시드 구문·2단계 인증·API 키 점검 등 3대 보안 원칙 제시
[메가경제=박선영 기자] 가상자산 거래소를 사칭한 가짜 애플리케이션(앱) 사기가 갈수록 교묘해지는 가운데 빗썸이 이용자들을 위한 보안 가이드를 공개했다. 특히 공식 앱마켓에 등록된 정상 앱을 모방하거나 업데이트를 통해 악성 기능을 추가하는 사례가 늘고 있는 만큼, 앱 설치 단계부터 각별한 주의가 필요하다고 당부했다.
빗썸은 7월 정보보호 캠페인의 일환으로 '가짜 거래 앱 사기' 예방 가이드를 공개했다고 13일 밝혔다. 빗썸은 매월 둘째 주 수요일을 '정보보호의 날'로 지정하고 고객과 임직원을 대상으로 정기적인 보안 캠페인을 진행하고 있다.
![]() |
| ▲ [이미지=빗썸 제공 |
최근 가짜 앱은 공식 앱마켓에 등록된 정상 앱의 이름과 디자인을 거의 동일하게 복제하는 데 그치지 않는다.
초기에는 정상 앱처럼 작동하며 조작된 리뷰로 신뢰도를 높인 뒤, 이후 업데이트를 통해 악성 기능을 추가하는 방식으로 앱마켓 심사까지 우회하는 사례가 등장하는 등 수법이 점차 고도화되고 있다. 공식 앱마켓에 등록됐다는 이유만으로 안전하다고 단정하기 어려운 만큼 개발사 정보와 공식 배포 경로를 함께 확인하는 습관이 중요하다고 빗썸은 설명했다.
최근에는 문자메시지나 메신저, 검색 광고 등을 통해 가짜 거래 앱 설치를 유도하는 사례도 이어지고 있다. 이용자가 공식 앱으로 오인해 설치할 경우 개인정보와 계정 정보가 탈취될 수 있어 출처가 불분명한 링크는 실행하지 않는 것이 중요하다.
가상자산은 거래가 완료되면 거래를 되돌리기 어려운 특성이 있어 계정 정보나 지갑 복구 정보가 유출될 경우 피해 회복이 쉽지 않다. 이에 따라 앱 설치 단계부터 공식 출처를 확인하고 개인정보와 인증 정보를 철저히 관리하는 것이 무엇보다 중요하다고 빗썸은 강조했다.
빗썸은 대표적인 피해 사례도 공개했다. 해외 가상자산 거래 앱과 유사한 가짜 앱 설치를 유도한 뒤 지갑 복구용 시드 구문을 입력하도록 해 가상자산을 탈취하는 수법이 대표적이다.
시드 구문은 가상자산 지갑을 복구할 수 있는 고유 복구 문구로, 한 번 노출되면 제3자가 지갑을 복원해 자산을 탈취할 수 있어 어떠한 경우에도 타인과 공유해서는 안 된다. 또한 거래소나 금융회사가 고객에게 시드 구문의 입력이나 공유를 요구하는 경우는 없으므로 이를 요구받으면 사기를 의심해야 한다.
이와 함께 국내 공공기관 공식 앱을 거의 동일하게 복제해 설치를 유도한 뒤 접근 권한을 요구하고, 이를 통해 통화·문자 내역 등 개인정보를 탈취하거나 단말기를 원격 조작한 해외 범죄 조직의 사례도 함께 소개했다.
빗썸은 이 같은 피해를 예방하기 위한 '3대 보안 원칙'도 제시했다. 앱은 검색창이나 광고가 아닌 공식 홈페이지에 안내된 링크나 QR코드를 통해서만 설치하고, 개발사명이 공식 회사명과 일치하는지 반드시 확인해야 한다.
짧은 칭찬 일색의 리뷰는 조작 여부를 의심할 필요가 있으며, 거래와 무관한 연락처·문자·통화 권한을 요구하거나 설치 후 배터리와 데이터 사용량이 급증하는 경우 악성 앱 감염 가능성을 점검해야 한다고 설명했다.
이미 가짜 앱을 설치했거나 실행했다면 즉시 와이파이(Wi-Fi)와 모바일 데이터를 포함한 모든 네트워크 연결을 차단한 뒤 안전한 다른 기기를 이용해 계정을 보호해야 한다. 우선 빗썸 비밀번호를 변경하고 2단계 인증(2FA)을 다시 설정해야 한다. 2단계 인증은 비밀번호 외에 추가 인증 수단을 요구하는 보안 기능으로, 계정 탈취를 막는 데 도움이 된다.
또 응용프로그램 인터페이스(API) 키를 삭제하고 출금 주소 화이트리스트도 점검해야 한다. API 키는 외부 프로그램이 거래 계정에 접근할 수 있도록 발급하는 인증 정보로, 불필요하거나 의심스러운 키는 즉시 삭제하는 것이 바람직하다.
계정에서 이상 거래가 확인될 경우에는 즉시 빗썸 투자자보호센터(1661-5566)에 연락해 계정을 동결하고 추가 피해를 막아야 한다. 감염된 단말기는 백신 프로그램으로 정밀 검사를 실시하거나 기기를 초기화(포맷)하는 것이 권장된다.
피해 유형에 따라 해킹과 악성코드는 한국인터넷진흥원(KISA) 118상담센터(118), 사이버 사기와 보이스피싱은 경찰청(112·182), 금융 관련 사기는 금융감독원(1332)에 신고해 도움을 받을 수 있다.
빗썸 관계자는 "가짜 앱 사기는 공식 앱마켓의 신뢰도를 악용할 만큼 수법이 갈수록 교묘해지고 있다"며 "설치 전 공식 출처와 개발사명을 꼼꼼히 확인하는 작은 습관이 소중한 자산을 지키는 가장 효과적인 방법"이라고 말했다.
[ⓒ 메가경제. 무단전재-재배포 금지]









