빗썸, '가짜 거래 앱 사기' 주의보…공식 링크로만 설치해야

빗썸
빗썸

빗썸이 7월 정보보호 캠페인의 일환으로 '가짜 거래 앱 사기' 예방 가이드를 공개했다고 13일 밝혔다.

빗썸은 매월 둘째 주 수요일을 '정보보호의 날'로 지정하고 고객과 임직원을 대상으로 정기적인 보안 캠페인을 진행하고 있다.

최근 가짜 앱 사기는 공식 앱 마켓에 등록된 정상 애플리케이션의 이름과 디자인을 유사하게 복제하는 것을 넘어 점차 교묘해지고 있다. 처음에는 정상 앱처럼 작동하고 조작된 리뷰를 통해 신뢰도를 높인 뒤, 업데이트 과정에서 악성 기능을 삽입해 앱 마켓 심사를 우회하는 방식이다.

대표적으로 해외 가상자산 앱을 모방한 가짜 앱을 설치하도록 유도한 뒤 지갑 복구용 시드 구문을 요구해 가상자산을 탈취하는 사례가 발생하고 있다. 국내 공공기관 공식 앱을 복제한 후 연락처·문자·통화 권한을 확보해 개인정보를 빼내거나 단말기를 원격 조작하는 해외 범죄 조직의 수법도 확인됐다.

빗썸은 피해 예방을 위한 '3대 보안 원칙'도 제시했다. 앱은 검색창이나 광고를 통해 내려받지 말고 공식 홈페이지에 안내된 링크나 QR코드로만 설치해야 한다. 개발사명이 공식 회사명과 일치하는지도 확인하고, 짧은 칭찬 위주로 작성된 리뷰는 조작 가능성을 의심해야 한다.

거래와 무관한 연락처·문자·통화 권한을 요구하거나 앱 설치 이후 배터리와 데이터 사용량이 갑자기 늘어난 경우에도 악성 앱 감염 여부를 점검해야 한다.

이미 가짜 앱을 설치하거나 실행했다면 추가 정보 유출과 원격 제어를 막기 위해 와이파이와 모바일 데이터를 포함한 네트워크 연결을 즉시 해제해야 한다.

이후 안전한 다른 기기를 이용해 빗썸 비밀번호와 2차 인증을 재설정하고, API 키 삭제와 출금 주소 화이트리스트 점검 등 계정 보호 조치를 해야 한다. 이상 거래가 확인되면 빗썸 투자자보호센터에 연락해 계정을 동결할 수 있다.

감염된 단말기는 백신 프로그램으로 정밀 검사하거나 초기화해야 한다. 해킹·악성코드는 한국인터넷진흥원 118상담센터, 사이버 사기와 보이스피싱은 경찰청, 금융 관련 사기는 금융감독원에 신고할 수 있다.

빗썸 관계자는 “가짜 앱 사기는 공식 마켓의 신뢰도를 역이용할 만큼 교묘해지고 있다”며 “설치 전 공식 출처와 개발사명을 꼼꼼히 확인하는 작은 습관이 소중한 자산을 지키는 가장 확실한 방패가 될 것”이라고 강조했다.

송혜영 기자 hybrid@etnews.com