apk 사기 수법,
접근·미끼·신뢰형성부터 차단까지

'apk 사기'는 낯선 상대가 대화 끝에 .apk 파일이나 설치 링크를 보내며 완성됩니다.
그러나 진짜 시작은 훨씬 이전, 접근과 미끼와 신뢰형성으로 이어지는 유입 단계입니다.
이 흐름을 알면 앱을 설치하기 전에 사기를 알아채고 끊어낼 수 있습니다.

apk 사기는 상대가 보낸 .apk 설치 파일이 악성앱인 경우입니다. 설치 전이라면 파일을 열지 말고 대화를 끊는 것이, 이미 설치했다면 삭제 전에 어떤 앱인지 먼저 확인하는 것이 대응의 핵심입니다.

아크링크가 분석한 몸캠피싱 악성앱 303종의 권한 요청 빈도 — 연락처 83%, 저장소 74%, 문자 49%, 문자수신 34%
▲ 아크링크(ARKLINK) 악성앱 303종 분석 — 권한 요청 빈도
몸캠피싱 공격 흐름 6단계: 낯선 접근→영상통화 노출 유도→악성앱 설치→권한 허용→연락처·사진 C2 전송→유포 협박
▲ 아크링크 분석 기반 몸캠피싱 공격 흐름

공식 통계로 본 심각성

경찰청 범죄통계 기준 몸캠피싱 신고는 2015년 102건에서 2019년 1,824건으로 급증했고, 2019년 검거율은 26.2%에 그쳤습니다. 가해자 검거가 어려운 만큼, 피해자의 신속한 초기 대응과 설치된 앱의 전문 분석이 현실적으로 가장 중요합니다. (출처: 경찰청 범죄통계 · 시사위크 보도)

apk 사기의 유입 경로 — 접근·미끼·신뢰형성

apk 사기는 앱이 설치된 순간이 아니라, 그보다 훨씬 이전인 유입 단계에서 이미 설계되어 있습니다. 가해자는 무작위로 접근해 호감이나 이익, 불안을 미끼로 던지고, 며칠에 걸쳐 신뢰를 쌓은 뒤에야 설치 파일을 내밉니다. 그래서 파일을 받기 전 단계에서 흐름을 읽으면, 사기 자체를 성립시키지 않고 끊어낼 수 있습니다.

피해자 대부분은 "왜 하필 나에게"라고 생각하지만, apk 사기의 유입은 특정인을 겨냥하기보다 넓게 뿌려 걸리는 사람을 노리는 구조입니다. 그렇기 때문에 접근에서 설치 유도로 이어지는 패턴은 놀라울 만큼 정형화되어 있고, 반대로 그만큼 예측하고 차단하기도 쉽습니다.

악성앱 분석으로 드러난 유입의 목적

아크링크가 실제 분석한 악성앱은 303종, 확인된 C2 서버는 269개, 추출된 악성 도메인(IOC)은 490개입니다. 이 앱들이 설치 직후 요청하는 권한을 집계하면, 접근·미끼·신뢰형성으로 이어진 유입의 최종 목적이 무엇이었는지 그대로 드러납니다.

연락처와 저장소 접근이 압도적으로 많다는 것은, 신뢰형성 끝에 설치시킨 앱으로 지인 목록과 사진을 확보하려는 것이 처음부터의 목표였음을 정량적으로 보여줍니다.
— 아크링크 악성앱 분석 데이터(2026)

유입은 대체로 네 단계를 거칩니다. 각 단계는 다음 단계로 넘어가기 위한 '판'을 까는 과정이며, 앞 단계에서 위화감을 느끼는 순간이 곧 차단의 기회입니다.

1

접근 — 채널 진입

오픈채팅·랜덤채팅·인스타그램/틱톡 DM·문자(스미싱) 등 익명성이 보장되는 통로로 먼저 말을 겁니다. 전화번호 없이 대화가 가능한 창구일수록 가해자가 선호합니다.

2

미끼 — 호감·이익·불안 자극

이성적 호감, 고수익 부업·투자, 택배·청첩장·과태료·건강보험 사칭처럼 클릭이나 응답을 부르는 미끼를 던집니다. 감정을 흔들어 판단을 흐리는 것이 목적입니다.

