사칭 문자와 사칭 전화보다 더 위험한 사칭 앱 – 설치만 해도 털리는 정보와 사이버 보안

설치만 해도 끝? 사칭 앱의 실체, 이제는 누가 털리는지도 모른다

“출처는 정부였습니다. 이름도 똑같았고요. 앱 아이콘도요.”
피해자 A씨는 2025년 3월, ‘정부 긴급재난지원금 신청’이라는 알림 문자를 받고 앱을 설치했다.
그러나 앱을 설치한 직후부터 휴대폰의 배터리가 급속도로 소모됐고,
며칠 후 본인의 계좌에서 정체불명의 해외 결제가 발생한 것을 발견했다.

사칭 문자는 과거부터 있었지만,
2024년 이후에는 “사칭 앱” 을 통해 정보를 훔치는 방식이 급증하고 있다.
이제는 단순한 링크 클릭이 아니라, “앱을 설치한 순간부터 모든 권한이 넘어가는 구조”다.

이 글에서는 사칭 앱이 기존 피싱 방식보다 얼마나 교묘해졌는지,
실제 사례와 수법, 그리고 개인이 반드시 지켜야 할 사이버 보안 수칙까지 알아보도록 하자.

 

사칭 앱은 어떻게 작동하는가? – 가장 위험한 건 설치 이후

과거의 피싱은 링크를 클릭하게 유도하거나,
전화를 받아서 OTP나 인증번호를 입력하게 만드는 방식이 대부분이었다.
하지만 이제는 사용자 스스로 앱을 설치하게 만들고, 그 앱이 모든 권한을 요청하는 식으로 진화하고 있다.

사칭 앱의 일반적인 작동 방식:

1. 문자나 메신저로 신뢰도 높은 기관(정부, 금융기관, 택배사 등)을 사칭한 링크 전송
2. 사용자는 앱 설치 유도 페이지로 이동
3. “재난지원금 신청”, “택배 확인”, “실업급여 수령” 등의 명분으로 앱 설치 유도
4. 설치된 앱은 다음 권한을 요청함
   • 카메라 접근
   • 마이크 사용
   • 위치 정보
   • 통화 및 연락처
   • SMS 수신/발신
   • 저장공간 읽기/쓰기
5. 사용자가 '허용'을 누르는 순간부터,
   앱은 원격 제어, 개인정보 추출, 계정 탈취, 스크린 녹화 등을 자동으로 수행함

 

“앱 설치 후 다음날, 전세금이 빠져나갔다”

2025년 2월, 인천에 거주하는 직장인 B씨는 “고용노동부 실업급여 신청 앱”이라는 문자를 받았다.
문자에는 ‘기존 등록된 정보 오류로 인해 수급 중지 예정’이라는 안내와 함께
앱 설치를 유도하는 링크가 포함돼 있었다.

앱을 설치한 직후, 아무 이상이 없었지만
이틀 뒤, 본인 명의 계좌에서 5,000만 원 상당의 전세보증금이 해외로 빠져나갔다.
해당 앱은 실제 고용노동부 로고, UI, 명칭까지 모두 복제한 사칭 앱이었으며,
설치와 동시에 원격 제어 기능과 키로깅(타이핑 감시) 기능을 활성화해
B씨의 보안카드 번호, 계좌 비밀번호, 공동인증서까지 탈취한 것으로 드러났다.

 

왜 사칭 앱은 더 위험한가?

사칭 앱은 기존의 전화 피싱, 문자 피싱보다 훨씬 은밀하고 조용하게 작동한다.

요소                                      문자/전화 피싱                                       사칭 앱

사용자 개입 필요	인증번호 입력 등 필요	설치만 해도 작동
탐지 난이도	비교적 탐지 쉬움	백그라운드에서 조용히 실행
탐지 시점	수 초~수 분 내 탐지 가능	수 시간~수일 후 피해 확인
피해 범위	계좌, 카드 중심	모든 앱 정보, 이미지, 영상, 위치까지

 

 

사칭 앱 공격에 주로 사용되는 위장 주제 TOP 5

순위         위장 명분 예시

1	재난지원금, 긴급 정부 지원 신청
2	택배 배송 오류, 반송 처리 확인
3	코로나19 확진자 동선 확인 앱
4	은행 보안 강화 안내 및 인증 앱
5	학교/기관 출결 확인 앱 또는 학부모 알림 서비스

 

이들은 공공기관을 사칭하기 때문에 신뢰도가 높아 보이고,
심지어 앱스토어에 등록되지 않은 APK(수동 설치 파일) 방식으로 유도한다는 점에서 더욱 위험하다.

 

내가 감염됐는지 확인하는 체크리스트

다음 항목 중 2개 이상 해당되면 감염 가능성을 의심해야 한다.

• 최근 APK 설치 경험이 있다
• 설치한 앱이 앱스토어에 존재하지 않는다
• 배터리가 평소보다 빠르게 소모된다
• 스마트폰이 이유 없이 발열된다
• 앱을 종료해도 자동으로 재시작된다
• 문자, 전화 수신/발신 기록에 이상이 있다
• 은행 앱이나 간편결제 앱에서 이상 징후가 감지됐다

 

사칭 앱을 피하기 위한 보안 수칙 7가지

1. APK 파일 설치 금지

앱스토어 외부에서 받은 설치 파일은 무조건 의심해야 한다.

2. 설치 전 앱 권한 요청 목록 확인

“카메라”, “SMS”, “마이크” 등을 동시에 요구하는 앱은 삭제 대상이다.

3. 출처 불분명한 문자에 포함된 링크 클릭 금지

의심되는 경우 반드시 공식 홈페이지에서 확인하거나 앱스토어로 직접 검색한다.

4. 백신 앱을 주기적으로 검사 실행

스마트폰도 백신 앱이 필요하며, 실시간 감시 기능을 반드시 켜야 한다.

5. Play Protect 또는 iOS App Review 승인 여부 확인

공식 앱은 앱스토어에 등록되어 있고 보안 심사를 통과한 기록이 있다.

6. 불필요한 앱은 즉시 삭제

사용하지 않는 금융/결제 앱은 가능한 한 삭제하고 로그인 유지도 하지 말 것.

7. 가족·지인에게도 공유

많은 사칭 앱은 가족 구성원 단체 문자로 확산되기 때문에, 발견 즉시 공유해 피해 확산을 막아야 한다.

 

사칭 앱은 당신이 방심한 틈을 노린다

사칭 앱은 말 그대로 '앱처럼 보이지만, 앱이 아닌 악성 프로그램'이다.
문제는 그 앱을 우리가 스스로 설치하게 만든다는 점이다.
그리고 설치 후에는 알아채기도 전에 정보를 모두 가져가 버린다.

우리가 경계했던 건 사칭 문자, 전화, 링크였다.
하지만 진짜 위험한 건, 앱이라는 외형을 하고 등장한 신종 해킹 도구다.
편리함이 익숙해질수록 의심은 줄고, 피해는 늘어난다.
지금 이 순간에도 당신의 휴대폰 속에 낯선 앱이 하나 더 있지는 않은지 확인해보자.