시 로그인 페이지 표시 | 위조된 도메인으로 리다이렉트 |
6. DMG 파일의 무결성 검증 방법
macOS의 DMG 파일은 SHA-256 외에도 codesign을 통해 개발자 서명을 검증할 수 있습니다:
codesign -dv --verbose=4 /Applications/Binance.app
주요 필드:
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
Team Identifier는 Apple 개발자 계정 ID입니다. 바이낸스의 Team ID는 고정되어 있으며 공식 고객센터 페이지에서 확인할 수 있습니다. 일치하지 않는다면 제3자가 패키징한 것입니다.
7. Windows EXE 디지털 서명 검증
GUI 방식
BinanceSetup.exe 우클릭 → 속성 → 디지털 서명 → Binance Holdings Limited 선택 → 상세 정보 → 인증서 보기.
주요 필드:
- 이름: Binance Holdings Limited
- 발급자: DigiCert Trusted G4 Code Signing RSA4096
- 유효 기간: 2024-xx-xx ~ 2027-xx-xx
명령줄 방식 (signtool)
signtool verify /pa /v BinanceSetup.exe
Successfully verified 메시지가 출력되면 서명이 유효한 것입니다.
8. 해시값이 일치하지 않을 때 대처법
대조 결과 SHA-256 값이 일치하지 않는다면 해당 파일을 절대 실행하지 마세요. 원인은 다음과 같을 수 있습니다.
- 다운로드 중단: 네트워크 불안정으로 파일이 불완전하게 받아짐. 다시 다운로드하세요.
- CDN 캐시 오류: 드문 경우지만 브라우저 캐시를 삭제하거나 다른 브라우저를 사용해 보세요.
- 중간자 공격(MITM): 공용 Wi-Fi 사용 중 하이재킹되었을 가능성이 있습니다. 4G/5G 또는 가정용 네트워크에서 다시 받으세요.
- 공식 사이트 정보 지연: 최신 버전 출시 직후 사이트 업데이트가 늦어질 수 있습니다. 24시간 정도 기다리거나 바이낸스 공식 사이트 미러를 이용하세요.
- 다운로드 출처 변조: 제3자 사이트에서 받은 파일은 위험합니다. 반드시 공식 사이트로 돌아가세요.
자주 묻는 질문 (FAQ)
Q1: 다운로드할 때마다 검증해야 하나요? 너무 번거롭습니다.
A: 바이낸스 공식 사이트에서 HTTPS를 통해 다운로드한 파일은 TLS 계층에서 전송 무결성을 보장하므로 일상적인 상황에서는 생략해도 무방합니다. 하지만 고액 자산을 관리하는 계정, 미러 사이트에서 다운로드한 경우, 공용 Wi-Fi를 사용하는 경우에는 반드시 검증할 것을 강력히 권장합니다.
Q2: SHA-1이나 MD5로 대체할 수 있나요?
A: 권장하지 않습니다. MD5는 2004년에 충돌 공격 위험이 증명되었고, SHA-1 역시 2017년에 보안이 뚫렸습니다. 현재 업계 표준은 SHA-256 또는 SHA-3입니다. 바이낸스 공식 사이트는 SHA-256을 통일하여 사용합니다.
Q3: PC 없이 Android 휴대폰에서 직접 서명을 검증할 수 있나요?
A: APK Signature Verifier와 같은 도구(F-Droid에 오픈 소스 구현체가 많음)를 설치하면 APK를 선택하는 것만으로 서명 인증서의 SHA-256 지문을 확인할 수 있습니다. 이를 공식 사이트 수치와 대조하세요.
Q4: 해시값의 대소문자가 다른데 일치하지 않는 건가요?
A: 아니요, 괜찮습니다. SHA-256 해시값은 본질적으로 16진수이므로 대소문자를 구분하지 않습니다. Windows PowerShell은 대문자로, Linux/macOS는 소문자로 출력하곤 하므로 형식을 맞춰서 대조하면 됩니다.
Q5: 압축 파일 내의 APK를 추출했을 때도 SHA-256이 유지되나요?
A: 네, 유지됩니다. 압축 해제 과정에서 파일이 손상되지 않았다면 APK의 해시값은 원래 다운로드한 패키지와 완전히 일치합니다. 하지만 압축 파일 자체가 재구성된 것이라면 공식 사이트의 해시값과 비교할 수 없습니다.
검증 방법을 익히셨나요? 다음 단계로 Android/iOS 브랜드별 상세 설치 팁을 알아보려면 카테고리로 돌아가 계속 살펴보세요.