3

신뢰형성 — 경계 해제

며칠간 다정하고 일상적인 대화, 사진 교환, 빠른 답장으로 "이 사람은 진짜"라는 인상을 만듭니다. 신뢰가 쌓일수록 이후 요구를 의심 없이 받아들이게 됩니다.

4

설치 유도 — .apk 전달

"이 앱으로 통화하자", "본인 인증이 필요하다", "사진은 이 앱으로 보내줘" 같은 구실로 .apk 파일이나 다운로드 링크를 보냅니다. 유입의 마지막 단계이자, 피해가 실제로 시작되는 문턱입니다.

접근에 쓰이는 채널은 계속 바뀌지만 구조는 같습니다. 오픈채팅의 "심심한데 얘기할 사람"류 인사, SNS의 무작위 팔로우와 DM, "택배 배송 조회"·"교통 위반 과태료 확인" 문자 링크는 모두 유입 1~2단계의 서로 다른 얼굴일 뿐입니다. 채널이 무엇이든 결국 특정 apk를 설치하게 만드는 곳으로 대화를 몰고 간다는 공통점이 있습니다.

미끼는 표적의 상황에 맞춰 크게 세 갈래로 변형됩니다. 외로움을 파고드는 연애형 미끼, 급전이 필요한 사람을 노리는 부업·투자형 미끼, 그리고 과태료 미납·택배 반송·계정 도용처럼 불안을 자극하는 공포형 미끼입니다. 형태는 달라도 목적은 하나, 결국 특정 앱을 설치하게 만드는 것입니다. 어떤 미끼든 대화가 "앱을 깔아야 해결된다"는 결론으로 향하고 있다면, 지금 유입 단계 한가운데에 있다고 의심해야 합니다.

'apk 사기'로 검색한 지금, 당신은 어느 단계인가

'apk 사기'라는 단어를 검색했다는 것은, 이미 위 유입 흐름의 어딘가에 들어와 있다는 뜻입니다. 지금 자신이 어느 단계인지 정확히 아는 것이 대응의 출발점입니다. 대개 다음 세 상황 중 하나입니다.

유입 단계별 자가 진단

많은 분들이 ①②단계에서 이미 불안감을 느끼면서도 "설마 진짜 사기일까" 싶어 상대에게 되묻다가 ③단계로 넘어갑니다. 그러나 유입 초기일수록 대응은 단순합니다. 확인을 위해 상대와 더 대화하거나 파일을 '한 번 열어보는' 행동이 오히려 단계를 진행시키므로, 의심이 드는 순간에는 확인보다 차단이 먼저입니다.

또 하나 기억할 것은, 유입은 한 번 끊어도 다른 채널로 재접근이 시도된다는 점입니다. 같은 조직이 프로필 사진과 사칭 대상만 바꿔 며칠 뒤 다시 말을 걸어오는 경우가 흔합니다. 그래서 한 번 의심 신호를 확인했다면 해당 계정을 차단하는 데 그치지 말고, 같은 화법으로 접근하는 다른 계정도 함께 경계하는 편이 안전합니다. 유입은 사람이 아니라 각본을 상대하는 일에 가깝습니다.

반대로 이미 설치까지 마쳤더라도 포기할 이유는 없습니다. 실제로 무엇이 전송됐는지는 앱을 분석하면 확인할 수 있고, 협박의 상당 부분은 "다 가져갔다"는 말로 겁을 주는 심리전이기 때문입니다. 단계를 정확히 알면 불필요한 공포에 흔들리지 않습니다.

설치되는 악성앱의 실체 — 권한과 전송

apk 사기의 마지막 단계에서 전달되는 것은 .apk 파일, 즉 안드로이드 앱 설치 파일입니다. 구글 플레이스토어를 거치지 않고 채팅·링크로 직접 배포되기 때문에, 플레이 프로텍트(Play Protect)의 사전 검사를 우회하려는 의도가 깔려 있습니다.

.apk 파일이 위장하는 방식

악성 apk의 파일명은 "영상통화.apk", "사진앨범.apk", "본인인증.apk", "택배조회.apk"처럼 상황에 맞는 정상 앱으로 위장됩니다. 설치 화면과 아이콘까지 그럴듯하게 꾸며져 있어, 유입 단계에서 신뢰가 쌓인 상태라면 별다른 의심 없이 설치 버튼을 누르게 됩니다.

