[2026-04-27] 코인 노린 모바일 악성앱, 스파크캣 변종 주의보

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 코인 노린 모바일 악성앱, 스파크캣 변종 주의보입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

코인 노린 모바일 악성앱, 스파크캣 변종 주의보

 

카스퍼스키 위협 연구팀이 애플 앱스토어와 구글 플레이스토어에서 배달 앱 등으로 교묘하게 위장한 새로운 악성 앱 스파크캣(SparkCat) 변종을 발견하여 제거했다. 이 악성코드는 사용자의 사진첩에 접근한 뒤, 사진 속 텍스트를 읽어내는 기술을 활용하여 암호화폐 지갑 복구용 키워드를 몰래 빼내는 방식으로 자금을 탈취한다. 겉으로는 정상적인 기능을 수행하기 때문에 사용자가 악성 행위를 즉시 인지하기 어렵고, 공식 앱 마켓에 등록되었다는 점 때문에 더욱 신뢰를 얻게 된다. 특히 암호화폐 지갑의 복구 문구(Seed Phrase)는 지갑 자체를 복원할 수 있는 핵심 정보이기 때문에, 한 번 유출되면 사실상 자산 전체를 잃을 수 있다는 점에서 매우 위험히다.

 

 

 

 

공격과정 1 : 정상 앱 위장 및 사진첩 접근 권한 획득

공격자는 음식 배달 앱, 기업용 메신저, AI 도우미 앱 등 일상적으로 자주 사용하는 정상 앱 내부에 악성코드를 삽입한다. 이 앱은 실제로 기본 기능이 정상적으로 동작하기 때문에 사용자가 의심하기 어렵다. 또한 공식 앱 마켓의 보안 심사를 우회하기 위해 악성 기능을 숨기거나 특정 조건에서만 작동하도록 설계한다. 사용자가 해당 앱을 다운로드하고 실행하면, 앱은 “프로필 사진 등록”, “고객 지원용 이미지 첨부”, “영수증 업로드” 등 이유를 제시하며 스마트폰의 사진 갤러리 접근 권한을 요청한다. 사용자는 이를 정상적인 기능으로 인식하고 쉽게 허용하게 된다. 이 권한이 승인되는 순간 공격자는 사용자의 기기 내부 사진과 스크린샷에 접근할 수 있는 기반을 확보하게 된다.

 

 

공격과정 2 : 백그라운드 스캔 및 정보 탈취

사용자가 사진첩 접근 권한을 허락하면, 악성코드는 사용자가 인식하지 못하는 상태에서 백그라운드로 동작한다. 이 과정에서 기기에 저장된 사진, 스크린샷, 메모 이미지 등을 자동으로 탐색한다. 악성코드에는 OCR(Optical Character Recognition, 광학 문자 인식) 기술이 포함되어 있어 이미지 속 문자를 텍스트 형태로 추출하고 분석할 수 있다. 이를 통해 단순한 사진이 아니라 실제로 내부에 어떤 정보가 담겨 있는지 확인한다. 특히 암호화폐 지갑 복구 문구는 보통 12개 또는 24개의 영단어로 구성되어 있으며, wallet, seed, recovery, phrase, mnemonic 등의 특정 키워드와 함께 저장되는 경우가 많다. 악성코드는 이러한 패턴을 탐지하여 복구 문구가 포함된 이미지만 선별한다. 이후 해당 이미지를 공격자의 명령 제어(C2) 서버로 전송한다. 

광학 문자 인식 (OCR, Optical Character Recognition): 이미지(사진)나 스캔된 문서 속에 있는 글자 형태를 기계가 인식하여, 복사하거나 편집할 수 있는 디지털 텍스트(글자) 데이터로 변환

 

 

 

공격과정 3 : 지갑 복구 및 암호화폐 탈취

공격자는 C2 서버를 통해 확보한 Seed Phrase를 이용해 피해자의 암호화폐 지갑을 복구한다. 암호화폐 지갑은 비밀번호만으로 보호되는 것이 아니라 복구 문구 자체가 최종적인 접근 권한 역할을 한다. 따라서 공격자는 별도의 해킹 기술 없이도 다른 기기에서 동일한 지갑 앱을 설치한 뒤 복구 문구를 입력하는 것만으로 피해자의 지갑에 접근할 수 있다. 이후 보관되어 있던 암호화폐를 공격자의 지갑 주소로 즉시 전송한다. 블록체인 거래는 일반적으로 취소가 불가능하므로, 한 번 전송된 자산은 사실상 회수가 매우 어렵다. 이 때문에 사진 한 장에 저장된 복구 문구만으로도 전체 자산이 탈취될 수 있다.

 

암호화폐 지갑 복구 문구 (시드 구문, Seed Phrase)
1) 지갑의 비밀번호를 분실했거나 기기를 변경했을 때, 지갑 안의 가상자산을 완벽하게 복구할 수 있게 해주는 12개~24개의 무작위 영단어 조합
2) 절대 남에게 노출되어서는 안 되는 마스터 키 역할

 

 

 

시사점

한국처럼 스마트폰 보급률이 높고 암호화폐 사용이 활발한 환경은 이러한 모바일 악성코드의 주요 표적이 되기 쉽다. 많은 사용자가 편의성을 위해 암호화폐 지갑 복구 문구를 사진으로 촬영하거나 스크린샷으로 저장하고, 클라우드나 메신저에 보관하는 경우가 있다. 그러나 이러한 방식은 악성코드 감염 시 매우 큰 위험으로 이어질 수 있다. 특히 공식 앱스토어에 등록된 앱이라고 해서 반드시 안전하다고 단정할 수 없기 때문에, 앱 설치 시 불필요한 권한 요청을 주의 깊게 확인해야 한다. 암호화폐 지갑 복구 문구는 반드시 오프라인 환경에서 안전하게 보관하고, 사진첩이나 클라우드 저장을 피해야 한다. 또한 모바일 백신, 앱 권한 관리, 운영체제 및 앱의 최신 업데이트 유지 등 기본적인 보안 수칙을 철저히 지키는 것이 중요하다.

 

 

 

개인의견

개인적으로 이번 사례를 보면서 가장 위험한 부분은 사용자가 악성코드를 직접 실행했다는 사실조차 인식하지 못한다는 점이라고 생각했다. 예전에는 출처가 불분명한 파일이나 링크를 조심하는 것이 주요 보안 수칙이었다면, 이제는 공식 앱스토어에 등록된 정상 앱처럼 보이는 프로그램도 완전히 신뢰할 수 없다는 점이 더욱 위협적으로 느껴졌다. 특히 암호화폐 복구 문구처럼 한 번 유출되면 돌이킬 수 없는 정보는 단순한 편의성 때문에 디지털 형태로 저장해서는 안 된다고 생각한다. 사진 한 장이 지갑 전체를 잃게 만들 수 있다는 사실은 많은 사용자들에게 큰 경각심을 줄 필요가 있다. 앞으로는 기술적인 보안 솔루션뿐만 아니라 사용자 스스로가 정보를 어떻게 저장하고 관리해야 하는지에 대한 보안 습관과 인식 개선이 더욱 중요해질 것이라고 생각한다.

 

 

 

 

 

기사 출처 : https://n.news.naver.com/mnews/article/001/0016044000