바이낸스 APK의 무결성을 검증하는 두 가지 주요 방법은 SHA-256 해시 비교(모든 사용자용, 1분 소요)와 apksigner 서명 검증(고급 사용자용, 개발자 인증서 확인)입니다. 바이낸스 공식 사이트에서 APK를 다운로드한 후 검증 과정을 거치면 변조된 패키지로 인한 리스크를 크게 줄일 수 있습니다. 앱 접속은 바이낸스 공식 앱을 이용하세요. 전체 플랫폼 설치 절차는 다운로드 센터에서 확인할 수 있습니다. 본문에서는 운영체제별 구체적인 명령어를 제공합니다.
SHA-256이란 무엇인가요?
SHA-256은 임의의 파일에 대해 64자리의 16진수 문자열을 생성하는 암호화 해시 알고리즘입니다. 특징은 다음과 같습니다:
- 동일한 파일은 항상 동일한 해시를 생성합니다.
- 파일에서 단 1바이트만 바뀌어도 해시값이 완전히 달라집니다.
- 해시값이 일치하는 다른 파일을 위조하는 것은 거의 불가능합니다.
검증 논리:
- 바이낸스 공식 사이트에서 각 버전별 APK의 SHA-256 값을 공개합니다.
- 사용자가 APK를 다운로드한 후 로컬에서 SHA-256 값을 계산합니다.
- 두 값이 일치하면 APK가 변조되지 않았음을 의미합니다.
공식 해시값 확인하기
바이낸스 공식 다운로드 페이지(binance.com → 하단 다운로드 섹션 → Android)에서 현재 APK 버전의 SHA-256 문자열을 확인할 수 있습니다. 예시:
SHA-256:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4
이 64자리 문자열(공백이나 줄 바꿈 제외)을 복사하여 비교 기준으로 삼으세요.
Windows 검증 단계
PowerShell 사용
- Win + R 키를 누르고
powershell을 입력하여 PowerShell을 엽니다. - 다음 명령어를 입력합니다 (경로를 실제 다운로드한 APK 경로로 수정하세요):
Get-FileHash 'C:\Users\사용자명\Downloads\Binance-2.95.0.apk' -Algorithm SHA256
- Enter 키를 누르면 다음과 같이 출력됩니다:
Algorithm Hash Path
--------- ---- ----
SHA256 A3F5B8C7D9E2F4A6B8C0D2E4F6A8B0C2D4E6F8A0B2C4D6E8F0A2B4C6D8E0F2A4 ...
- Hash 열의 문자열을 공식 사이트의 값과 비교합니다.
PowerShell 출력값은 기본적으로 대문자로 표시되지만, 비교 시 대소문자를 구분할 필요는 없습니다.
CMD 사용 (대안)
PowerShell이 익숙하지 않다면 CMD에서 certutil을 사용할 수도 있습니다:
certutil -hashfile C:\Users\사용자명\Downloads\Binance-2.95.0.apk SHA256
출력 예시:
SHA256 hash of file Binance-2.95.0.apk:
a3 f5 b8 c7 d9 e2 f4 a6 b8 c0 d2 e4 f6 a8 b0 c2
d4 e6 f8 a0 b2 c4 d6 e8 f0 a2 b4 c6 d8 e0 f2 a4
CertUtil: -hashfile command completed successfully.
공백을 제외하고 비교하세요.
macOS / Linux 검증 단계
터미널을 열고 shasum 명령어를 사용합니다:
shasum -a 256 ~/Downloads/Binance-2.95.0.apk
출력값:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4 /Users/사용자명/Downloads/Binance-2.95.0.apk
앞의 64자리가 해시값이며, 뒤는 파일 경로입니다. 앞의 해시값을 복사해 공식 값과 비교하세요.
