카카오톡몸캠영상유포 협박,
정말 뿌려질 수 있을까

"네 카톡 친구들한테 영상을 다 뿌리겠다."
가장 무서운 협박이지만, 이 위협에는 반드시 필요한 전제 조건이 있습니다.
가해자가 그 조건을 갖췄는지 판별하면, 실제 유포 가능성이 보입니다.

카카오톡몸캠영상유포 협박은 '연락처 탈취'라는 실행 조건이 충족돼야만 가능합니다. 악성 APK를 설치하지 않았거나 연락처 권한을 주지 않았다면, 가해자에게는 뿌릴 대상 목록 자체가 없을 가능성이 높습니다.

아크링크가 분석한 몸캠피싱 악성앱 303종의 권한 요청 빈도 — 연락처 83%, 저장소 74%, 문자 49%, 문자수신 34%
▲ 아크링크(ARKLINK) 악성앱 303종 분석 — 권한 요청 빈도
몸캠피싱 공격 흐름 6단계: 낯선 접근→영상통화 노출 유도→악성앱 설치→권한 허용→연락처·사진 C2 전송→유포 협박
▲ 아크링크 분석 기반 몸캠피싱 공격 흐름

공식 통계로 본 심각성

경찰청 범죄통계 기준 몸캠피싱 신고는 2015년 102건에서 2019년 1,824건으로 급증했고, 2019년 검거율은 26.2%에 그쳤습니다. 가해자 검거가 어려운 만큼, 피해자의 신속한 초기 대응과 설치된 앱의 전문 분석이 현실적으로 가장 중요합니다. (출처: 경찰청 범죄통계 · 시사위크 보도)

유포 협박은 어떻게 시작되나 — 유입 경로

카카오톡몸캠영상유포 협박은 어느 날 갑자기 튀어나오지 않습니다. 카카오톡 오픈채팅이나 랜덤 친구추가로 접근한 가해자가 페이스톡(영상통화)을 유도하고, 노출 장면을 몰래 녹화한 뒤, 마지막 단계에서 "유포하겠다"는 카드를 꺼내는 정해진 순서를 따릅니다. 즉 유포 협박은 결과이지 시작이 아니며, 그 앞에는 반드시 접근·녹화·앱 설치라는 준비 단계가 존재합니다. 이 흐름을 이해하면 "지금 내가 어느 단계까지 왔는가"를 스스로 가늠할 수 있고, 그에 따라 남은 위험이 어디까지인지도 판단할 수 있습니다.

1

접근 — 오픈채팅 · 친구추가

매력적인 프로필로 접근해 1:1 대화로 이동합니다. 익명성이 높은 오픈채팅이 주로 쓰입니다.

2

녹화 — 페이스톡 노출 유도

영상통화로 미리 준비한 영상을 보여주며 피해자 노출을 유도하고, 그 장면을 몰래 캡처합니다.

3

앱 설치 — "이걸로 통화하자"

"소리가 안 들린다", "사진은 이 앱으로 보내라"며 악성 APK 설치를 유도합니다. 여기서 연락처가 넘어갑니다.

4

협박 — "유포하겠다"

녹화 영상과 탈취한 연락처를 근거로 금전을 요구합니다. 이 단계가 유포 협박입니다.

중요한 것은 4단계의 위협이 성립하려면 3단계(연락처 탈취)가 반드시 선행돼야 한다는 점입니다. 협박 문구는 무섭게 들리지만, 실제 실행 능력은 이 선행 조건이 채워졌는지에 달려 있습니다. 카카오톡몸캠영상유포라는 말이 무섭게 느껴지는 이유는 "내 주변 사람 전부가 본다"는 상상 때문인데, 그 상상이 현실이 되려면 가해자가 '내 주변 사람 목록'을 실제로 손에 쥐고 있어야 하기 때문입니다.

가해자들은 이 순서를 잘 알고 있기 때문에, 연락처를 확보하지 못한 경우에도 확보한 것처럼 연기합니다. "이미 다 저장해놨다", "친구 목록 캡처했다"는 문장은 대부분 3단계 성공 여부와 무관하게 반사적으로 던지는 대사입니다. 그래서 협박을 받는 순간 감정적으로 반응하기보다, "이 사람이 실제로 3단계를 통과했는가"를 냉정하게 되짚어 보는 것이 첫 번째 방어선이 됩니다.

