아이폰을 켜고 암호화폐 포트폴리오를 확인하려 합니다. 모든 것이 정상적으로 보입니다. 그런데, 펑! 당신의 디지털 자산은? 사라졌습니다. 이건 공상 과학 소설이 아니라, 애플의 앱스토어에서 벌어진 정교한 사기에 넘어간 사용자들에게 닥친 냉혹한 현실입니다. 보안 업체 카스퍼스키가 폭탄 선언을 했습니다. 무려 26개의 가짜 암호화폐 지갑 애플리케이션을 유포했는데, 이들은 모두 보안이 철저하다는 플랫폼에 정상적인 도구인 척 위장했습니다. 그리고 네, 사람들을 속일 만큼 꽤나 그럴듯했습니다. 정말로요.
작년 말부터 조용히 추적되어 온 이 작전은 SparkKitty 멀웨어 계열의 배후와 연관이 있는 것으로 보입니다. 이들은 아마추어 범죄자들이 아닙니다. 메타마스크, 레저, 트러스트 월렛 등 인기 있는 디지털 자산 관리 앱을 아이콘과 명명 규칙까지 완벽하게 복제했습니다. 중국 iOS 사용자들, 즉 이 합법적인 지갑들이 현지 스토어에 아예 없는 경우가 많았기 때문에, 이는 특히 악랄한 함정이었습니다. 물론 위험은 전 세계적이었습니다.
처음에는 이 가짜 앱들이 아무렇지도 않아 보였습니다. 종종 기본적인 유틸리티와 함께 제공되었죠. 계산기, 할 일 목록, 아니면 작은 게임 같은 것들 말입니다. 정상적인 유틸리티 앱처럼 보이게 할 만큼만요. 진짜 문제는 앱을 실행한 후에 시작되었습니다. 암호화폐를 보여주는 대신, 애플 앱스토어와 똑같이 생긴 피싱 사이트로 안내했습니다. 여기서부터 영리해졌습니다. 이 가짜 페이지들은 장치에 기업 개발자 프로필을 추가하여 ‘공식 업데이트’를 설치해야 한다고 안내했습니다. 이 작은 속임수, 즉 알려진 SparkKitty 전술은 일반적인 iOS 보안 조치를 우회하고 실제 멀웨어를 전달했습니다.
그리고 멀웨어는? 마치 외과 수술처럼 정교했습니다. ‘핫’ 지갑, 즉 개인 키가 휴대폰에 있는 지갑의 경우, 설정이나 복구 과정에서 시드 구문(seed phrase)을 입력하는 순간 조용히 낚아챘습니다. ‘콜드’ 지갑, 즉 오프라인 하드웨어를 사용하기 때문에 더 안전하다고 여겨지는 지갑의 경우, 가짜 앱들은 아예 복구 구문을 요구했습니다. 잘 들으세요. 어떤 합법적인 지갑 소프트웨어도 인터넷을 통해 시드 구문을 요구하지 않습니다. 그게 황금률입니다. 일단 그 구문들을 확보하면, 당신의 자산은 거의 사라진 것이나 마찬가지입니다. 되돌릴 수 없는 접근. 완전한 탈취. 거의 잔혹할 정도로 우아하기까지 합니다.
당연히 카스퍼스키는 이 사실을 애플에 알렸고, 현재 26개 앱 모두 삭제되었습니다. 하지만 피해는 이미 발생했고, 메시지는 명확합니다. 심지어 앱스토어조차도 이런 종류의 정교한 사회 공학 공격에 면역이 아니라는 것입니다. 모바일 멀웨어 전문가인 세르게이 푸잔은 매우 시사하는 바가 큰 점을 지적했습니다. 범죄자들이 iOS 사용자를 겨냥하기 위해 개발자 계정을 기꺼이 구매하고 있다는 것입니다. 이것은 이 분야에서 인식되는 가치와 위험 감수 수준을 말해줍니다. 모바일 암호화폐 관리는 여전히 지속적인 위험을 안고 있는 것 같습니다.
사용자는 예상치 못한 모든 프롬프트나 링크에 의심을 품고 대해야 합니다.
훌륭한 조언이지만, 저는 덧붙이고 싶습니다. 특히 암호화폐와 관련된 모든 것에 대해서는 말입니다. 카스퍼스키의 권장 사항은 꽤 표준적이지만, 필수적입니다. 절대적으로 신뢰하는 출처가 아니라면 인앱 리디렉션을 따르지 말고, 실제 고용주가 지시하지 않는 한 기업 개발자 프로필을 절대 설치하지 마세요. 복구 구문은 당신의 왕국으로 가는 열쇠입니다. 제조사로부터 직접 받은 공식 하드웨어 장치에서만 입력해야 합니다. 그리고 디지털의 모든 것을 사랑하는 당신을 위해, 항상, 항상 게시자 이름을 지갑의 공식 웹사이트와 대조하여 확인하세요. 그 작은 추가적인 실사가 당신을 수많은 재정적 고통으로부터 구해줄 수 있습니다.