Linux에서는 sha256sum을 사용할 수도 있습니다:
sha256sum ~/Downloads/Binance-2.95.0.apk
Android 검증 단계
휴대폰에서 직접 검증하고 싶은 경우(폰으로 직접 다운로드한 상황):
방법 1: Termux
- Google Play에서 Termux 설치
- Termux 명령줄 실행
- 다음 명령어 실행:
sha256sum /sdcard/Download/Binance-2.95.0.apk
- 출력된 64자리 문자열을 공식 값과 비교
방법 2: Hash Droid 등 앱 활용
앱 스토어에서 "Hash Droid" 또는 "Crypto" 검색 → 설치 → APK 파일 선택 → SHA-256 계산 실행.
해시 비교 방법
로컬에서 얻은 해시값을 공식 해시와 문자 하나하나 대조합니다:
- 64자리 문자가 완전히 일치해야 합니다.
- 대소문자는 구분하지 않습니다 (A와 a를 동일하게 간주).
- 어떤 문자도 빠져서는 안 됩니다.
가장 간단한 비교 방법:
- 로컬 해시를 메모장 첫 번째 줄에 복사합니다.
- 공식 해시를 두 번째 줄에 복사합니다.
- 텍스트 비교 도구(예: Beyond Compare)를 사용해 대조합니다.
또는 직접 육안으로 확인하세요 (64자리는 양이 많지 않아 5~10초면 대조가 가능합니다).
해시가 일치하지 않는 경우
두 해시값이 다르다면 다음을 의미합니다:
- APK가 변조됨 (가장 가능성 높음)
- 다운로드 중단으로 파일이 불완전함
- 해시 복사 오류 (문자가 빠졌거나 공백이 포함됨)
대처 방법:
- 공식 해시가 온전하게 복사되었는지 먼저 확인합니다.
- APK를 다시 다운로드합니다 (다운로드 중단 가능성).
- 다른 브라우저를 사용해 다시 다운로드해 봅니다.
- 여전히 일치하지 않는다면 절대 설치하지 마세요. APK가 변조된 것이므로 파일을 삭제하세요.
- 제3자 경로가 아닌 공식 홈페이지에서 직접 다시 다운로드하세요.
apksigner 서명 검증 (고급)
SHA-256 검증은 "공식 발표값과 일치하는지"만 확인하지만, 더 철저한 방법은 APK의 개발자 서명을 검증하는 것입니다. Android SDK가 필요합니다:
apksigner 설치
- Android Studio 설치 (build-tools 포함)
- 또는 build-tools만 별도 다운로드
apksigner 경로는 보통 다음과 같습니다:
- Windows:
%ANDROID_HOME%\build-tools\xx.x.x\apksigner.bat - macOS / Linux:
$ANDROID_HOME/build-tools/xx.x.x/apksigner
서명 검증 실행
apksigner verify --print-certs Binance-2.95.0.apk
출력 결과 예시:
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1
Signer #1 certificate DN: CN=Binance, OU=Binance, O=Binance Holdings Limited, ...
Signer #1 certificate SHA-256 digest: ...
확인 사항:
- "Verifies" 문구가 있어 서명이 유효함을 증명하는지 확인
- "certificate DN"에 "Binance Holdings Limited" 또는 유사한 문구가 포함되어 있는지 확인
- SHA-256 digest가 개발자 인증서의 지문과 일치하는지 확인
DN에 바이낸스 조직명이 포함되지 않았다면 APK가 다른 개발자에 의해 재서명된 가짜입니다.
