암호화폐 투자에 대한 관심이 전 세계적으로 증가하고 있다. 이에 많은 사기꾼들이 가짜 앱들을 만들어 배포하기 시작했다. 이번에는 더 나은 채굴을 약속하는 앱 170여 개가 발견됐다. 투자만큼 앱 설치도 조심히 진행해야 할 때다.

[보안뉴스 문가용 기자] 보안 업체 룩아웃(Lookout)이 가짜 안드로이드 애플리케이션 170개를 적발해 발표했다. 암호화폐 투자자들을 현혹시키기 위해 만들어진 앱들로, 25개는 구글 플레이 스토어에서도 유통되고 있었다고 한다. 구글은 이 25개 앱을 재빨리 스토어에서 삭제했다.


[이미지 = utoimage]

그러나 현재 이 사기 앱들은 서드파티 스토어 등을 통해 여전히 빠르게 퍼져가는 중이라고 한다. 적은 사용료만 내면 클라우드를 기반으로 채굴을 할 수 있다거나, 더 나은 금액으로 암호화폐를 교환해 준다거나 하는 약속들로 사용자들을 현혹시키고 있으며, 여기에 속아 앱을 설치한 피해자가 최소 수만 명에 달할 것으로 추정되고 있다.

당연히 약속된 기능은 전혀 실행되지 않는다. 룩아웃이 분석했을 때 많은 앱들이 실제 채굴은 전혀 하지 않은 채, 허위 채굴량을 화면에 노출시키고 있다는 것을 알 수 있었다고 한다. 그렇기 때문에 사용자들은 정확한 상황을 파악하기가 힘들었다.

룩아웃은 이 사기 앱들을 크게 두 가지 유형으로 분류하고 있다. 그리고 이를 각각 빗스캠(BitScam)과 클라우드스캠(CloudScam)으로 부른다. 하지만 수익 모델과 코딩 방식, 앱 설계라는 측면에 있어서는 두 유형 모두가 비슷하다고 한다.

“결국 이 앱들의 배후에 있는 공격자들의 목표는 ‘정상적인 지불 프로세스로 부당한 수익을 거둔다’는 것”이라고 룩아웃은 설명한다. “허위의 기능을 약속함으로써 사용자들이 돈을 정상적으로 지불하도록 꾄다는 겁니다. 거짓말로 돈을 빼앗는 것이죠.”

그렇기 때문에 빗스캠과 클라우드스캠 앱들은 대부분 ‘유료 앱’이다. 빗스캠 앱은 비트코인과 이더리움을 통한 지불도 허용한다는 차이가 있다. 클라우드스캠 앱들은 일반적인 화폐로만 거래가 가능하다. 이러한 사기술에 당한 사용자들, 그 중에서도 공격자들에게 돈을 지불하기까지 한 사용자들은 최소 9만 3천 명으로 보인다. 이들이 낸 돈은 전부 35만 달러로 추정되고 있다.

현재 암호화폐에 대한 관심은 전 세계적으로 끓어오르고 있다. 암호화폐의 가치 역시 꾸준히 높아지고 있으며, 따라서 상대적으로 쉽게 돈을 벌 수 있다는 기대감들이 투자자들 사이에 존재하고 있다. 당연히 이런 암호화폐 투자 행위를 돕는 앱들이 여럿 존재한다. 이번에 적발된 170개 앱들은 이런 상황에서 손쉽게 사용자들을 속여 온 것으로 보인다.

룩아웃은 “앱을 유료로 구매하고 로그인을 하면 화면에 채굴 현황이 나타난다”며 “이를 통해 ‘현재 채굴(혹은 거래)로 번 돈’을 직관적으로 확인할 수 있게 해 주는 것이 주요하게 작용한 것으로 보인다”고 자사 블로그를 통해 설명했다. “직관적으로 욕망을 건드린 것뿐인데, 사용자들은 이것을 ‘객관적 채굴 현황’으로 받아들인 것이죠. 모든 피싱 공격과 일맥상통한 전략입니다.”

그러면서 룩아웃은 암호화폐 앱을 설치할 때 다음과 같은 점을 확인하라고 권고했다.
1) 앱 개발사를 확인하라. 과거 만들었던 앱들이 무엇인지 살피고, 공식 웹사이트를 접속해 보는 것이 도움이 된다.
2) 공식 스토어에서 유통되는 앱들만 설치하라. 서드파티 앱 스토어를 이용할 경우 리스크가 커진다.
3) 앱 개발사가 제공하는 이용 약관을 꼼꼼하게 읽어본다.
4) 전에 앱을 설치한 사용자들의 리뷰를 읽어본다.
5) 앱이 요구하는 권한이 정말 다 필요한 것인지, 아니면 과도한지를 확인한다.

3줄 요약
1. 170여 개 안드로이드 앱, 암호화폐 관련 사기 앱임이 드러남.
2. 25개는 심지어 공식 안드로이드 플레이 스토어에서 유통되고 있었음.
3. 주로 가짜 수익 현황 보여주면서 사용자의 설치와 업그레이드를 유도하는 유료 앱들이었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>