대부분의 사람들이 바이낸스 공식 사이트에 관심을 가질 때 "열리는가"와 "진짜인가"만 신경 씁니다. "업로드한 신분증 앞뒷면, 손에 든 사진, 라이브 영상이 어디에 얼마나 오래 저장되는지, 제3자와 공유되는지"를 묻는 사람은 드뭅니다. 이 부분이 사실 이 사이트에 증명서를 맡길지 결정하는 진짜 문턱입니다. 진짜 공식 사이트의 메인 도메인은 binance.com이며, 접속 입구와 다운로드 채널은 바이낸스 공식 사이트에서 찾을 수 있습니다. 계좌 개설과 KYC 프로세스를 준비하는 사용자도 무료 가입을 먼저 클릭한 뒤 이 글의 프라이버시 포인트에 따라 진행하시면 증명서를 모방 사이트에 넘기는 일을 피할 수 있습니다.
1. 바이낸스 KYC 업로드 시스템의 데이터 흐름은 네 단계로 나뉨
많은 사용자가 "바이낸스에 업로드"를 단순한 HTTP POST로 생각하지만, 실제로 "파일 선택"을 클릭한 순간부터 증명서 이미지는 네 가지 다른 처리 시스템을 거칩니다.
1단계: 브라우저/앱 클라이언트에서 CDN 엣지 노드로
바이낸스 KYC 업로드 입구는 accounts.binance.com 하위 도메인을 통하며, Cloudflare Enterprise의 완전 관리형 CDN이 앞에 있습니다. 클라이언트와 엣지 노드 간에는 TLS 1.3을 강제 사용하며 TLS 1.0/1.1을 비활성화하고 ECC P-256 인증서를 씁니다. 즉, 호텔이나 카페 WiFi에 연결해도 신분증 이미지는 링크 계층에서 암호화되며 중간자는 암호문만 얻습니다.
본인이 진짜 업로드 채널에 있는지 확인하는 방법: 주소창 자물쇠 아이콘에서 인증서 체인을 보면 Issuer가 DigiCert OV 인증서이고 Subject의 O 필드는 Binance Holdings Limited여야 합니다. 모방 사이트의 흔한 오류는 Let's Encrypt DV 인증서를 사용하며 Subject에 CN만 있고 조직명이 없다는 것입니다. 이는 육안으로 구분 가능한 한 가지 단서입니다.
2단계: 엣지 노드에서 오브젝트 스토리지로
CDN을 거친 후 이미지는 비즈니스 서버에 직접 떨어지지 않고 오브젝트 스토리지에 기록됩니다. 공식 공개에 따르면 주로 AWS S3(지역 ap-northeast-1 도쿄와 eu-west-1 아일랜드)가 사용되며, 아시아 태평양과 유럽 사용자의 데이터 현지화 수요에 대응합니다. 각 증명서 이미지는 저장 시 KMS 봉투 암호화를 거치고 오브젝트 수준 키는 사용자 UID를 솔트로 사용합니다.
이 단계에 두 가지 세부 사항이 주목할 만합니다. 첫째, 오브젝트 스토리지 버킷이 "퍼블릭 리스팅 금지"로 설정되어 있어 URL만 있고 서명이 없는 사람은 이미지를 가져올 수 없습니다. 둘째, 백엔드 인원이 이 버킷에 접근할 때마다 CloudTrail 감사 로그가 기록되어 7년간 보존됩니다. 즉 바이낸스 직원이 본인 증명서 이미지를 보려 해도 동작이 기록됩니다.
3단계: KYC 공급자 처리
바이낸스는 OCR과 라이브 인식을 직접 하지 않고 라이선스 보유 KYC 공급자에게 외주합니다. 현재 주력은 Jumio(신분증 OCR과 문서 진위 검증)와 FaceTec(3D 라이브 인식)입니다.
