정상 앱 위장·악성 업데이트 수법 확산…공식 출처 확인 등 3대 보안 원칙 제시

빗썸이 7월 정보보호 캠페인의 일환으로 ‘가짜 거래 앱 사기 예방 가이드’를 공개했다고 13일 밝혔다.
빗썸은 매월 둘째 주 수요일을 ‘정보보호의 날’로 지정하고 고객과 임직원을 대상으로 정기적인 보안 캠페인을 진행하고 있다.
최근 가짜 앱 사기는 정상 앱의 이름과 디자인을 복제하는 수준을 넘어, 초기에는 정상적으로 작동하다가 업데이트를 통해 악성 기능을 삽입하는 방식으로 진화하고 있다. 조작된 리뷰를 활용해 신뢰도를 높이거나 공식 앱 마켓의 심사를 우회하는 사례도 나타나고 있다.
빗썸은 대표적인 피해 사례로 해외 가상자산 앱과 유사한 가짜 앱을 설치하도록 유도한 뒤 지갑 복구용 시드 구문을 탈취하는 수법을 소개했다. 국내 공공기관 앱을 복제해 통화·문자 내역 등 개인정보를 빼내거나 단말기를 원격 조작한 해외 범죄 조직의 사례도 함께 안내했다.
빗썸은 피해 예방을 위해 앱을 검색창이나 광고가 아닌 공식 홈페이지의 링크 또는 QR코드를 통해 설치해야 한다고 당부했다. 개발사명이 공식 회사명과 일치하는지 확인하고, 짧은 칭찬 위주의 리뷰가 반복될 경우 조작 가능성을 의심해야 한다고 설명했다.
거래와 무관한 연락처·문자·통화 권한을 요구하거나 앱 설치 후 배터리와 데이터 사용량이 급증할 경우에도 악성 앱 감염 여부를 확인해야 한다.
이미 가짜 앱을 설치하거나 실행했다면 Wi-Fi와 모바일 데이터를 포함한 네트워크 연결을 즉시 해제해야 한다. 이후 안전한 다른 기기를 이용해 빗썸 비밀번호를 변경하고 2차 인증을 재설정해야 한다. API 키 삭제와 출금 주소 화이트리스트 점검 등 계정 보호 조치도 필요하다.
계정에서 이상 거래가 확인될 경우 빗썸 투자자보호센터에 연락해 계정을 동결해야 한다. 감염된 단말기는 백신 프로그램을 통한 정밀 검사나 초기화를 진행해야 한다.
빗썸 관계자는 “가짜 앱 사기는 공식 마켓의 신뢰도를 역이용할 만큼 교묘해지고 있다”며 “설치 전 공식 출처와 개발사명을 확인하는 습관이 자산을 지키는 방패가 될 것”이라고 말했다.
관련 뉴스