설치 직후 앱은 목적에 맞는 권한을 한꺼번에 요청합니다. 1장의 통계에서 보듯 연락처와 저장소 권한 요청 비율이 유독 높은 이유는, 이 데이터가 이후 협박의 '재료'가 되기 때문입니다. 각 권한이 실제로 무엇을 가능하게 하는지 보면 유입의 최종 목적이 분명해집니다.

권한이 허용되면 앱은 이 정보를 가해자의 C2(명령·제어) 서버로 전송합니다. 이때 화면에는 정상적인 통화나 인증 UI가 표시되어, 사용자는 자신이 무엇을 넘겼는지 인지하기 어렵습니다. 다만 핵심은, 권한을 실제로 허용하기 전까지는 전송이 일어나지 않는다는 점입니다. 설치했더라도 권한 요청 화면에서 멈췄다면 피해 범위는 크게 줄어듭니다.

일부 악성앱은 설치 후에도 정상 앱처럼 계속 작동하는 것처럼 보이게 하여, 사용자가 이상을 느끼지 못하는 사이 백그라운드에서 주기적으로 데이터를 내보냅니다. 아이콘을 숨기거나 이름을 시스템 앱처럼 바꿔 삭제를 어렵게 만드는 변형도 확인됩니다. 이 때문에 "앱을 지웠으니 끝났다"고 단정하기보다, 무엇이 언제 어디로 전송됐는지를 확인하는 절차가 실제 피해 범위를 판단하는 근거가 됩니다.

초기 차단 — 유입 단계에서 끊는 법

apk 사기 대응의 가장 효율적인 지점은 피해가 벌어진 뒤가 아니라, 유입 단계에서의 차단입니다. 접근·미끼·신뢰형성 어느 지점에서든 흐름을 끊으면 설치 자체가 성립하지 않습니다. 아래 설정은 실수로라도 악성 apk가 설치되지 않도록 막는 최소한의 방어선입니다.

지금 바로 켜두어야 할 설정

설정만큼 중요한 것이 행동 원칙입니다. 유입 단계에서 다음 신호가 하나라도 보이면, 상대의 정체를 확인하려 애쓰기보다 대화를 중단하는 편이 안전합니다.

이런 신호면 설치 전에 대화 중단

• 대화 며칠 만에 곧바로 앱 설치나 영상통화를 요구한다
• "이 앱이어야 통화·인증이 된다"며 특정 apk 설치를 강요한다
• 플레이스토어가 아닌 링크·파일로만 앱을 배포한다
• 음질·화질·본인확인을 핑계로 설치를 재촉한다
• 설치를 망설이면 서운함이나 화를 내며 압박한다

정상적인 관계나 서비스라면 앱을 파일로 보내 설치를 재촉할 이유가 없습니다. "확인을 위해 딱 한 번만"이라는 말이 나오는 순간이 곧 유입의 마지막 단계라는 신호입니다. 이때 파일을 삭제하고 상대를 차단하면, apk 사기는 그대로 실패로 끝납니다.

마지막으로, 이 설정과 원칙은 본인만이 아니라 가족·지인과 공유할 때 효과가 훨씬 큽니다. apk 사기의 미끼는 연령과 무관하게 통하며, 특히 스미싱 문자와 부업 사칭은 폭넓게 퍼집니다. "출처를 알 수 없는 앱은 설치하지 않는다", "파일로 온 앱은 열지 않는다"는 두 줄 원칙만 주변에 전해도, 유입 단계에서 걸러지는 시도가 크게 늘어납니다. 예방은 결국 한 사람의 습관이 아니라 주변으로 퍼지는 기준에서 완성됩니다.

이미 설치했다면 — 대처와 신고

③단계, 즉 이미 설치·실행까지 마쳤다면 침착하게 다음 순서로 대응합니다. 순서를 지키는 것 자체가 추가 피해를 줄이고 협박에 흔들리지 않는 근거가 됩니다.