- Jumio의 데이터 센터는 미국 댈러스와 아일랜드 더블린에 있으며 ISO 27001과 SOC 2 Type II를 통과했습니다
- FaceTec은 자체적으로 이미지를 저장하지 않고 3D 얼굴 매핑 데이터만 보존(비가역 알고리즘으로 생성)하며, 유럽 지역 사용자의 요청은 프랑크푸르트의 AWS 노드를 거쳐 처리합니다
이 단계의 프라이버시 함의는 업로드한 증명서 이미지를 바이낸스만 보는 것이 아니라 최소 제3자 한 곳이 처리했다는 것입니다. 공급자와 바이낸스 간에는 Data Processing Agreement가 있으며 GDPR 정의상 Jumio는 처리자(processor), 바이낸스는 통제자(controller)이므로 바이낸스에게 통제자 책임을 주장할 권리가 있습니다.
4단계: 내부 보존과 보관
1차 심사 통과 후 원본 증명서 이미지가 영원히 핫 스토리지에 남지 않습니다. 공식 공개 정책: 정상 계정은 5년 보존(EU AMLD5와 싱가포르 MAS 요구에 대응), 계정 해지 5년 후 파기, 동결된 고위험 계정은 사법 협조를 위해 최대 10년 보존.
5년은 매우 중요한 숫자입니다. 즉 오늘 바이낸스 계정을 해지해도 신분증 원본은 2031년 이후까지 합법적으로 보존됩니다. 더 일찍 삭제하려면 다음 절의 데이터 삭제 요청 채널을 거쳐야 합니다.
2. EU GDPR이 부여하는 5가지 사용자 권리를 바이낸스에서 어떻게 사용하는가
바이낸스 유럽 실체(Binance France SAS, Binance Italy S.r.l. 등)는 GDPR 적용 주체입니다. EU에 거주하지 않더라도 계정이 유럽 실체 명의에 걸려 있다면(주소를 EU 27개국으로 기입) 이 5가지 권리가 동일하게 적용됩니다.
권리 1: 접근권 Right of Access
바이낸스에 계정의 모든 개인 데이터 사본(증명서 이미지, KYC 설문 답변, 로그인 IP 목록, 기기 지문, 거래 기록 등)을 요청할 수 있습니다. 제출 방식은 계정 센터에서 "프라이버시" 메뉴를 열고 Data Subject Access Request를 클릭하는 것입니다. 공식 약속은 30일 이내 제공이며, 실제로는 10-14일에 암호화 압축 파일 다운로드 링크를 받습니다.
권리 2: 수정권 Right to Rectification
시스템의 어떤 자료가 틀렸다면(주소 오타, 이름 영문 철자 오류) 수정을 요청할 수 있습니다. 이는 보통 일반 자료 수정 입구와 병합되지만, 증명서 번호 같은 핵심 필드는 KYC 재실시가 필요합니다.
권리 3: 삭제권 Right to Erasure("잊힐 권리")
가장 오해받기 쉬운 권리입니다. GDPR은 "처리 목적 달성" 또는 "사용자 동의 철회" 시 통제자가 데이터를 삭제할 의무가 있다고 규정합니다. 하지만 자금세탁방지 법규가 부여한 보존 의무가 우선합니다. 삭제 요청을 제출할 수 있지만 증명서 이미지, 거래 기록 등 규제 준수용 데이터는 법정 연한 후에야 파기됩니다. 즉시 삭제 가능한 것은 마케팅 선호, 기기 푸시 토큰, 쿠키 데이터, 고객센터 채팅 기록 같은 "규제 준수상 필수 보관이 아닌" 데이터입니다.
올바른 기대는 삭제권 ≠ 즉시 인간세계에서 증발, 법정 연한 종료까지 콜드 스토리지에 잠김입니다.
권리 4: 데이터 이동성권 Right to Data Portability
바이낸스에 데이터를 구조화된, 기계 판독 가능 형식(보통 JSON 또는 CSV)으로 내보내 다른 서비스 제공자에게 이전할 수 있도록 요청할 수 있습니다. 거래 기록, 자금 흐름이 모두 이 채널로 얻을 수 있습니다.
