자동매매 봇을 연결하거나, 여러 거래소 잔고를 한 화면에서 보는 자산 추적 앱을 쓰려면 거의 항상 'API 키'를 요구받아요. 그런데 이 키를 잘못 발급하거나 관리하면 계정이 통째로 위험해질 수 있어요. 오늘은 거래소 API 키가 무엇이고 어떻게 안전하게 발급·관리하는지 자동매매·트래킹 연동 전 체크 포인트를 초보 눈높이로 정리해볼게요.
결론부터 말하면, API 키는 로그인 없이 프로그램이 내 계정에 접근하도록 발급하는 '기계용 비밀번호'예요. 그래서 필요한 권한만 최소로 켜고, 출금 권한은 끄고, IP 허용까지 걸어두는 게 핵심이에요. 다만 거래소마다 권한 이름과 발급 절차가 조금씩 달라서, 개념을 이해한 뒤 내 거래소 화면에서 하나씩 확인하는 게 안전해요. 아래에서 발급 절차부터 절대 하면 안 되는 것까지 볼게요.
![]()
거래소 API 키가 뭔가요
API 키는 사람이 아니라 프로그램이 내 거래소 계정에 접근하도록 발급하는 인증 수단이에요. 보통 두 개의 문자열, 즉 'Access Key(공개키)'와 'Secret Key(비밀키)' 한 쌍으로 나와요. 공개키는 "나 이 계정 주인이야"라고 알리는 이름표, 비밀키는 그걸 증명하는 서명용 열쇠라고 생각하면 쉬워요.
이 키가 있으면 프로그램은 내 아이디·비밀번호를 몰라도 잔고를 조회하거나 주문을 넣을 수 있어요. 편리한 만큼 위험도 따라와요. 로그인 비밀번호가 사람용 열쇠라면 API 키는 기계용 열쇠라, 유출되면 24시간 자동으로 악용될 수 있거든요. 그래서 거래소 계정을 남에게 맡기는 관점이 아니라, '필요한 방문만 자동으로 열어주는 최소 권한 열쇠'로 접근하는 게 맞아요.
참고로 API 키 보안은 2FA·출금 화이트리스트를 포함한 거래소 출금 보안 전반 정리 글의 한 조각이기도 해요. 이 글은 그중 API 키 하나만 떼어 발급·권한·연동을 깊게 파는 편이에요.
API 키는 어떻게 발급하나요
발급 흐름은 거래소마다 비슷해요. 국내 대표 거래소인 업비트를 예로 들면, PC 웹에 로그인한 뒤 마이페이지의 'Open API 관리' 메뉴에서 발급해요. 업비트는 API 키 발급이 PC 웹에서만 가능하고, 계정당 최대 10개까지 만들 수 있어요. 발급 시 이 키로 수행할 기능 권한(자산 조회·주문 조회·주문하기·주문 취소 등)을 골라 체크해요.

여기서 중요한 게 두 가지예요. 첫째, 비밀키(Secret Key)는 발급 순간 딱 한 번만 화면에 보여줘요. 그 자리에서 안전한 곳에 복사해두지 않으면 다시 볼 수 없고, 잃어버리면 키를 폐기하고 새로 발급해야 해요. 둘째, 허용 IP를 함께 등록해요. 업비트는 하나의 API 키에 최대 10개의 공인 IP를 등록할 수 있고, 사설 IP는 외부에서 접근할 수 없어 등록 자체가 안 돼요. 이 IP 등록이 사실상 가장 강력한 방어선이에요.
발급이 끝나면 보통 만료 기간이 있어요. 기간이 지나면 키가 자동으로 비활성화되니, 봇을 계속 돌린다면 만료일을 달력에 적어두고 갱신하는 습관이 필요해요.
투자 정보 안내
본 글은 암호화폐 시장에 대한 객관 데이터·정보 제공 목적이며, 특정 코인 매수·매도 권유가 아닙니다. 암호화폐는 변동성이 매우 크고 원금 전액 손실이 가능하므로 본인 판단과 책임 하에 결정하세요.
조회 전용과 거래 권한, 뭐가 다른가요
API 키의 위험도는 어떤 권한을 켰느냐로 결정돼요. 필요 없는 권한을 켜두면 그만큼 공격 표면이 넓어져요. 권한별 성격과 위험을 표로 정리했어요.
| 권한 | 할 수 있는 일 | 위험도 | 추천 사용처 |
|---|---|---|---|
| 자산·주문 조회 | 잔고·거래내역·체결 확인 | 낮음 | 자산 추적 앱, 대시보드 |
| 주문하기·취소 | 매수·매도 주문 실행 | 중간 | 자동매매 봇 |
| 출금 | 코인을 외부로 인출 | 매우 높음 | 대부분 필요 없음 |
핵심 원칙은 '최소 권한'이에요. 잔고만 보는 자산 추적 앱이라면 조회 권한만 켜면 돼요. 자동매매 봇이라면 주문·취소까지는 필요하지만, 출금 권한은 거의 항상 꺼두는 게 맞아요. 봇은 코인을 사고팔면 되지 밖으로 빼낼 이유가 없거든요. 출금 권한이 꺼져 있으면 설령 키가 유출돼도 공격자가 자산을 곧바로 인출하지는 못해요.