이번 사건은 암호화폐가 더욱 대중화됨에 따라 악당들이 더욱 창의적으로 변하고 있다는 또 다른 경고입니다. 그들은 더 이상 가짜 거래소를 만드는 것에 그치지 않고, 우리가 디지털 자산에 접근하기 위해 신뢰하는 플랫폼 자체를 침투하고 있습니다. 카스퍼스키가 올바르게 지적했듯이, 경계심은 여전히 가장 효과적인 방패입니다. 하지만 솔직히 말해서, 이러한 사기가 이렇게 세련되어 보이고 애플의 필터를 통과한다면, 얼마나 많은 경계심이 충분할까요? 누가 여기서 실제로 돈을 벌고 있을까요? 확실히 생계를 잃은 사용자들은 아닙니다. 스캠하는 사람들이고, 아마도 그 수상한 개발자 계정을 구매한 범죄자들일 것입니다.
새로운 유형의 공격인가?
전부는 아닙니다. 핵심 메커니즘, 즉 사칭, 피싱, 기업 프로필을 이용한 사이드로드 등은 특히 SparkKitty 계열에서 이전에 본 적이 있습니다. 주목할 만한 점은 작전의 규모(26개 앱)와 일반적으로 안드로이드보다 안전하다고 여겨지는 플랫폼인 애플의 공식 앱스토어에 성공적으로 침투했다는 점입니다. 이는 공식 마켓플레이스에 대한 사용자 신뢰를 악용하기 위해 기존 전술을 정교하게 다듬었음을 보여줍니다.
이 앱들은 왜 그렇게 오랫동안 스토어에 남아 있었나?
앱스토어 보안에 대해 많은 사람들이 던졌던 질문입니다. 공격자들은 처음에는 무해해 보이는 앱을 만들었다가 특정 시점이나 조건에서 악성 기능을 활성화하는 전략을 사용했을 가능성이 높습니다. 이것이 자동 탐지 시스템과 초기 수동 검토를 피하는 데 도움이 되었을 수 있습니다. 실제 페이로드 전달을 위해 기업 프로필에 의존한 것도 표준 앱 검토 프로세스를 초기에 우회했을 수 있는 복잡성을 더합니다.
애플 앱스토어 보안에 대한 시사점은 무엇인가?
간단히 말해, 애플에게는 오점입니다. 애플 앱스토어는 오랫동안 프리미엄의 안전한 생태계로 자리매김해 왔습니다. 이러한 사건들은 그러한 인식을 갉아먹습니다. 애플이 알림을 받고 앱을 제거하긴 했지만, 애초에 다운로드할 수 있었다는 사실은 특정 유형의 애플리케이션, 특히 즉각적인 피해가 덜 명확한 앱에 대한 검토 프로세스의 효과성과 깊이에 대한 의문을 제기합니다. 이는 공격자들이 시스템을 악용하는 새로운 방법을 찾는 끊임없는 고양이와 쥐 게임을 시사합니다.
결론
이것은 새로운 기술에 관한 것이 아니라, 많은 사람들이 뚫을 수 없다고 생각했던 플랫폼에서 전문적인 세련됨으로 실행된 오래된 속임수에 관한 것입니다. 암호화폐 사용자들에게는 로고에 대한 신뢰만으로는 충분하지 않다는 것을 냉혹하게 상기시켜 줍니다. 조사를 하고, 확인하고, 절대 시드 구문을 넘겨주지 말아야 합니다. 디지털 자산이 그것에 달려 있습니다.
“사용자는 예상치 못한 모든 프롬프트나 링크에 의심을 품고 대해야 합니다.” - 세르게이 푸잔, 모바일 멀웨어 전문가
주요 시사점
- 26개의 가짜 앱: 연구원들이 애플 앱스토어에서 26개의 위조 암호화폐 지갑 애플리케이션을 발견했습니다.
- 피싱 및 사이드로드: 앱은 사용자들을 피싱 사이트로 리디렉션하고 기업 개발자 프로필을 사용하여 악성 트로이 목마를 설치했습니다.
- 시드 구문 도난: 멀웨어는 핫 및 콜드 암호화폐 지갑 모두에서 개인 키와 시드 구문을 훔치도록 설계되었습니다.
- 애플 통보: 카스퍼스키가 문제를 보고했고, 이에 따라 애플이 모든 사기 앱을 제거했습니다.
- 지속적인 위험: 이번 사건은 모바일 암호화폐 관리의 지속적인 위험과 사용자 경계의 필요성을 강조합니다.