권리 5: 반대권 Right to Object
"정당한 이익" 기반 자동화 처리(리스크 관리 모델의 행동 프로파일링 등)에 반대할 수 있습니다. 실무 영향: 반대 후 일부 기능(신용카드 채널, OTC 대액 채널)이 사용 불가 됩니다. 리스크 관리가 수동 모드로 다운그레이드되기 때문입니다.
3. 모방 사이트는 증명서 이미지를 어떻게 탈취하고 되파는가
진짜 공식 사이트의 데이터 처리를 알았으니, 모방 사이트의 데이터 경로를 보면 위험이 얼마나 큰지 알 수 있습니다.
모방 사이트의 데이터 종착지
관찰된 전형적 구조 몇 가지:
- 베어메탈 포워딩형: 프런트엔드 HTML은 진짜 사이트 복제, 백엔드는 저가 VPS(흔히 Vultr 도쿄, DigitalOcean 싱가포르), 증명서 이미지를 로컬 디스크에 직접 기록하고 주기적으로 Telegram 채널에 업로드
- 클라우드 스토리지 직업로드형: AWS S3 또는 알리클라우드 OSS 퍼블릭 버킷 사용, 이미지 암호화 없음, 파일명이 사용자 이메일이며 버킷명만 있으면 순회 가능
- API 피싱형: 프런트엔드가 바이낸스에 업로드하는 척하지만 실제 트래픽이 JS에 의해
api.binance-xxx.top으로 리디렉션된 뒤 지하 데이터 상인에게 판매
지하 데이터 시장에서 규제 준수가 잘 된 KYC 자료 세트(신분증 앞뒤 + 손에 든 사진 + 셀카)는 400-800달러, 은행 거래내역과 주소 증명이 포함되면 2000달러까지 갑니다. 즉 증명서를 모방 사이트에 맡기면 대부분 일주일 내에 어떤 Telegram 채널 디렉터리에 나타납니다.
증명서 도용 후 다운스트림 위험
실제 발생한 다운스트림 용도:
- 다른 거래소에서 가입해 KYC 완료하여 자금세탁 채널로 사용
- Revolut, Wise 등 가상 뱅크카드를 등록해 악용
- 신분 도용으로 숏폼 플랫폼에서 상점 개설
- 신분 도용으로 공안 기관에 허위 신고해 조사받게 됨
이런 문제가 한 번 발생하면 본인이 아님을 증명할 수 있더라도 전체 권리 구제 주기가 보통 6-18개월 걸립니다.
4. 진짜 바이낸스 KYC 입구 식별을 위한 6가지 실무 지표
다음 6가지는 앞 절들의 데이터 흐름을 사용자가 조작 가능한 체크리스트로 역추론한 것이며, 증명서 업로드 전에 순서대로 확인하시기 바랍니다.
