MEXC 거래소는 고빈도 트레이더, 봇 사용자, 데이터 분석가를 위해 API(Application Programming Interface) 를 제공합니다.
API 키를 발급하면 외부 프로그램이나 트레이딩 봇과 거래소 계정을 연결할 수 있으며, 주문 실행, 시세 조회, 포지션 관리 등을 자동화할 수 있습니다.
그러나 잘못된 권한 설정이나 보안 관리 부주의는 해킹 위험을 초래할 수 있습니다.
이번 글에서는 MEXC API 키 발급 방법, 권한 설정 방식, 그리고 보안을 유지하는 실질적 관리법을 단계별로 안내하겠습니다.
API란 무엇인가
API는 프로그램과 서버 간의 통신을 위한 연결 통로입니다.
MEXC의 API는 사용자가 직접 거래소 서버에 명령을 전달하여 자동 매매, 데이터 분석, 백테스트, 자산 조회 등을 수행할 수 있게 해줍니다.
API 사용 주요 목적:
- 트레이딩 봇 연동 (예: 3Commas, Pionex, Cornix 등)
- 개인 데이터 수집 및 포트폴리오 관리
- 거래 자동화 및 신호 기반 매매
- 주문 체결 속도 향상
MEXC API 종류
MEXC는 두 가지 형태의 API를 제공합니다.
| 구분 | 설명 |
|---|---|
| REST API | 요청(Request) → 응답(Response) 형태로 작동. 일반적인 봇 및 앱 연동용 |
| WebSocket API | 실시간 데이터 전송용. 시세 스트리밍, 체결 데이터, 포지션 모니터링에 사용 |
일반적으로 거래 자동화는 REST API, 시세 모니터링은 WebSocket API를 사용합니다.
API 키 구성요소
API를 발급하면 세 가지 정보가 제공됩니다.
| 항목 | 설명 |
|---|---|
| API Key | 사용자를 식별하는 공개 키 (Public ID) |
| Secret Key | 명령을 암호화하는 비공개 키 (Private Secret) |
| UID | 계정 고유 식별자 (Internal User ID) |
⚠️ Secret Key는 단 한 번만 표시되므로 반드시 안전하게 보관해야 합니다.
API 키 발급 절차
1️⃣ MEXC 로그인
2️⃣ 우측 상단 [프로필] 클릭 → [API 관리(API Management)] 선택
3️⃣ [API 생성(Create API)] 클릭
4️⃣ API 이름 지정 (예: “MyBot_2025”)
5️⃣ 권한 설정 (읽기/거래/출금 등 선택)
6️⃣ 이메일 인증 + OTP 입력
7️⃣ API 생성 완료
API 생성이 완료되면 Key와 Secret이 표시됩니다.
이 정보는 이후 수정이 불가능하므로 반드시 별도로 백업해야 합니다.
API 권한 설정
API 권한은 기능별로 세분화되어 있습니다.
| 권한 | 기능 | 권장 설정 |
|---|---|---|
| Read | 계정 정보, 시세, 주문내역 조회 | ✅ 기본 활성화 |
| Trade | 주문 생성 및 취소 | ⚠️ 필요 시만 활성화 |
| Withdraw | 자산 출금 가능 | ❌ 비추천 (보안 위험) |
자동 매매 프로그램을 연결할 때는 Read + Trade 권한만 부여해야 하며,
Withdraw(출금) 권한은 절대 활성화하지 않는 것이 안전합니다.
IP 화이트리스트 설정
가장 중요한 보안 설정 중 하나는 IP Whitelist 기능입니다.
지정된 IP 주소에서만 API 접근을 허용하는 방식으로, 무단 접근을 차단합니다.
설정 방법:
1️⃣ API 생성 시 [IP 제한 설정] 클릭
2️⃣ 거래봇 또는 서버의 고정 IP 입력 (예: 192.168.1.22)
3️⃣ 여러 개의 IP를 쉼표로 구분 입력 가능
4️⃣ 저장 클릭
IP 제한을 설정하지 않으면 API 키가 외부에서 도용될 가능성이 있습니다.