  1. 네트워크 차단 — 비행기 모드로 Wi-Fi·데이터를 끊어 추가 전송을 즉시 막습니다.
  2. 증거 보존 — 삭제 전에 대화 내용, 상대 프로필, 전달받은 파일 정보를 캡처합니다.
  3. 앱 확인 후 삭제 — 어떤 앱이 무엇을 요청·전송했는지 확인한 뒤 삭제합니다. 무엇이 넘어갔는지 알아야 정확히 대응할 수 있습니다.
  4. 계정 보호 — 문자 탈취에 대비해 주요 계정 비밀번호를 바꾸고 2단계 인증을 켭니다.
  5. 절대 송금 금지 — 돈을 보내면 협박은 멈추지 않고 반복됩니다.

신고·상담 기관

기술적으로 무엇이 전송됐는지를 확인하면 대응의 방향이 명확해집니다. 협박의 상당수는 실제 탈취 범위보다 부풀린 심리전이므로, 설치한 앱의 정체와 전송 여부를 객관적으로 파악하는 것이 흔들리지 않는 대응의 핵심입니다.

자주 묻는 질문 (FAQ)

'apk 사기'는 보통 어떻게 시작되나요?

apk 사기는 낯선 상대가 오픈채팅·랜덤채팅·SNS DM·문자로 먼저 접근해, 호감이나 고수익 부업, 택배·과태료 사칭 같은 미끼를 던지는 것으로 시작됩니다. 며칠간 다정한 대화로 신뢰를 쌓은 뒤에야 "이 앱으로 통화·인증하자"며 .apk 파일이나 설치 링크를 보냅니다. 즉 앱 전달은 유입 단계의 마지막이며, 그 이전 접근·미끼·신뢰형성 신호를 알면 설치 전에 끊을 수 있습니다.

.apk 파일을 받았는데 아직 설치는 안 했습니다. 어떻게 해야 하나요?

가장 안전한 상태입니다. .apk 파일은 열지 말고, 설정에서 '출처를 알 수 없는 앱 설치'가 꺼져 있는지 확인하세요. 파일을 삭제하고 상대와의 대화를 중단하면 이 단계에서는 연락처·사진이 전송되지 않습니다. 설치하지 않은 apk 파일 자체는 실행되기 전까지 기기에서 아무 동작도 하지 않으므로, 설치만 하지 않으면 유입은 실패로 끝납니다.

상대가 "이 앱으로 통화하자"며 apk를 보내요. 정상 앱일 수도 있나요?

정상적인 영상통화·메신저 앱은 구글 플레이스토어에서 내려받도록 안내하지, .apk 파일을 채팅으로 직접 보내거나 외부 링크로만 배포하지 않습니다. "음질이 안 좋다", "이 앱이어야 인증된다"는 식으로 특정 apk 설치를 강요하는 것은 apk 사기의 대표적인 미끼 화법입니다. 플레이스토어에 없는 앱을 파일로 받았다면 정상 앱으로 보지 않는 것이 안전합니다.

이미 apk를 설치해버렸습니다. 지금 당장 뭘 해야 하나요?

먼저 비행기 모드로 Wi-Fi·데이터를 꺼 네트워크를 차단해 추가 전송을 막고, 대화·프로필·전달받은 파일 정보를 캡처해 증거를 보존하세요. 그다음 앱을 삭제하되, 삭제 전에 어떤 앱이 무엇을 전송했는지 확인하면 협박에 정확히 대응할 수 있습니다. 돈은 절대 보내지 말고 경찰 112, 사이버범죄 신고 182로 신고하세요.

받은 apk 파일, 설치 전에 확인하세요

낯선 상대에게 받은 .apk 파일이나 이미 설치한 앱이 악성앱인지 확인하세요.

내 앱 검색하기    아크링크 상담    분석 요청하기

이 수법에 쓰인 악성앱, 우리가 직접 분석했습니다

주식회사 아크링크 Deep-Coding 보안연구소는 몸캠피싱·영상통화사기에 실제 사용된 악성앱을 리버스 엔지니어링으로 분석합니다. 관련 분석 사례: Video Player HD · YLOVE · LOVESM (260317) · Killer-1-Maui · Chinso

▸ 악성앱 303종 전체 분석 데이터베이스 보기