- URL 메인 도메인:
accounts.binance.com과 정확히 같아야 하며, 하위 도메인 앞에www만 있을 수 있고login,verify,auth등 접두사가 있으면 안 됩니다 - 인증서 조직: 자물쇠 아이콘 클릭 시 인증서 O 필드가
Binance Holdings Limited또는 지역 실체 전체명 - 페이지 출처: KYC 입구는 로그인 후 계정 센터에서만 진입 가능, 이메일, 문자, 광고 이동으로 온 KYC 페이지는 일률적으로 닫기
- 개인정보 정책 링크: 진짜 사이트 업로드 페이지 하단에 반드시
binance.com/en/privacy링크가 있고 데이터 통제자 실체명 표기 - 업로드 후 피드백: 진짜 사이트가 반환하는 Jumio 큐 ID 형식은
3xxx-xxxx-xxxx-xxxx, 모방 사이트는 보통 증가 숫자나 간단한 안내 - HTTPS 응답 헤더: 개발자 도구에서
strict-transport-security가 반드시 존재하고max-age≥ 31536000, 모방 사이트는 자주 이 헤더 누락
5. 앱 채널의 프라이버시 면이 더 깨끗한 이유
웹 측 업로드의 모든 위험이 앱 채널에서 한 단계 줄어듭니다. 이유 세 가지:
- 앱에 내장된 공개 키 인증서 피닝(certificate pinning)으로 중간자 인증서가 효력 없음, 공공 WiFi에 연결해도 탈취되지 않음
- 카메라 데이터가 앱 내에서 FaceTec SDK에 직접 전달되어 사진이 앨범이나 시스템 캐시에 먼저 떨어지지 않음
- 앱이 요청하는 권한은 최소 집합이며, 사진 권한은 필요 시 단일 부여 가능, 일부 안드로이드 시스템은 "앱 사용 시에만 권한 부여" 지원
설치하지 않은 안드로이드 사용자는 [바이낸스 공식 앱](javascript:void(0)){._wkz4r}으로 APK를 다운로드하시고, iPhone 사용자는 iOS 설치 가이드에 따라 지역 전환 후 App Store에서 받으시기 바랍니다. 앱 설치 후 첫 KYC는 반드시 신뢰하는 가정 WiFi나 셀룰러 네트워크에서 완료하시고 공공 네트워크에서 하지 마십시오.
6. 데이터 보호 요청(DSAR)의 실제 제출 방법
바이낸스가 보관한 모든 개인 데이터 사본을 원한다면 실무 경로는 다음과 같습니다.
준비 자료
- 계정 이메일
- UID
- 유효 신분증(신분 검증용, 타인 사칭 요청 방지)
- 요청 유형(접근 / 수정 / 삭제 / 내보내기 / 반대)
제출 채널
로그인 후 Account → Privacy → Data Subject Rights → Submit Request로 진입. 유럽 사용자는 [email protected]으로 추가로 데이터 보호 책임자에게 이메일을 보낼 수 있습니다. GDPR이 요구하는 강제 연락처 주소입니다.
응답 시간
- 접근권: 보통 10-14일에 암호화 압축 파일 수령, 링크 유효기간 7일
- 삭제권: 요청 제출 즉시 비필요 처리 중단, 규제 준수 필수 보관 데이터는 연한 종료까지 "처리 제한" 상태
- 데이터 이동성: 15-21일에 JSON/CSV 내보내기 수령
거부 시 구제
요청이 부당하게 거부되었다고 판단하면 관련 규제 기관에 이의를 제기할 수 있습니다.
- 프랑스 사용자: CNIL(프랑스 국가정보자유위원회)
- 이탈리아 사용자: Garante per la Protezione dei Dati Personali
- 기타 EU 사용자: 소재국 데이터 보호 기관
- 아시아 사용자: 싱가포르 PDPC 또는 홍콩 PCPD
바이낸스는 보통 규제 개입 전에 능동적으로 처리합니다. 규제 처벌 금액이 글로벌 매출의 4%로 계산되어 협조 비용보다 훨씬 크기 때문입니다.
7. 업로드 전 자신을 위해 할 수 있는 4가지 작은 일
사이트 선택 외에도 증명서 업로드 시 "자기 보호 강화"를 할 수 있습니다.
- 신분증 이미지에 보이는 워터마크 추가: 투명 워터마크를 지원하는 앱으로 이미지에 "For Binance KYC 2026-04" 같은 텍스트를 가볍게 오버레이. 미래에 이미지가 유출되면 출처 추적 가능
- 원본을 클라우드 앨범에 보관하지 않기: 업로드 후 앨범의 증명서 사진을 즉시 삭제하고 "최근 삭제" 비우기
- 거래소 전용 이메일 별도 사용: 소셜, 쇼핑, 은행과 혼용하지 말 것. 이메일이 크리덴셜 스터핑에 당했을 때 KYC와 연결될 위험 감소
- 계정 로그인 알림과 출금 화이트리스트 활성화: 데이터 계층 보호를 자산 계층으로 확장. 보안 센터에서 원클릭 완료
자주 묻는 질문 FAQ
Q1: 바이낸스가 제 데이터를 Jumio나 FaceTec에 넘기는 것을 거부할 수 있나요?
