빗썸이 최근 증가하고 있는 '가짜 거래 앱' 사기 피해를 막기 위해 예방 수칙과 대응 요령을 담은 정보보호 가이드를 공개했다.
제공=빗썸
빗썸은 7월 정보보호 캠페인의 일환으로 '가짜 거래 앱 사기 예방 가이드'를 배포했다고 밝혔다. 회사는 매월 둘째 주 수요일을 '정보보호의 날'로 지정해 고객과 임직원을 대상으로 정기적인 보안 캠페인을 운영하고 있다.
빗썸에 따르면 최근 가짜 거래 앱은 공식 앱 마켓에 등록된 정상 애플리케이션의 이름과 디자인을 그대로 모방하는 수준을 넘어, 초기에는 정상 앱처럼 작동한 뒤 업데이트를 통해 악성 기능을 추가하는 방식으로 진화하고 있다. 또한 조작된 이용 후기와 평점을 활용해 신뢰를 얻고, 앱 마켓의 심사까지 우회하는 사례도 늘고 있다는 설명이다.
빗썸은 실제 발생한 대표적인 피해 사례도 함께 소개했다. 해외 가상자산 거래 서비스와 유사한 가짜 앱 설치를 유도한 뒤 지갑 복구용 시드 문구(Seed Phrase)를 입력하도록 해 보유한 가상자산을 탈취하는 방식이 대표적이다.
또한 국내 공공기관의 공식 앱과 거의 동일한 형태의 가짜 앱을 배포해 이용자의 설치를 유도한 뒤 과도한 접근 권한을 요구하고, 이를 통해 통화 기록과 문자메시지 등 개인정보를 빼내거나 스마트폰을 원격으로 제어한 해외 범죄 조직 사례도 공유했다.
빗썸은 이러한 피해를 예방하기 위해 이용자들에게 '3대 보안 원칙'을 실천해 줄 것을 당부했다.
우선 앱은 검색 결과나 온라인 광고를 통해 설치하기보다 공식 홈페이지에서 제공하는 링크나 QR코드를 이용해야 한다. 또한 설치 전 개발사명이 공식 회사명과 일치하는지 확인하고, 짧은 칭찬 위주의 후기만 반복되는 경우에는 조작된 리뷰일 가능성을 의심해야 한다고 설명했다.
아울러 거래와 무관한 연락처, 문자, 통화 등의 접근 권한을 요구하거나 설치 이후 배터리 소모와 데이터 사용량이 갑자기 증가한다면 악성 앱 감염 여부를 확인해야 한다고 덧붙였다.
이미 가짜 앱을 설치하거나 실행했다면 즉시 와이파이와 모바일 데이터를 포함한 모든 네트워크 연결을 차단해 추가 정보 유출과 원격 제어 가능성을 막는 것이 우선이다.
이후 다른 안전한 기기를 이용해 빗썸 계정 비밀번호를 변경하고, 2단계 인증(2FA)을 다시 설정하는 한편 API 키 삭제와 출금 주소 화이트리스트를 점검하는 등 계정 보호 조치를 해야 한다. 계정에서 이상 거래가 확인될 경우에는 빗썸 투자자보호센터에 연락해 계정을 즉시 동결하는 것이 권장된다.
감염된 스마트폰은 백신 프로그램으로 정밀 검사를 실시하거나 초기화(포맷)해야 하며, 피해 유형에 따라 한국인터넷진흥원(KISA) 상담센터, 경찰청, 금융감독원 등에 신고해 도움을 받을 수 있다.
빗썸 관계자는 "가짜 앱 사기는 공식 앱 마켓에 대한 이용자들의 신뢰를 악용할 정도로 수법이 갈수록 정교해지고 있다"며 "앱 설치 전 공식 출처와 개발사명을 한 번 더 확인하는 습관이 소중한 자산을 지키는 가장 효과적인 예방법"이라고 말했다.
Copyright ⓒ 경향게임스 무단 전재 및 재배포 금지