패밀리 사이트
아주일보
베트남
회원서비스
로그인
회원가입
지면보기
"공식 앱마켓도 안심 못한다"…빗썸, '가짜 거래 앱 사기 예방 가이드' 공개
기사 읽기 도구
공유하기
기사 프린트
글씨 크게
글씨 작게
2026.07.13 월요일
구름 서울 32˚C
흐림 부산 28˚C
흐림 대구 32˚C
맑음 인천 27˚C
흐림 광주 30˚C
흐림 대전 31˚C
맑음 울산 32˚C
맑음 강릉 33˚C
흐림 제주 29˚C
IT

"공식 앱마켓도 안심 못한다"…빗썸, '가짜 거래 앱 사기 예방 가이드' 공개

기자정보, 기사등록일
선재관 기자
2026-07-13 09:05:15

정상 앱처럼 위장한 뒤 악성 기능 삽입…시드 구문·개인정보 탈취  

해외선 사진 속 복구문구까지 자동 탐색…설치 출처·권한 확인 필수

빗썸 7월 정보보호 캠페인 가짜 거래 앱 사기 예방 가이드 공개
빗썸, 7월 정보보호 캠페인 '가짜 거래 앱 사기 예방 가이드' 공개.

[경제일보] 공식 앱마켓에 등록된 애플리케이션이라고 모두 안전한 것은 아니다. 처음에는 정상 앱처럼 작동하다가 업데이트를 통해 악성 기능을 추가하거나 유명 가상자산 지갑의 이름과 디자인을 그대로 복제하는 수법이 확산하고 있다.

빗썸은 7월 정보보호 캠페인의 하나로 ‘가짜 거래 앱 사기 예방 가이드’를 공개했다고 13일 밝혔다. 빗썸은 매월 둘째 주 수요일을 정보보호의 날로 지정해 고객과 임직원을 대상으로 보안 캠페인을 진행하고 있다.

이번 캠페인의 배경에는 가상자산 탈취 수법의 변화가 있다. 과거에는 문자나 메신저로 비공식 설치파일을 보내는 방식이 주로 활용됐지만 최근에는 정상적인 서비스로 위장해 앱마켓 심사를 통과한 뒤 조작된 리뷰와 단계적 업데이트로 악성 기능을 숨기는 사례가 나타나고 있다.

가상자산은 비밀번호와 지갑 복구용 시드 구문이 유출되면 범죄자가 다른 기기에서 지갑을 복원해 자산을 즉시 옮길 수 있다. 블록체인 거래는 한번 실행되면 취소가 어려워 설치 단계에서 피해를 차단하는 것이 중요하다.

◆ 해외선 사진 속 시드 구문까지 찾아 탈취

해외에서도 공식 앱마켓을 악용한 공격이 확인됐다. 보안업체 카스퍼스키는 2025년 구글 플레이와 애플 앱스토어에 침투한 악성코드 ‘스파크캣’을 발견했다. 감염된 구글 플레이 앱은 24만2000회 이상 내려받아진 것으로 조사됐다.

스파크캣은 광학문자인식(OCR) 기술로 스마트폰 사진첩을 분석해 지갑 복구문구가 담긴 사진을 찾아 외부 서버로 전송했다. 영어뿐 아니라 한국어와 중국어, 일본어 등 여러 언어의 ‘복구’, ‘단어’, ‘문구’와 같은 표현을 탐색하도록 설계됐다. 앱스토어에서 OCR 기반 가상자산 탈취 악성코드가 발견된 첫 사례로 평가됐다.

최근에는 메타마스크와 코인베이스, 트러스트월렛, 렛저 등 유명 지갑을 사칭해 이용자가 시드 구문을 직접 입력하도록 유도하는 가짜 앱도 적발됐다. 미국 연방수사국(FBI)은 가짜 투자 앱이 초기에는 정상적인 수익과 출금을 보여주며 신뢰를 쌓은 뒤 추가 입금을 유도하거나 출금을 차단하는 방식도 경고하고 있다.

◆ 공식 링크·개발사·요구 권한 ‘3단계 확인’

빗썸은 피해를 막기 위한 3대 원칙으로 △검색 결과나 광고 대신 공식 홈페이지의 링크·QR코드를 이용할 것 △앱 개발사명이 공식 회사명과 일치하는지 확인할 것 △서비스와 무관한 연락처·문자·통화 권한을 요구하는지 살필 것을 제시했다.

다운로드 수가 적은데 짧은 칭찬형 리뷰만 집중돼 있거나 설치 후 배터리와 데이터 사용량이 갑자기 증가하는 경우도 감염을 의심해야 한다. 시드 구문은 스마트폰 사진첩이나 메모장에 저장하지 않고 오프라인에서 별도로 보관하는 것이 안전하다.

이미 의심스러운 앱을 실행했다면 와이파이와 모바일 데이터를 즉시 끊고 안전한 다른 기기에서 빗썸 비밀번호와 2차 인증을 변경해야 한다. API 키와 출금 주소 화이트리스트도 점검해야 한다. 이상 거래가 발견되면 빗썸 투자자보호센터에 계정 동결을 요청하고 감염 단말기는 정밀검사 또는 초기화를 진행해야 한다.

아울러 감염된 단말기는 백신 프로그램 정밀 검사나 기기 초기화(포맷)를 진행하고, 피해 유형에 따라 △해킹·악성코드는 한국인터넷진흥원(KISA) 118상담센터(118) △사이버 사기 및 보이스피싱은 경찰청(112·182) △금융 관련 사기는 금융감독원(1332)에 신고해 도움을 요청할 수 있다.

이번 캠페인은 거래소 보안의 범위가 내부 시스템을 넘어 이용자 단말기까지 확대되고 있음을 보여준다. 거래소가 자체 방어망을 강화해도 이용자가 가짜 앱에 인증정보를 넘기면 자산을 지키기 어렵기 때문이다. 

빗썸 관계자는 “가짜 앱 사기는 공식 마켓의 신뢰도를 역이용할 만큼 교묘해지고 있다”며 “설치 전 공식 출처와 개발사명을 확인하는 작은 습관이 자산을 지키는 가장 확실한 방패”라고 말했다.


0개의 댓글
0 / 300
댓글 더보기
댓글을 삭제 하시겠습니까?
닫기
로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?
닫기
기사 이미지 확대 보기
닫기