API 키 관리 팁
1️⃣ Secret Key 절대 노출 금지
– 메신저, 이메일, 클라우드 저장 금지
2️⃣ 정기 재발급
– 90일~180일 주기로 새 키 발급
3️⃣ 사용하지 않는 키 삭제
– [API 관리] → [삭제(Delete)] 클릭
4️⃣ 별도 API 구분 사용
– 봇용 / 분석용 / 백테스트용으로 각각 분리
5️⃣ 서버 환경 변수 보관
– API Key를 코드에 직접 입력하지 말고 .env 파일에 저장
트레이딩 봇 연동 예시
예를 들어, 3Commas 또는 Pionex와 같은 봇 서비스에서 MEXC를 연결할 때는 다음 단계를 따릅니다.
1️⃣ MEXC에서 API 키 생성 (Read + Trade 권한)
2️⃣ 봇 플랫폼 접속 → [거래소 추가(Add Exchange)] 선택
3️⃣ “MEXC” 선택 → API Key와 Secret Key 입력
4️⃣ 연결 테스트 후 저장
연동 후 봇이 자동으로 MEXC 계정에서 주문을 실행하며,
모든 거래 내역은 [거래 내역 → API Orders]에서 확인 가능합니다.
API 오류 및 제한 사항
API는 요청 횟수 제한(Rate Limit)이 있습니다.
| 구분 | 제한 수치 | 설명 |
|---|---|---|
| REST API | 초당 20회 | 과도한 요청 시 “429 Too Many Requests” 반환 |
| WebSocket | 연결당 5초당 1회 구독 요청 | 실시간 데이터 전송용 |
이 제한을 초과하면 일시적으로 IP가 차단될 수 있으므로,
자동거래 시스템을 구축할 때는 호출 간격을 0.1~0.5초 이상 유지해야 합니다.
보안 위협 사례
MEXC API를 사용할 때 자주 발생하는 보안 실수는 다음과 같습니다.
- GitHub 코드에 API 키를 그대로 업로드
- Withdraw 권한을 활성화한 상태로 봇 연결
- IP 제한 미설정으로 외부 접속 허용
- 키 만료 전 재발급 미실시
이러한 사례는 실제로 계정 자산 유출로 이어질 수 있습니다.
항상 “필요 최소한의 권한 원칙(Principle of Least Privilege)”을 적용해야 합니다.
API 보안 점검 체크리스트
Read/Trade 권한만 활성화되어 있는가
Withdraw 권한은 비활성화되어 있는가
IP Whitelist가 설정되어 있는가
Secret Key는 안전한 저장소에만 보관되어 있는가
사용하지 않는 키는 즉시 삭제했는가
위 5가지 항목을 모두 충족하면 안전한 상태입니다.
API 삭제 및 재발급 방법
1️⃣ [API 관리] 메뉴 진입
2️⃣ 삭제할 API 선택 → [삭제(Delete)] 클릭
3️⃣ OTP 및 이메일 코드 입력
4️⃣ 새 API 키 재생성
API 키를 삭제해도 과거 거래 기록에는 영향이 없습니다.
단, 삭제된 키는 복구할 수 없으므로 새로운 연결이 필요합니다.
마무리
MEXC API 키는 자동거래, 데이터 분석, 자산 관리 등 다양한 기능을 확장할 수 있는 강력한 도구입니다.
하지만 보안 관리가 미흡하면 자산이 손상될 위험이 있으므로,반드시 Withdraw 권한은 비활성화, IP 화이트리스트 설정, Secret Key 안전보관 세 가지 원칙을 지켜야 합니다.
API를 잘 활용하면 거래 효율을 극대화하면서도, 완전한 자동화 환경을 구축할 수 있습니다.