핵심 원칙: API 키는 여러분의 거래소 계정에 접근할 수 있는 열쇠입니다. 반드시 아래 안내를 따라 최소한의 권한만 부여하고, 안전하게 관리하세요.
출금 권한 없는 키 사용 (필수)
거래소에서 API 키를 발급할 때 "출금" 권한을 반드시 비활성화하세요. 분석 서비스에는 "주문하기"와 "잔고 조회" 권한만 필요합니다.
출금 권한이 포함된 키는 서비스 등록 시 경고가 표시되며, 사용을 강력히 권장하지 않습니다.
허용 IP 주소 제한 (강력 권장)
거래소 API 키 설정에서 허용 IP를 등록하세요. 등록된 IP에서만 API가 동작하므로, 키가 유출되더라도 다른 곳에서 사용할 수 없습니다.
본 서비스 서버의 IP 주소는 설정 페이지에서 확인할 수 있습니다. 거래소에서 해당 IP를 허용 목록에 추가해주세요.
키 유출 시 즉시 폐기
API 키가 유출되었거나 유출이 의심되는 경우, 다음 절차를 즉시 수행하세요:
- 거래소 접속 → 마이페이지 → Open API 관리 → 해당 키 삭제
- AI Money Lab 설정 → API 키 삭제 또는 갱신
- 거래소 계정 점검 → 비정상 거래 내역 확인
- 새 API 키를 발급받아 재등록
Secret 노출 절대 금지
다음 상황에서 API Secret Key를 절대 포함하지 마세요:
- 고객 문의, 버그 리포트, 이메일
- 스크린샷, 화면 녹화
- SNS, 블로그, 커뮤니티 게시글
- GitHub, GitLab 등 코드 저장소
- 로그 파일, 디버그 출력
운영자도 API Secret을 요청하지 않습니다. 누군가 Secret을 요청한다면 사기를 의심하세요.
최소 권한 원칙
API 키에는 분석 서비스에 꼭 필요한 최소 권한만 부여하세요.
| 권한 | 필요 여부 | 설명 |
|---|---|---|
| 자산 조회 | 필수 | 잔고 확인 |
| 주문하기 | 필수 | 매수/매도 실행 |
| 주문 조회 | 권장 | 주문 상태 확인 |
| 출금하기 | 비활성화 | 분석 서비스에 불필요. 반드시 꺼두세요. |
우리 서비스의 키 보호 방식
AI Money Lab은 다음과 같이 API 키를 보호합니다:
- AES-256-GCM 암호화: API 키는 평문으로 저장되지 않으며, 군사 등급 암호화로 보호됩니다.
- 전송 암호화: 모든 통신은 TLS(HTTPS)로 암호화됩니다.
- 즉시 파기: 봇 삭제 또는 키 갱신 시 암호화된 키 데이터를 즉시 삭제합니다.
- 접근 제한: DB 접근은 서버 애플리케이션으로 제한되며, 관리자 콘솔에서도 평문 키를 확인할 수 없습니다.