핵심 요약
- 스파크캣 변종은 사진 접근 권한을 이용해 갤러리 속 지갑 복구 문구를 찾는 모바일 악성코드입니다.
- 앱스토어 2개와 구글플레이 1개 감염 사례가 확인됐다가 삭제됐고, 제3자 유통 경로도 활용됐습니다.
- 복구 문구·백업코드·신분증은 사진으로 저장하지 말고 앱별 사진 권한은 최소화해야 합니다.
- 의심 앱에 사진 권한을 준 적이 있다면 앱 삭제, 권한 회수, 민감정보 교체 또는 지갑 이전까지 점검해야 합니다.
목차
- 1. 스파크캣 악성코드가 노리는 정보
- 2. 공식 앱마켓도 완전한 보증은 아닌 이유
- 3. 사진 권한과 지갑 복구 문구 보안 설정
- 4. 의심 앱을 이미 설치했을 때 처리 순서
- 5. 자주 묻는 질문
스파크캣 악성코드가 노리는 정보
스파크캣(SparkCat)은 스마트폰 사진 갤러리를 훑어 암호화폐 지갑 복구 문구를 찾는 모바일 악성코드입니다. 디지털데일리 보도에 따르면 카스퍼스키는 앱스토어와 구글플레이 심사를 우회한 신규 변종을 확인했습니다. 감염 앱은 기업용 메신저나 음식 배달 앱처럼 보였고, 확인된 앱스토어 2개와 구글플레이 1개 사례는 삭제됐습니다.
문제는 공식 마켓에서 내려간 뒤에도 끝나지 않는다는 점입니다. 카스퍼스키 분석에 따르면 감염 앱은 제3자 유통 경로로도 확산됐고, 일부 웹사이트는 아이폰 이용자에게 앱스토어와 비슷한 화면을 보여 설치를 유도했습니다. 그래서 이번 이슈는 암호화폐 이용자만의 문제가 아니라 스마트폰 권한 관리 전체를 다시 보는 계기로 봐야 합니다.
공식 앱마켓도 완전한 보증은 아닌 이유
이번 변종은 사진 접근 권한을 받은 뒤 OCR, 즉 이미지 속 글자를 읽는 기능으로 갤러리를 분석합니다. 특정 키워드가 있는 이미지가 발견되면 관련 사진을 공격자에게 보내는 흐름입니다. 안드로이드 변종은 한국어·일본어·중국어 키워드가 들어간 스크린샷을 집중 탐색했고, iOS 변종은 영어로 된 지갑 복구 문구를 찾는 방식으로 분석됐습니다.
정상 앱처럼 보이더라도 사진 전체 접근을 요구한다면 한 번 멈춰야 합니다. 특히 복구 문구, 인증서, 신분증, 거래소 백업코드, 개인 문서가 사진첩에 있다면 피해 범위가 커질 수 있습니다. 공식 앱마켓은 기본 필터일 뿐, 설치 후 권한 요청까지 대신 판단해 주지는 않습니다.
| 위험 요소 | 확인할 점 |
|---|---|
|
사진 전체 접근 |
앱 기능에 꼭 필요한 권한인지 확인 |
|
제3자 설치 링크 |
스토어처럼 꾸민 웹페이지인지 의심 |
|
복구 문구 사진 |
스크린샷·클라우드 백업에 남아 있는지 점검 |
사진 권한과 지갑 복구 문구 보안 설정
가장 중요한 기준은 단순합니다. 암호화폐 지갑 복구 문구는 사진으로 저장하지 않습니다. 이미 찍어뒀다면 종이에 옮기고, 사진 앱과 클라우드 백업에서 삭제한 뒤 최근 삭제 항목까지 비우는 편이 안전합니다. 거래소 2단계 인증 백업코드, 인증서 비밀번호, 신분증 사진도 같은 기준으로 다뤄야 합니다.
종이에 옮길 때도 카메라로 다시 찍거나 메신저로 보내면 같은 문제가 반복됩니다. 복구 문구는 오프라인 보관을 기본으로 두고, 가족에게 공유해야 한다면 사진 대신 물리적 보관 장소와 복구 절차만 따로 알려주는 방식이 낫습니다.
iPhone은 설정에서 앱별 사진 접근 권한을 제한된 접근 또는 없음으로 바꾸고, Android는 앱 권한에서 사진 및 동영상 접근을 거부하거나 필요한 사진만 허용합니다. 여행, 쇼핑, 배달, 메신저 앱이 사진 전체 접근을 요구한다면 기능에 꼭 필요한지 다시 따져보세요.
