🛡️ 스마트폰 크립토 사기 예방법 Avoid Mobile Scams

앱스토어 검색 결과 맨 위를 그냥 믿지 말고, 해당 서비스의 공식 웹사이트에 들어가서 다운로드 링크를 눌러요. 거래소와 지갑 앱을 사칭한 가짜 앱이 스토어에 올라와 로그인 정보나 시드 구문을 훔치거든요. 실제로 2018년에 어느 거래소 앱 공식 출시 전에 가짜 복사본이 Google Play에 등록된 사례도 있었어요.

설치 전에 개발사 이름, 다운로드 수, 리뷰를 꼭 확인하세요. 사기 피해 신고 리뷰가 잔뜩 달린 것도 문제지만, 수상할 정도로 별 5개 리뷰만 빽빽한 것도 의심해야 해요.

APK 파일을 직접 받아 설치(사이드로딩)하거나 비공식 앱을 쓰면 절대 안 돼요. 클립보드 주소를 몰래 바꾸는 악성코드가 이렇게 들어와요.

이중 인증(2FA)은 꼭 켜되, 종류를 잘 골라야 해요. 인증 앱(Google Authenticator, Authy, Aegis)은 코드를 내 기기 안에 보관해요. 하드웨어 키(YubiKey, Google Titan)는 한 발 더 나가서 실제 사이트인지까지 검증해줘요.

문자(SMS) 인증코드는 피하세요. 오래된 통신망을 타고 전달되기 때문에 SIM 스왑으로 가로챌 수 있어요. 이건 다음 단계에서 다뤄요.

SIM 스왑은 공격자가 통신사에 전화해 내 번호를 자기 유심으로 옮기는 수법이에요. 그러면 내 앞으로 오는 인증코드가 상대방 폰으로 날아가죠. 대부분의 경우 기술적 해킹이 아니라 소셜 엔지니어링으로 통신사 직원을 속여요. 통신사에 전화해서 번호 이동 잠금 PIN(포트아웃 PIN)을 설정하거나, 번호 관련 변경은 반드시 대면으로만 처리하도록 요청해두세요.

시드 구문은 지갑의 마스터 백업이에요. 진짜 지갑은 처음 설정할 때 딱 한 번만 보여주고 이후엔 절대 다시 묻지 않아요. 나중에 "인증," "동기화," "마이그레이션" 화면이 나타나 시드 구문을 입력하라고 하면 그건 무조건 도난 시도예요.

시드 구문은 종이에 적어 오프라인으로 보관하세요. 금액이 큰 경우라면 하드웨어 지갑을 써서 키를 폰 밖에 두는 게 더 안전해요.

송금 전엔 수신 주소 전체를 읽으세요, 앞뒤 몇 자리만 봐선 안 돼요. 이걸 노리는 공격이 두 가지 있어요: 클립보드 악성코드가 복사한 주소를 조용히 바꾸는 것, 그리고 주소 오염(address poisoning)은 거래 내역에 비슷하게 생긴 가짜 주소를 심어두고 재사용하길 기다리는 수법이에요.

처음 보내는 주소라면? 소액을 먼저 보내고 도착을 확인한 뒤에 나머지를 보내세요.

앱이 무언가에 서명하거나 승인하라고 할 때, 내용을 먼저 읽으세요. 드레이너(drainer)는 내 토큰 사용 권한을 승인하게 만들어서 자산을 가져가요. 예상치 못한 '승인' 또는 토큰 허용량(token allowance) 요청은 거절하세요. 그리고 주기적으로 지갑의 승인 목록을 열어 더 이상 쓰지 않는 항목은 철회(revoke)하세요.

운영체제와 앱을 항상 최신 상태로 유지하세요. 업데이트가 공격자들이 쓰는 취약점을 막아주거든요. 폰이 갑자기 뜨거워지거나 배터리가 빠르게 닳는다면, 어떤 앱이 백그라운드에서 몰래 채굴하고 있을 수 있어요. 범인을 찾아 삭제하세요.

개방된 공공 WiFi는 오가는 데이터가 노출될 수 있어서, 거래소 로그인이나 송금은 절대 하면 안 돼요. 모바일 데이터나 신뢰할 수 있는 VPN을 이용하세요.