권한을 최소로 줄이는 사고방식은 거래소에 자산을 두는 것 자체의 위험 관리와도 연결돼요. 이 부분은 거래소 보관과 개인 지갑 보관의 안전성을 비교한 글에서 더 넓게 다뤘어요.
IP 허용(화이트리스트)이 왜 중요한가요
IP 허용은 '이 IP 주소에서 온 요청만 이 키를 쓸 수 있다'고 못 박는 설정이에요. 화이트리스트에 내 서버나 PC의 공인 IP만 등록해두면, 키가 유출돼도 다른 곳에서 온 요청은 거래소가 거부해요. 사실상 유출 피해를 원천 차단하는 가장 실효성 있는 방어예요.
개인 PC에서 봇을 돌린다면 현재 쓰는 네트워크의 공인 IP를 등록해요. 다만 가정용 인터넷은 IP가 바뀔 수 있어서, 바뀌면 등록을 갱신해야 해요. 24시간 안정적으로 돌리려면 고정 IP를 주는 클라우드 서버에 봇을 올리고 그 서버 IP만 허용하는 방식이 흔해요. 사설 IP(192.168.로 시작하는 내부 주소 등)는 외부 통신에 쓰이지 않아 등록해도 소용이 없다는 점도 기억하세요.
IP 허용을 걸면 편의성은 조금 줄어요. 노트북을 들고 카페에 가면 IP가 바뀌어 봇이 멈출 수 있거든요. 하지만 이 작은 불편이 키 유출 사고를 막는 가장 확실한 장치라, 거래 권한이 있는 키에는 웬만하면 IP 허용을 함께 거는 걸 권해요.
시크릿 키 관리 — 절대 하면 안 되는 것들
키 자체를 아무리 잘 발급해도 관리가 허술하면 소용없어요. 실제 유출 사고의 상당수는 해킹이 아니라 본인의 부주의에서 시작돼요. 아래는 절대 피해야 할 습관들이에요.
- 깃허브·블로그에 코드째로 올리기: 키를 소스코드에 그대로 적어 공개 저장소에 올리는 실수가 흔해요. 봇이 자동으로 공개 저장소를 훑어 유출된 키를 몇 분 만에 악용해요.
- 카톡·메일로 키 전송: 대화방이나 메일함이 털리면 키도 함께 새요. 키는 사람에게 보내는 물건이 아니에요.
- 아무 사이트에나 키 입력: "잔고를 무료로 분석해준다"며 API 키를 요구하는 낯선 사이트는 대부분 위험해요. 키를 넣는 순간 그쪽이 내 계정을 원격 조종할 수 있어요.
- 출금 권한을 습관적으로 켜두기: 필요하지도 않은 출금 권한을 켜두면 유출 시 피해가 즉시 현금화돼요.
키는 소스코드 밖 환경변수나 별도의 안전한 저장소에 두고, 조금이라도 유출이 의심되면 미련 없이 폐기하고 재발급하는 게 원칙이에요. 만약 이미 계정 침해가 의심된다면 계정 해킹 시 출금 정지·신고·복구 대응을 정리한 글의 순서를 따라 빠르게 움직이는 게 좋아요.
투자 정보 안내
본 글은 암호화폐 시장에 대한 객관 데이터·정보 제공 목적이며, 특정 코인 매수·매도 권유가 아닙니다. 암호화폐는 변동성이 매우 크고 원금 전액 손실이 가능하므로 본인 판단과 책임 하에 결정하세요.
자동매매·트래킹 봇에 연결할 때 체크리스트
봇이나 앱에 키를 넣기 직전, 아래를 하나씩 점검해보세요. 연결 전에 5분만 확인해도 사고 확률이 크게 줄어요.
- 이 서비스에 정말 '주문 권한'까지 필요한가, 조회만으로 충분하지 않은가
- 출금 권한은 꺼져 있는가 (자동매매·추적에는 거의 불필요)
- 허용 IP에 내 서버·PC의 공인 IP만 등록했는가
- 비밀키를 소스코드가 아닌 안전한 곳에 따로 보관했는가
- 키 만료일을 기록해두고 갱신 계획이 있는가
- 연결하려는 앱·봇이 신뢰할 만한 곳인가 (출처 불명 프로그램 배제)

이 여섯 개 중 하나라도 자신 있게 체크되지 않으면, 연결을 잠시 미루고 설정을 다시 손보는 게 안전해요. 특히 세 번째 IP 허용과 두 번째 출금 권한 차단은 유출 시 피해 규모를 좌우하는 항목이라 꼭 챙기세요.
