Windows에서 바이낸스 APK의 SHA-256을 검증하는 3가지 방법

바이낸스 APK를 다운로드한 후 해시 검증을 거치는 것은 매우 가치 있는 습관입니다. 이 과정을 통해 통신사 캐시에 의한 파일 교체, 중간자 공격(MITM)에 의한 변조, 또는 다운로더가 임의로 삽입한 광고가 포함된 가짜 앱을 즉시 걸러낼 수 있기 때문입니다. 단 5분이면 충분한 이 작업을 Windows 환경에서 수행하는 3가지 방법을 소개합니다. 설치 파일을 받으려면 바이낸스 공식 사이트를 열거나 바이낸스 공식 앱 다운로드 입구를 바로 이용하세요. iPhone 사용자는 iOS 설치 튜토리얼을 확인하세요.

해시 검증의 원리

SHA-256은 어떤 파일이든 그 내용을 바탕으로 64자리의 16진수 문자열을 만들어내는 암호학적 해시 알고리즘입니다. 파일 내용이 단 1바이트라도 바뀌면 결과값이 완전히 달라집니다. 따라서 다음과 같은 논리가 성립합니다.

1. 바이낸스 측은 공식 웹사이트에 각 버전 APK의 SHA-256 값을 공개합니다.
2. 사용자는 파일을 다운로드한 후 내 컴퓨터에서 동일한 해시값을 계산합니다.
3. 두 값이 일치한다 → 파일이 변조되지 않은 원본입니다. / 불일치한다 → 누군가 손을 댄 파일이므로 즉시 삭제하고 다시 다운로드해야 합니다.

해시 계산은 인터넷 연결 없이 100% 로컬에서 이루어지므로 악성 소프트웨어가 이 단계를 속이는 것은 불가능합니다.

방법 1: PowerShell 사용 (권장)

Windows 10과 11에는 PowerShell이 기본 내장되어 있어 별도 설치 없이 바로 쓸 수 있습니다.

1. 다운로드한 APK 파일의 전체 경로를 확인합니다. (예: D:\Downloads\Binance_2.100.5.apk)
2. 파일이 있는 폴더의 빈 공간에서 Shift 키를 누른 채 마우스 우클릭 → '터미널에서 열기' 또는 '여기에 PowerShell 창 열기'를 선택합니다.
3. 터미널 창에 Get-FileHash 명령어를 치고 한 칸 띄운 뒤 APK 파일 경로를 입력하고, 이어서 -Algorithm SHA256을 덧붙여 엔터를 누릅니다.
4. 파일 크기에 따라 1~3초 정도 기다리면 결과가 나타납니다.

출력 결과는 대략 다음과 같습니다.

여기서 Hash 항목에 나온 값을 복사하여 대조할 준비를 합니다.

방법 2: CertUtil 명령어 사용

PowerShell이 없는 구버전 Windows(Win 7/8 등)라도 기본 내장된 CertUtil을 쓰면 명령어가 더 짧습니다.

1. Win + R 키를 누르고 cmd를 입력하여 명령 프롬프트를 엽니다.
2. cd 명령어를 사용하여 APK 파일이 있는 폴더로 이동합니다.
3. certutil -hashfile Binance_2.100.5.apk SHA256을 입력하고 엔터를 누릅니다.

그러면 아래처럼 3줄의 결과가 출력됩니다.

• 첫째 줄: SHA256 해시(파일 ...)
• 둘째 줄: 64자리 해시값 (문자열 중간에 공백이 포함되어 있으므로 비교 시 띄어쓰기를 지워야 함)
• 셋째 줄: CertUtil: -hashfile 명령이 성공적으로 완료되었습니다.

가운데 줄에 나온 값을 복사하고 공백을 제거한 후 대조하세요.

방법 3: GUI (그래픽 인터페이스) 도구 사용

명령어 입력이 번거롭다면 그래픽 도구를 활용할 수 있습니다.

HashTab을 예로 들면 다음과 같습니다.

1. HashTab을 설치합니다.
2. 다운로드한 APK 파일을 우클릭 → '속성(Properties)' → '파일 해시' 탭으로 이동합니다.
3. MD5, SHA-1, SHA-256 등 여러 해시값이 자동으로 계산되어 나타납니다.
4. SHA-256 항목을 우클릭해 값을 복사하고 대조합니다.

GUI 도구는 마우스만으로 쉽게 확인할 수 있다는 장점이 있지만 별도의 프로그램을 설치해야 한다는 단점이 있습니다.

공식 해시값을 확인하는 곳

바이낸스의 공식 APK 해시값은 주로 다음 3곳에서 확인할 수 있습니다.