자동화 배치 검증
APK를 자주 다운로드하는 고급 사용자는 스크립트로 자동화할 수 있습니다:
Bash 스크립트 (macOS / Linux)
#!/bin/bash
APK_FILE="$1"
EXPECTED_HASH="공식발표_SHA-256_값"
LOCAL_HASH=$(shasum -a 256 "$APK_FILE" | awk '{print $1}')
if [ "$LOCAL_HASH" = "$EXPECTED_HASH" ]; then
echo "✓ 검증 통과"
else
echo "✗ 해시 불일치"
echo "로컬: $LOCAL_HASH"
echo "공식: $EXPECTED_HASH"
fi
사용법: ./verify.sh Binance-2.95.0.apk
PowerShell 스크립트 (Windows)
$APK = "$env:USERPROFILE\Downloads\Binance-2.95.0.apk"
$Expected = "공식발표_SHA-256_값".ToUpper()
$Local = (Get-FileHash $APK -Algorithm SHA256).Hash
if ($Local -eq $Expected) {
Write-Host "✓ 검증 통과" -ForegroundColor Green
} else {
Write-Host "✗ 해시 불일치" -ForegroundColor Red
Write-Host "로컬:$Local"
Write-Host "공식:$Expected"
}
흔히 하는 오해
오해 1: 해시가 같으면 100% 안전하다
해시가 같다는 것은 파일이 수정되지 않았음을 뜻하지만, APK 자체에 대한 신뢰 여부는 출처에 달려 있습니다. 바이낸스 공식 사이트에서 받은 APK의 해시가 일치하는 것이 가장 확실한 보증입니다.
오해 2: MD5 검증으로도 충분하다
MD5는 인위적인 충돌 위조가 가능함이 증명되었습니다. MD5는 사용하지 마세요. SHA-1 역시 더 이상 권장되지 않습니다. SHA-256이 현재 업계 표준입니다.
오해 3: APK 파일 크기가 같으면 안전하다
파일 크기가 같더라도 내용이 변조되었을 수 있습니다 (정밀하게 바이트를 채워 맞추는 방식). 반드시 해시를 검증해야 합니다.
자주 묻는 질문
Q: 다운로드할 때마다 검증해야 하나요? A: 매번 검증하는 것을 권장하며 1분이면 충분합니다. 공식 사이트에서 받고 네트워크가 정상이라면 리스크는 낮지만, 습관을 들이면 단 한 번의 실수로 인한 손실을 방지할 수 있습니다.
Q: 앱 내 업데이트로 받은 APK도 검증해야 하나요? A: 아니오, 필요 없습니다. 앱 내 업데이트는 바이낸스 서버 내부 다운로드 경로를 이용하며 HTTPS 암호화와 서명 검증을 통해 이미 무결성이 확인된 상태입니다.
Q: APKPure에서 받았는데 SHA-256 값이 없다면? A: binance.com에서 공식 SHA-256 값을 찾아 기준으로 삼으세요. APKPure의 해시가 공식 값과 일치한다면 변조되지 않은 것이고, 다르면 즉시 폐기하세요.
Q: 해시 검증은 통과했는데 앱 설치가 안 됩니다. A: 이는 APK 무결성 문제가 아니라 시스템 호환성, 서명 충돌, 보안 소프트웨어 차단 등의 문제일 수 있습니다. "바이낸스 앱 설치 불가 가이드"를 참고하세요.
Q: 휴대폰에서 쓸만한 간단한 검증 도구가 있나요? A: Hash Droid (Android), HashChecker (Termux) 등이 있습니다. iOS는 APK를 지원하지 않으므로 공식 검증 도구가 없습니다.
Q: apksigner에서 v1, v2, v3가 모두 통과되었다는 건 무슨 뜻인가요? A: Android 버전별로 지원하는 서명 방식이 다릅니다 (v1/v2/v3). 세 가지 모두 통과했다는 것은 바이낸스 APK가 다양한 서명 검증 메커니즘을 지원하여 호환성이 뛰어남을 의미합니다.
요약
바이낸스 APK 검증 표준 절차: 다운로드 후 SHA-256 명령어로 로컬 해시 계산 → 바이낸스 공식 사이트 해시와 비교 → 일치할 때만 설치. Windows는 PowerShell의 Get-FileHash를, macOS/Linux는 shasum -a 256을, Android는 Termux의 sha256sum을 사용하세요. MD5는 안전하지 않으므로 사용하지 마세요. 고급 사용자는 apksigner를 통해 개발자 서명에 Binance Holdings 문구가 포함되어 있는지 추가로 확인할 수 있습니다. 매번 검증하는 습관이 피싱 APK로부터 자산을 지키는 지름길입니다.