출금 권한은 왜 끄라고 하나요
가장 자주 받는 질문이라 따로 정리할게요. 자동매매 봇의 일은 '싸게 사서 비싸게 파는' 매매예요. 코인을 외부 지갑으로 빼내는 출금은 봇의 역할이 아니에요. 그런데도 출금 권한을 켜두면, 키가 유출되는 순간 공격자가 매매를 거칠 필요 없이 곧바로 자산을 인출해 가버려요.
반대로 출금 권한이 꺼져 있으면, 유출되더라도 공격자가 할 수 있는 건 매매뿐이에요. 물론 악의적 매매로 손실을 낼 수는 있지만, 자산이 즉시 사라지는 최악은 피할 수 있어요. 그래서 거의 모든 봇·추적 서비스에서 출금 권한은 끄는 게 표준이에요. 만약 어떤 서비스가 굳이 출금 권한을 요구한다면, 그 서비스를 쓸지 진지하게 다시 생각해봐야 해요.
자주 묻는 질문 (FAQ)
거래소 API 키에 대해 자주 나오는 질문이에요.
Q. API 키만 알면 남이 제 계정에 로그인할 수 있나요?
로그인 화면에 들어오는 건 아니에요. 하지만 API 키는 프로그램이 로그인 없이 계정 기능을 쓰게 해주는 열쇠라, 유출되면 키에 부여된 권한 범위 안에서 잔고 조회나 주문, (켜져 있다면) 출금까지 자동으로 악용될 수 있어요. 그래서 사실상 비밀번호만큼 중요하게 다뤄야 해요.
Q. 조회 권한만 준 키도 위험한가요?
출금·주문 권한이 없으면 자산이 곧바로 빠져나가지는 않아요. 다만 잔고·거래내역 같은 개인 정보가 노출되고, 거래 패턴이 읽힐 수 있어요. 위험도는 낮지만 '완전히 안전'은 아니니, 조회 전용 키도 신뢰할 수 있는 서비스에만 넣고 관리하는 게 좋아요.
Q. IP 허용을 꼭 걸어야 하나요?
거래 권한이 있는 키라면 강하게 권해요. 허용 IP를 등록하면 키가 유출돼도 다른 곳에서 온 요청은 거래소가 거부해서 피해를 원천 차단할 수 있어요. 조회 전용 키라면 편의를 위해 생략하기도 하지만, 주문 권한이 있다면 IP 허용은 사실상 필수 방어선이에요.
Q. 비밀키를 잃어버렸어요. 다시 볼 수 있나요?
대부분의 거래소에서 비밀키는 발급 시 한 번만 보여주고 다시 조회할 수 없어요. 잃어버렸다면 기존 키를 폐기하고 새로 발급해야 해요. 재발급하면 이전 키는 즉시 무효가 되니, 봇에도 새 키로 교체해줘야 계속 작동해요.
Q. 여러 봇을 쓰면 키를 하나로 돌려써도 되나요?
용도별로 키를 나누는 걸 권해요. 봇마다 별도 키를 발급하면, 한 곳에서 문제가 생겨도 그 키만 폐기하면 되고 다른 봇은 영향을 안 받아요. 업비트처럼 계정당 여러 개(예: 최대 10개)를 발급할 수 있으니, 용도별로 최소 권한 키를 따로 만드는 게 관리에도 유리해요.
마무리 — 최소 권한이 최고의 보안이에요
거래소 API 키는 프로그램에게 내 계정 문을 열어주는 열쇠라, 편리한 만큼 신중해야 해요. 필요한 권한만 최소로 켜고, 출금 권한은 끄고, 거래 권한이 있는 키에는 IP 허용을 걸고, 비밀키는 소스코드 밖에 안전하게 두는 것 이 네 가지가 핵심이에요. 오늘은 지금 연동해둔 앱·봇이 어떤 권한을 가진 키를 쓰고 있는지 거래소 API 관리 화면에서 한 번 점검해보세요.
본 콘텐츠는 정보 제공 목적이며 특정 거래소·서비스의 이용 권유나 투자 자문이 아니에요. Coinday는 유사투자자문업 등 등록 사업자가 아니에요. 본문의 발급 절차·권한 이름은 작성 시점 기준이며 거래소별 정책과 다를 수 있어요. API 키 유출·자동매매로 인한 손실 등 모든 결정과 그 책임은 전적으로 본인에게 있어요.