가상자산 거래소 빗썸이 7월 정보보호 캠페인의 하나로 ‘가짜 거래 앱 사기 예방 가이드’를 공개했다는 소식이 경제 뉴스에 올랐다. 수법이 눈에 띄게 정교해졌다. 정식 앱 마켓에 등록된 정상 앱의 이름과 디자인을 그대로 복제하는 것은 기본이고, 처음에는 정상 앱처럼 작동하며 조작된 리뷰로 신뢰도를 쌓은 뒤 업데이트 과정에서 악성 기능을 심어 마켓 심사를 우회하는 방식까지 등장했다. 해외 앱을 모방한 가짜 앱을 깔게 한 뒤 지갑 복구용 시드 구문을 받아 자산을 통째로 빼 가는 피해도 실제로 발생하고 있다. 빗썸이 내놓은 3대 원칙—공식 홈페이지에 안내된 링크와 QR로만 설치할 것, 개발사명이 공식 회사명과 일치하는지 확인할 것, 과도한 권한 요구를 의심할 것—은 이용자를 위한 수칙이지만, 뒤집어 읽으면 앱을 운영하는 기업을 향한 요구이기도 하다. 가짜가 판치는 시대에 앱 개발의 기준은 ‘돌아가는 앱’이 아니라 ‘믿을 수 있는 앱’으로 올라갔다.

사칭은 거래소만 노리지 않는다
브랜드를 사칭한 가짜 앱과 가짜 사이트는 금융권만의 문제가 아니다. 쇼핑몰, 예약 서비스, 멤버십 앱처럼 결제와 개인정보가 오가는 곳이라면 규모와 무관하게 표적이 된다. 그리고 피해가 터졌을 때 고객이 기억하는 것은 범인이 아니라 브랜드다. “그 앱 쓰다가 당했다”는 말 한마디가 몇 년 쌓은 신뢰를 무너뜨린다. 그래서 사칭의 시대에 기업이 할 일은 두 가지다. 하나는 고객이 진짜를 쉽게 확인할 수 있게 만드는 것—공식 홈페이지에서 앱으로 이어지는 공식 설치 경로를 분명히 안내하고, 개발사 정보를 일관되게 관리하는 것이다. 다른 하나는 진짜 앱 스스로가 의심받을 구석을 없애는 것이다. 불필요한 권한을 요구하지 않고, 보안 업데이트가 끊기지 않는 앱 말이다.
우리 앱이 의심받고 있다는 신호
- 마지막 업데이트가 반년 넘게 없어 스토어 리뷰에 “방치된 앱이냐”는 문의가 달릴 때
- 앱이 요구하는 권한을 왜 쓰는지 운영자 스스로도 설명하지 못할 때
- 공식 설치 경로가 안내돼 있지 않아 고객이 검색 광고를 타고 들어올 때
신뢰는 만들 때 절반, 관리할 때 절반
처음부터 보안과 권한 설계를 갖춘 앱 개발는 신뢰의 출발점이다. 인증·결제 같은 민감한 흐름일수록 겉모습이 아니라 설계 단계의 원칙이 사고를 막는다. 그러나 출발이 전부는 아니다. 가짜 앱이 ‘업데이트’를 침투 수단으로 쓰는 시대라면, 진짜 앱은 업데이트를 신뢰의 증거로 만들어야 한다. OS 보안 패치를 따라가고 취약점을 점검하는 앱유지보수가 꾸준히 이뤄지는 앱은 그 자체로 “관리되고 있다”는 신호를 보낸다. 설치 장벽 없이 브라우저에서 바로 쓰는 웹앱 개발를 함께 열어 두는 것도 방법이다. 공식 도메인 주소 하나로 접근하는 웹앱은 가짜 설치 파일이 끼어들 틈 자체를 줄여 준다.
가짜가 정교해질수록, 꾸준히 관리되는 진짜의 가치는 올라간다.
빗썸의 주의보는 거래소 이용자만의 이야기가 아니다. 고객 접점을 앱과 웹에 둔 모든 기업에게, 신뢰는 이제 마케팅 문구가 아니라 설계와 관리의 문제라는 경고다. 우리 서비스의 공식 설치 경로가 어디인지 고객이 한 번에 찾을 수 있는가—그 질문부터 점검해 볼 때다.