accounts.binance.com 이 2차 도메인의 용도는 무엇인가요
많은 사용자가 바이낸스 로그인 시 주소창이 binance.com/login에서 accounts.binance.com/login으로 리디렉션되는 것을 보고 해킹을 의심하곤 합니다. 사실 이는 바이낸스가 2024년 하반기부터 도입한 공식 로그인 전용 서브도메인입니다. 본 노트에서는 도입 배경과 오류 해결 방법을 명확히 정리했습니다. 로그인 입구가 필요하다면 즉시 바이낸스 공식 사이트에 접속하세요. 모바일 환경은 바이낸스 공식 앱을 이용하고, iPhone 사용자는 먼저 iOS 설치 튜토리얼을 확인하세요.
왜 로그인 서브도메인을 분리했나요?
로그인을 독립적인 서브도메인으로 분리하는 것은 금융 및 이메일 등 대형 사이트에서 흔히 볼 수 있는 방식입니다. Google은 accounts.google.com을, Microsoft는 login.microsoftonline.com을 사용하며, 바이낸스의 목적도 이와 비슷합니다:
- 보안 정책 격리: 로그인 페이지에 더 엄격한 CSP(콘텐츠 보안 정책), HSTS, SameSite 쿠키를 적용하여 메인 사이트의 서드파티 스크립트(시세 연동, 광고 SDK)가 로그인 환경을 오염시키는 것을 방지합니다.
- 중앙 집중식 감사 용이: 계정 관련 모든 작업이 하나의 도메인으로 집중되어 보안 팀의 모니터링이 간편해집니다.
- XSS 공격 방어: 메인 사이트의 핵심이 아닌 페이지에 악성 스크립트가 주입되더라도 로그인 세션은 안전하게 유지됩니다.
- 모든 입구의 통합: .com, .info, .bz 3개의 입구가 모두 accounts 서브도메인으로 리디렉션되므로 '한 번 로그인으로 모든 곳에서 사용'이 가능해집니다.
간단히 요약하면: accounts.binance.com은 보안의 방어벽 역할을 합니다.
로그인 시 실제 리디렉션 흐름
binance.com을 열고 '로그인' 버튼을 클릭했을 때의 표준 흐름:
- 브라우저가 binance.com에서 GET /login 요청을 보냄
- 서버가 302 상태 코드를 반환하며 accounts.binance.com/login?return_to=...로 리디렉션
- 브라우저가 accounts 서브도메인의 로그인 페이지를 로드
- 이메일/비밀번호 입력 및 2FA 인증 진행
- 인증 성공 후 다시 302 리디렉션을 통해 원래의 return_to URL(주로 개인 센터나 거래 페이지)로 이동
이 과정에서 주소창이 두 번의 리디렉션을 거치는 것은 정상적인 현상입니다.
SSL 인증서와 보안 특징
accounts 서브도메인의 보안 설정은 메인 도메인보다 엄격하며, 인증서와 응답 헤더를 통해 확인할 수 있습니다:
| 보안 특성 | binance.com | accounts.binance.com |
|---|---|---|
| HSTS max-age | 31536000 | 63072000 |
| includeSubDomains | 예 | 예 |
| preload | 예 | 예 |
| CSP frame-ancestors | self | none(iframe 임베딩 금지) |
| Cookie SameSite | Lax | Strict |
| Cookie HttpOnly | 일부 | 전체 |
| 인증서 발급 기관 | DigiCert | DigiCert |
frame-ancestors=none 항목에 주목하세요. 이는 바이낸스 로그인 페이지를 iframe에 삽입하여 피싱을 시도하려는 모든 행위가 브라우저에 의해 즉시 차단됨을 의미합니다.
리디렉션 오류의 일반적인 원인
로그인을 클릭한 후 브라우저가 binance.com/login에 멈춰 있거나 accounts로 넘어간 뒤 빈 화면만 로딩된다면, 다음 순서로 확인해 보세요:
원인 1 · 브라우저 확장 프로그램이 302를 차단함 광고 차단 확장 프로그램(uBlock Origin, AdGuard 등)이 때때로 302 리디렉션을 추적으로 오인할 수 있습니다. 시크릿 모드에서 테스트해 보고 정상이라면 해당 확장 프로그램을 비활성화하세요.