거부할 수 있지만 결과는 KYC를 완료할 수 없어 계정 기능이 입금과 기존 자산 출금으로만 제한됩니다. 바이낸스는 개인정보 정책에 이 데이터 처리자를 나열했으며, 가입 시 동의를 클릭한 것이 공유 승인입니다. Jumio에 대한 승인만 단독 철회하는 것은 KYC 철회와 동등하며 보통 계정 다운그레이드를 의미합니다.
Q2: 2024년에 바이낸스 계정 하나를 해지했는데 증명서가 아직 그들 손에 있나요?
대체로 아직 있습니다. 공식 보존 정책은 계정 해지 후 5년 더 보존이며, 2024년 해지 계정의 증명서는 2029년까지 보존됩니다. DPO 이메일로 DSAR 요청을 제출해 구체적 파기 일정을 확인할 수 있지만, 규제 준수 보존 기간 만료 전에는 조기 파기 불가능합니다.
Q3: 유럽판 바이낸스(Binance France)와 글로벌판 binance.com의 데이터는 공유되나요?
규제 준수상 분리됩니다. Binance France는 독립 법적 실체이며 프랑스 등록, CNIL 관할; 글로벌판은 Binance Holdings Limited가 운영. 사용자 자료 DB는 백엔드에 기술적 분리가 있고 계정은 실체 간 병합 불가. 글로벌판 가입 후 유럽판으로 이전했다면 과거 데이터가 규제 준수 이전을 거쳐 양쪽에 각각 법정 연한까지 남습니다.
Q4: 모방 사이트가 이미 제 증명서 이미지를 얻었다면 어떻게 보완하나요?
즉시 세 가지: 하나, 공안 파출소에 분실 신고 등록(기록을 남기고 미래 도용 시 본인이 아님을 증명하기 위함); 둘, 흔한 신용 평가 플랫폼에서 "신분 확인 알림" 활성화; 셋, 바이낸스 계정에서 KYC를 다시 시작하고 안티피싱 코드를 설정. 공격자가 증명서로 바이낸스에 가입하려 할 때 리스크 관리 시스템의 역사 유사도 경보에 걸릴 수 있습니다.
Q5: 앱에서 KYC와 브라우저에서 KYC의 데이터 프라이버시에 실질적 차이가 있나요?
있습니다. 앱은 인증서 피닝을 거쳐 전송 단계에서 중간자가 개입할 수 없습니다. 브라우저는 HSTS만 있어 일부 기업 프록시 환경에서 복호화될 수 있습니다. 앱이 요청하는 카메라 권한은 iOS/Android 시스템 수준 최소 권한이며, 브라우저는 카메라 접근에 완전 권한이 필요하고 악성 확장이 몰래 촬영할 수 있습니다. 종합하면 앱 프라이버시 면이 브라우저보다 한 단계 적습니다.
Q6: 안티피싱 코드가 KYC 데이터 보호에 직접 작용하나요?
직접 작용은 크지 않습니다. "이메일 진위 식별" 계층을 보호하지 증명서 업로드 채널에 직접 영향을 주지 않습니다. 하지만 부가 신호입니다. 받은 "KYC 자료 보충 이메일"에 설정한 안티피싱 코드가 없다면 그 이메일이 위조임을 기본 판정해 피싱 링크 클릭으로 증명서를 모방 사이트에 업로드하는 것을 피할 수 있습니다. 안티피싱 코드, 2FA, 출금 화이트리스트를 함께 활성화하면 데이터와 자산 두 라인이 모두 커버됩니다.
증명서 업로드 전 계정 보안 설정도 함께 하려면 분류 내비게이션으로 돌아가 "계정 보안 포인트"와 "피싱 사이트 식별" 두 글을 계속 보시기 바랍니다.