'유포하겠다'의 실행 조건 — 연락처 탈취

이 글이 다른 대처 안내와 다른 지점이 바로 여기입니다. 대부분의 피해자는 "녹화됐을까"를 걱정하지만, 실제 피해를 결정하는 변수는 가해자가 내 지인 목록을 손에 넣었는가입니다. 녹화 영상이 있어도 뿌릴 대상이 없으면 협박은 공허한 위협에 그칩니다.

악성앱은 무엇을 노리는가 — 실측 통계

아크링크가 실제 분석한 몸캠피싱 악성앱은 303종, 확인된 C2 서버는 269개, 추출된 악성 도메인(IOC)은 490개입니다. 이 앱들이 요청한 권한을 집계하면 목적이 선명하게 드러납니다.

연락처 권한을 요청하는 앱이 83%로 압도적입니다. 이는 이들의 목적이 "찍은 영상을 지인에게 뿌리겠다"는 협박에 있으며, 그 협박의 무기가 바로 탈취한 연락처임을 정량적으로 증명합니다.
— 아크링크 악성앱 분석 데이터(2026)

가해자가 유포 협박을 실행할 수 있는 경우와 없는 경우를 나눠 보면 판단이 쉬워집니다.

유포 가능성 자가 판별

실행 조건이 갖춰진 경우: 가해자가 보낸 APK를 설치했고, 설치 과정에서 '연락처' 접근을 허용했다면 지인 목록이 넘어갔을 가능성이 큽니다.
실행 조건이 없는 경우: 앱을 설치하지 않았거나, 설치했어도 연락처 권한을 거부했다면 가해자에게 뿌릴 대상 목록이 없습니다. 이때 "친구 다 안다"는 말은 대개 겁을 주기 위한 허풍입니다.

가해자는 이 차이를 감추기 위해 캡처 화면이나 이름 몇 개를 보여주며 "이미 다 가지고 있다"고 압박합니다. 하지만 몇 개의 이름을 안다는 것과 수백 명의 연락처를 자동으로 확보했다는 것은 전혀 다른 문제입니다. 실제로 무엇이 넘어갔는지는 심리전이 아니라 설치된 앱을 기술적으로 분석해야만 확정할 수 있습니다.

연락처가 넘어갔는지를 스스로 가늠할 수 있는 단서도 있습니다. 설치 직후 앱이 "연락처에 접근하도록 허용하시겠습니까"라는 시스템 팝업을 띄웠고 여기서 '허용'을 눌렀다면, 그 순간부터 앱은 주소록 전체를 읽을 수 있는 상태가 됩니다. 반대로 그런 팝업이 뜬 기억이 전혀 없거나, 떴을 때 '거부'를 눌렀다면 자동 탈취의 문은 닫혀 있었던 셈입니다. 다만 사람의 기억은 부정확하고, 일부 악성앱은 접근성(Accessibility) 권한을 악용해 별도 팝업 없이 데이터를 수집하기도 하므로, 최종 확인은 앱 자체 분석으로 마무리하는 것이 안전합니다.

또 하나 기억할 점은, 카카오톡 안에서 나눈 대화나 카카오톡에 등록된 친구 목록이 그 자체로 유출되는 것은 아니라는 사실입니다. 유포 협박에 쓰이는 연락처는 어디까지나 기기 주소록(전화번호부)이며, 이는 카카오톡 계정이 아니라 악성앱이 요청한 READ_CONTACTS 권한을 통해 빠져나갑니다. 따라서 "카카오톡 계정이 털렸다"는 걱정과 "주소록이 넘어갔다"는 문제는 분리해서 판단해야 합니다.

기술적 실체 — 악성앱 권한과 전송 데이터

카카오톡으로 전달되는 악성앱은 플레이스토어를 거치지 않는 .apk 파일입니다. "영상통화.apk", "사진첩.apk"처럼 정상 앱으로 위장하지만, 설치되면 내부에서 연락처와 사진을 읽어 가해자의 C2(명령·제어) 서버로 전송합니다. 정식 스토어를 우회하기 때문에 구글 플레이 프로텍트의 사전 검사도 받지 않아, 겉모습만으로는 정상 앱과 구분하기 어렵습니다.