원인 2 · 서드파티 쿠키 차단 accounts 서브도메인과 메인 도메인 간에는 로그인 상태 동기화를 위해 쿠키 작성이 필요합니다. 일부 개인정보 보호 브라우저(Brave, Safari의 엄격한 추적 방지 등)는 서드파티 쿠키를 기본적으로 차단합니다. 해결책: binance.com을 예외 목록에 추가하세요.
원인 3 · DNS가 accounts 서브도메인을 해석하지 못함 로컬 DNS에 만료된 기록이 캐시되어 있을 수 있습니다. Windows는 ipconfig /flushdns로 새로고침하고, macOS는 재부팅하세요.
원인 4 · HSTS preload와 hosts 파일 충돌 일부 사용자가 hosts 파일에 binance.com의 IP를 수동으로 지정하면서 accounts 서브도메인을 누락한 경우입니다. 결과적으로 메인 도메인은 연결되지만 서브도메인의 DNS는 찾지 못하게 됩니다. 해결책: hosts 파일에서 관련 항목을 삭제하세요.
앱 내부에서도 accounts 서브도메인을 사용하나요?
바이낸스 앱의 로그인은 브라우저를 거치지 않는 다른 경로를 사용합니다. 앱 실행 후 즉시 api.binance.com/sapi/v1/auth/... 와 같은 API 인터페이스를 호출하여 로그인을 완료하므로 accounts 서브도메인은 관여하지 않습니다.
단, 앱 내에서 '웹 버전' 버튼을 클릭해 내장 WebView를 띄울 때는 예외입니다. 이 경우 로그인 세션 동기화가 필요하다면 내장 브라우저 역시 accounts 서브도메인을 거치게 됩니다.
서드파티가 유사한 서브도메인을 등록할 수 있나요?
서브도메인은 반드시 도메인 소유자가 할당해야 합니다. 공격자는 binance.com의 서브도메인 제어 권한을 얻을 수 없으므로 진짜 accounts.binance.com을 등록할 수 없습니다. 대신 accounts-binance.com, binance-accounts.com과 같이 비슷한 독립 도메인을 등록하여 위조할 수는 있습니다. 식별 방법:
- 진짜 서브도메인은 accounts.binance.com입니다. 마침표(.)로 연결되어 있습니다.
- 가짜 도메인은 accounts-binance.com, binance-accounts.com입니다. 하이픈(-)으로 연결되어 있습니다.
구분 기호가 '.'인지 '-'인지만 명확히 확인하면 됩니다.
보안 권장 사항
- 로그인 전 주소창의 전체 도메인이 accounts.binance.com인지 확인하세요. 어떠한 변형도 허용되지 않습니다.
- SSL 다운그레이드를 방지하기 위해 브라우저의 HTTPS 전용 모드를 활성화하세요.
- 2FA를 활성화하고, 단일 실패 지점을 피하기 위해 구글 OTP + SMS를 동시에 연동하는 것을 권장합니다.
- 비밀번호 관리자(1Password, Bitwarden 등)를 사용하여 비밀번호를 저장하세요. 자동 완성 기능이 도메인 일치 여부를 검증하므로 피싱 사이트를 예방할 수 있습니다.
FAQ
Q:accounts.binance.com은 피싱 사이트인가요? A:아닙니다. 바이낸스 공식 로그인 서브도메인이므로 리디렉션되는 것이 정상입니다.
Q:accounts.binance.com을 바로 즐겨찾기 해도 되나요? A:가능하지만, 즐겨찾기로 접속 시 return_to 파라미터가 없기 때문에 기본 메인 페이지로 리디렉션됩니다. binance.com을 즐겨찾기 하는 것을 권장합니다.
Q:로그인이 멈춘다면 어떻게 해야 하나요? A:브라우저 쿠키를 지우고 확장 프로그램을 비활성화한 뒤 시크릿 모드에서 다시 시도해 보세요.
Q:앱에서도 이 서브도메인을 사용하나요? A:앱은 직접 API를 호출하므로 일반적으로 이 서브도메인에 접속하지 않습니다.