암호화폐 트레이딩을 자동화하거나 외부 애플리케이션에 연동하려면 API 키가 반드시 필요합니다.
MEXC 거래소는 고급 사용자와 개발자를 위해 API 기능을 지원하며, 거래·조회·입출금 등 다양한 명령을 프로그램을 통해 수행할 수 있게 합니다.
하지만 잘못된 설정은 자산 유출로 이어질 수 있으므로, 보안 관리가 무엇보다 중요합니다. 이번 글에서는 MEXC API 키 발급 방법, 권한별 설정, 보안 유지 요령까지 자세히 정리했습니다.
MEXC API란 무엇인가
API(Application Programming Interface)는 외부 프로그램이 거래소 서버와 통신하도록 해주는 인터페이스입니다.
즉, 사용자가 직접 웹사이트를 열지 않아도 프로그램이 거래 명령을 대신 수행할 수 있습니다.
MEXC API는 다음과 같은 용도로 활용됩니다.
- 자동매매(봇 트레이딩)
- 포트폴리오 관리 툴 연동
- 수익률 및 거래 내역 자동 기록
- 시장 데이터 실시간 수집
이처럼 API는 단순 편의 기능이 아니라, 전문 트레이더에게는 전략 실행 도구로 활용됩니다.
API 키 발급 전 준비사항
API 키를 생성하려면 반드시 아래 조건을 충족해야 합니다.
- MEXC 계정 로그인
- 2단계 인증(OTP) 활성화
- 계정 이메일 인증 완료
- (선택) KYC 신원 인증 완료 시 출금 권한 부여 가능
2FA(OTP)를 설정하지 않으면 API 생성 버튼이 비활성화되어 있으며, 보안상 키 발급이 차단됩니다.
따라서 먼저 [내 정보 → 보안 설정 → OTP 활성화] 절차를 완료해야 합니다.
API 키 발급 절차
MEXC 웹 또는 앱에서 API 키를 발급할 수 있지만, 세부 설정은 웹에서 하는 것이 안전합니다.
① 로그인 후 경로 이동
- [내 정보(My Account)] → [API 관리(API Management)] 클릭
② 새 키 생성(Create API Key)
- ‘API 이름(Label)’을 입력 (예: “MyTradingBot”)
- 필요 시 ‘설명(Description)’ 추가
③ 권한 설정
- Read (조회만 가능)
- Trade (거래 실행 가능)
- Withdraw (출금 가능 – 주의 필요)
④ IP 화이트리스트 설정 (필수)
- API를 사용할 서버의 IP 주소를 등록해야만 접근이 허용됩니다.
- 최대 20개의 IP를 입력 가능하며, 미등록 시 출금 권한 부여가 불가합니다.
⑤ OTP 코드 입력 후 생성
- OTP 입력 → 이메일 인증 → 완료
생성이 완료되면 API Key와 Secret Key(비밀키)가 발급됩니다.
이 Secret Key는 다시 확인할 수 없으므로 반드시 안전한 메모장이나 암호화 저장소에 보관해야 합니다.
API 키 구성 요소 설명
| 항목 | 의미 | 설명 |
|---|---|---|
| API Key | 공개키 | 프로그램 연결 시 식별용 |
| Secret Key | 비밀키 | 암호화 서명용 (절대 외부 공유 금지) |
| 권한(Privileges) | 접근 제한 | Read / Trade / Withdraw |
| IP 제한 | 접속 제한 | 특정 서버만 사용 가능 |
이 중 Secret Key가 유출되면 외부에서 임의 거래나 자금 이동이 가능하므로 절대 노출되어서는 안 됩니다.
권한 설정 시 주의점
API 키는 필요한 기능만 최소한으로 설정하는 것이 보안의 핵심입니다.
| 권한 | 설명 | 권장 여부 |
|---|---|---|
| Read | 계정 정보 및 거래내역 조회 | ✅ 안전 |
| Trade | 주문 생성·취소 가능 | ⚠️ 신뢰할 수 있는 봇에만 허용 |
| Withdraw | 출금 명령 가능 | ❌ 일반 사용자는 비권장 |
일반적인 자동매매 프로그램은 ‘Read + Trade’ 권한만 필요합니다.
Withdraw(출금) 권한은 외부 유출 시 자산 손실로 이어질 수 있으므로, 특별한 이유가 없다면 반드시 비활성화해야 합니다.
IP 화이트리스트 설정 방법
IP 화이트리스트는 API 키가 사용할 수 있는 접속 경로를 제한하는 기능입니다.
등록된 IP 주소 외의 접속은 모두 차단됩니다.
설정 방법:
1️⃣ API 생성 시 “IP Whitelist” 항목에 서버 IP 입력
2️⃣ 여러 주소를 사용할 경우 쉼표(,)로 구분
3️⃣ 변경 시 기존 키 삭제 후 재발급 필요
예:
192.168.1.25, 192.168.1.26
만약 VPS(가상서버)나 클라우드 환경을 이용한다면, 항상 고정 IP를 사용하는 것이 안전합니다.
API 키 관리 및 삭제
MEXC는 사용자 보안을 위해 API 키 만료 기간을 지정하지 않지만,
사용하지 않는 키는 반드시 직접 삭제해야 합니다.
삭제 방법:
1️⃣ [API 관리 페이지] 접속
2️⃣ 삭제할 키 우측의 “Delete” 클릭
3️⃣ OTP 인증 후 삭제 완료
특히 자동매매 프로그램을 중단했을 때,
또는 IP가 변경된 경우에는 바로 삭제하고 새 키를 생성해야 합니다.
보안 유지 요령
API 키는 이메일이나 채팅으로 절대 공유하지 않아야 하며,
특히 다음 사항은 반드시 지켜야 합니다.
- 비밀키(Secret Key)는 로컬 보관
- 암호화된 비밀번호 관리자(Vault)에 저장
- 공용 PC나 클라우드 메모장 사용 금지
- 3개월마다 키 재발급
- 로그 기록 확인: [보안 로그] 메뉴에서 API 접속 이력 점검
또한 MEXC는 비정상 접속이 감지되면 자동으로 API 키를 비활성화합니다.
이메일로 “Suspicious API Activity Detected” 알림을 받았다면 즉시 키를 삭제하고 재발급하세요.
API 연동 후 테스트 방법
API 키가 정상적으로 작동하는지 확인하려면 간단한 조회 명령을 실행해볼 수 있습니다.
예를 들어, 포트폴리오 관리 툴이나 거래봇에서 계정 정보 조회 API를 호출하면 잔액이 표시되어야 합니다.
자주 발생하는 실수
| 실수 | 문제점 | 해결책 |
|---|---|---|
| Secret Key 분실 | 다시 확인 불가 | 새 API 키 재발급 |
| IP 제한 미설정 | 모든 접속 허용 → 해킹 위험 | 화이트리스트 반드시 설정 |
| Withdraw 권한 허용 | 자산 유출 위험 | 비활성화 필수 |
| 공유 서버 사용 | 보안 취약 | 개인 전용 VPS 이용 권장 |
| 로그 미확인 | 이상 접근 탐지 불가 | 정기 점검 필요 |
마무리
MEXC의 API 기능은 강력한 자동화 도구이지만, 그만큼 보안 의식이 중요합니다.
MEXC API 키 발급은 단순한 설정이 아니라, 개인 자산을 외부 시스템과 연결하는 과정이므로 세심하게 관리해야 합니다.
항상 필요한 최소 권한만 부여하고, IP 화이트리스트를 설정하며, 주기적으로 재발급하는 것이 안전한 습관입니다.