1. binance.com 공식 다운로드 페이지 옆에 있는 '검증 정보(Verify)' 확장 패널
2. 바이낸스 공식 공지사항 또는 커뮤니티의 새 버전 출시 안내문
3. (이미 설치된 앱에서) 앱 내 설정 → 정보 → 버전 정보 (업데이트 전, 현재 다운로드 중인 패키지의 해시값 표시)

주의: 대조할 해시값은 본인이 다운로드한 앱의 버전 번호와 정확히 일치해야 합니다. 만약 v2.100.5 버전을 다운로드했다면 v2.100.5의 해시값을 찾아 비교해야 하며, v2.100.4의 해시값과 비교하면 안 됩니다.

해시값 대조 시 주의사항

• 대소문자 구분 없음: SHA-256 해시는 16진수이므로 본질적으로 대소문자를 구분하지 않지만, 대조의 편의를 위해 소문자로 통일하는 것이 좋습니다.
• 공백 제거: CertUtil로 출력된 값은 띄어쓰기가 포함되어 있으므로 먼저 이를 없애야 합니다.
• 전체 문자열 대조: 앞의 몇 자리만 보고 비슷하다고 넘어가면 위험합니다. (앞부분이 우연히 일치할 확률이 존재함)
• 텍스트 편집기 활용: 메모장을 열어 두 해시값을 위아래로 붙여넣고, Ctrl + F (찾기) 기능으로 전체 문자열을 정확히 검증하는 것을 추천합니다.

권장되는 전체 검증 프로세스

실제 상황에서 권장하는 작업 순서는 다음과 같습니다.

1. 브라우저에서 binance.com 다운로드 페이지에 접속
2. 페이지에 공개된 공식 SHA-256 해시를 마우스로 긁어서 메모장에 복사
3. 다운로드 버튼이나 QR 스캔으로 APK를 PC에 저장
4. PowerShell을 열고 다운받은 파일의 해시 계산
5. 터미널에 나온 해시값을 메모장에 붙여넣고 공식 해시값과 대조
6. 일치하면 → 안심하고 스마트폰으로 옮겨 설치 / 불일치하면 → 파일 삭제 후 재다운로드

이 일련의 과정은 한 번 익숙해지면 5분도 채 안 걸리는 단순한 루틴입니다.

모바일 기기에서의 해시 검증

만약 PC가 아니라 스마트폰에서 직접 APK를 받았다면 PowerShell을 쓸 수 없습니다. 이때는 다음 방법을 대안으로 사용하세요.

• 'Hash Droid'나 'APK Info' 같은 안드로이드 해시 검사 앱 설치
• USB 케이블로 스마트폰과 PC를 연결하여 PC에서 파일 해시 계산
• 온라인 해시 계산 사이트에 APK 업로드 (단, 개인정보가 포함된 민감한 파일은 절대 올리지 말 것)

Mac 사용자의 경우 터미널에서 shasum -a 256 명령어를 치면 PowerShell과 거의 동일한 형태로 결과를 얻을 수 있습니다.

자주 묻는 질문 (FAQ)

Q: 해시가 다르면 무조건 누군가 변조한 악성 파일인가요? A: 99%는 변조된 파일입니다. 나머지 1%는 네트워크 문제로 다운로드가 중간에 끊겨 파일이 불완전하게 저장된 경우입니다. 일단 파일을 지우고 다시 다운로드하여 확인해 보세요.

Q: SHA-256 대신 MD5를 써도 되나요? A: MD5는 이미 해커가 인위적으로 충돌(서로 다른 파일인데 같은 해시를 갖게 만듦)을 일으킬 수 있다고 증명된 취약한 알고리즘입니다. 반드시 보안성이 확보된 SHA-256을 사용하세요.

Q: 100MB 가까이 되는 APK 파일을 검사하는 데 오래 걸리나요? A: 일반적인 SSD 환경이라면 96 MB 파일의 해시를 계산하는 데 1~2초면 충분하고, 구형 HDD라도 5초 안팎에 끝납니다.

Q: 해시가 일치하면 100% 안전한가요? A: 기본적으로는 매우 안전하다고 볼 수 있습니다. 단, 대조의 기준이 되는 '공식 해시값' 자체를 믿을 수 있어야 합니다. (검색 엔진에 노출된 가짜 사이트가 아니라 진짜 binance.com에서 직접 확인한 해시값이어야 함)

추천 자료

• 안드로이드 APK 설치 튜토리얼
• APK 서명 지문 확인 방법
• 덮어쓰기 설치 실패 문제 해결