의심 앱을 이미 설치했을 때 처리 순서
의심 앱이 있으면 권한만 끄고 끝내지 말고 삭제까지 하는 편이 좋습니다. 최근 설치한 앱, 공식 스토어 밖에서 받은 앱, 앱스토어처럼 보이는 웹페이지에서 설치한 앱부터 확인합니다. 앱 이름이 익숙해도 개발사, 리뷰 흐름, 권한 요청이 이상하면 보수적으로 판단하는 것이 낫습니다.
- 최근 설치 앱 중 사진 전체 접근 권한이 있는 앱 확인
- 필요 없는 앱은 삭제하고 남은 앱은 권한을 최소화
- 복구 문구·백업코드 사진은 클라우드와 최근 삭제 항목까지 제거
- 의심 앱에 사진 권한을 준 적이 있다면 새 지갑 이전까지 검토
- 운영체제와 보안 앱을 최신 상태로 유지
복구 문구는 한 번 노출되면 비밀번호처럼 바꿀 수 없습니다. 그래서 이미 사진으로 보관했고 의심 앱에 권한을 준 정황이 있다면 단순 삭제보다 새 지갑으로 자산을 옮기는 쪽이 안전합니다. 스마트폰 보안은 거창한 설정보다 민감정보를 사진첩에 남기지 않는 습관에서 먼저 갈립니다.
자주 묻는 질문
공식 앱스토어에서 받은 앱도 위험한가요?
대부분은 안전하지만 이번 사례처럼 심사를 우회하는 앱이 나올 수 있습니다. 출처만 믿기보다 설치 뒤 요구하는 권한, 개발사 정보, 리뷰 흐름을 함께 봐야 합니다.
사진 권한을 모두 막으면 앱이 안 되나요?
일부 기능은 제한될 수 있습니다. 다만 전체 접근보다 선택한 사진 접근을 먼저 쓰고, 꼭 필요한 앱만 일시적으로 허용하는 방식이 더 안전합니다.
지갑 복구 문구 사진을 이미 찍어뒀다면 어떻게 해야 하나요?
사진, 클라우드 백업, 최근 삭제 항목을 지우고 오프라인 보관으로 바꾸세요. 의심 앱에 사진 권한을 준 적이 있다면 복구 문구가 노출됐다고 보고 새 지갑 이전을 검토하는 것이 안전합니다.
보안·안전 카테고리의 다른 글
스마트폰 코인 이벤트 사기 피해 주의 – 2026년 1월 급증 유형과 예방·신고 방법 총정리
스마트폰 앱·SNS로 퍼지는 가상화폐 지원금 이벤트 사기가 2026년 1월 소비자상담에서 급증했습니다. 코인 이벤트 사기 피해 유형 5가지와 피해 신고 방법을 쉽게 정리했습니다.
에이닷 전화 가족 케어 2026, 부모님 보이스피싱 알림 설정 전 볼 기준 6가지
에이닷 전화 가족 케어 기능의 보호자 알림 방식, 등록 전 확인할 동의·연락망·신고 절차를 2026년 기준으로 정리했습니다.
삼성전자 보안 업데이트 권고 2026년 2월 – MagicINFO 취약점과 갤럭시 보안 패치 완벽 정리
KISA 보호나라가 발표한 삼성전자 제품 보안 업데이트 권고를 정리했습니다. MagicINFO 9 Server 취약점(CVE-2026-25200~25202)과 갤럭시 스마트폰 보안 패치 적용 방법을 쉽게 설명합니다.
KT 박윤영 대표 취임, 정보보안 강화와 AX 전환! 내 정보 안전할까?
KT 박윤영 신임 대표가 취임하며 정보보안 강화를 최우선 과제로 내세웠습니다. 과거 해킹 사태 이후 KT의 변화와 AI(AX) 플랫폼 기업으로의 도약이 우리에게 미칠 영향을 알아봅니다.
폐휴대폰 재활용 방법 4단계, 최신 기준으로 보는 나눔폰 처리 순서
폐휴대폰을 그냥 버리면 개인정보 유출과 환경오염 위험이 남습니다. E-순환거버넌스 나눔폰 기준으로 안전한 처리 순서와 준비물을 쉽게 정리했습니다.