앞서 통계에서 확인했듯 이런 악성앱의 83%가 연락처 권한을 요구했다는 사실은 우연이 아닙니다. 유포 협박이라는 '수익 모델'을 실행하려면 뿌릴 대상이 필요하고, 그 대상 목록을 자동으로 확보하는 가장 빠른 길이 바로 주소록 탈취이기 때문입니다. 저장소·문자 권한이 그다음으로 많은 것도 같은 맥락으로, 사진과 인증 문자까지 함께 확보해 협박의 재료를 늘리려는 의도입니다.

앱 설치 후 실제로 일어나는 일

악성앱이 실행되면 겉으로는 평범한 채팅·통화 화면을 보여주면서, 뒤에서는 연락처 전체를 서버로 업로드합니다. 일부 변종은 갤러리 사진과 SMS까지 함께 빼내며, 이 전송이 순식간에 끝나기 때문에 피해자는 데이터가 넘어간 사실 자체를 인지하지 못하는 경우가 많습니다.

그렇다면 유포 가능성을 어떻게 확정할까요. 답은 "협박 문구를 해석"하는 것이 아니라 "설치된 앱이 실제로 무엇을 전송했는지"를 확인하는 것입니다. 아크링크의 분석은 다음을 판별합니다.

이 세 가지가 확인되면 유포 협박의 실체는 세 가지 경우로 정리됩니다. 첫째, 앱이 연락처를 실제 서버로 전송한 경우 — 유포 위협은 현실적 근거가 있으며 신속한 대응이 필요합니다. 둘째, 앱은 설치됐지만 연락처 권한이 거부돼 전송 기록이 없는 경우 — 협박은 근거 없는 허풍일 가능성이 높습니다. 셋째, 애초에 설치된 악성앱이 없고 위장 링크만 클릭한 경우 — 탈취 자체가 성립하지 않습니다. 어느 경우인지에 따라 대응의 강도와 방향이 완전히 달라지기 때문에, 이 판별이 대처의 출발점이 됩니다.

참고로 이런 상황을 '해킹당했다'고 오해하는 분이 많지만, 대부분은 카카오톡 서버가 뚫린 것이 아니라 피해자 기기에 스스로 설치한 앱이 데이터를 빼낸 것입니다. 즉 정교한 해킹이 아니라 사회공학(속임수)으로 설치를 유도한 구조이므로, 앱만 정확히 특정하면 유포에 쓸 수 있는 데이터의 범위도 함께 확정됩니다. 이 점은 오히려 피해자에게 유리하게 작용합니다. 데이터가 어디서 어떻게 빠져나갔는지 경로가 명확하기 때문에, 무엇을 차단하고 무엇을 증거로 남겨야 하는지도 분명해지기 때문입니다.

예방과 차단 — 유포 조건을 끊는 법

유포 협박의 실행 조건이 '연락처 탈취'라면, 예방의 핵심도 그 조건이 성립하지 못하게 막는 데 있습니다.

유포 조건을 차단하는 설정

1. 출처를 알 수 없는 앱 설치 차단 — 안드로이드 설정 → 보안에서 '알 수 없는 앱 설치'를 꺼두면 카카오톡으로 받은 APK가 설치되지 않습니다.

2. 파일 자동 다운로드 해제 — 카카오톡 설정 → 채팅에서 파일 자동 다운로드를 해제해 APK가 자동 저장되지 않게 합니다.

3. 연락처 권한 최소화 — 설치한 앱이라도 연락처 접근을 요구하면 거부합니다. 채팅·통화 앱에 연락처 전체 권한은 필요 없습니다.

4. 오픈채팅 프로필 분리 — 오픈채팅 프로필을 본 계정과 분리해 접근 자체를 줄입니다.

이미 앱을 설치했더라도 늦지 않았습니다. 앱을 삭제하기 전에 어떤 앱인지 먼저 확인해야 합니다. 무작정 지우면 무엇이 전송됐는지 판별할 증거가 사라져, 오히려 유포 가능성을 가늠하기 어려워집니다. 급한 마음에 초기화(공장 초기화)부터 하는 분들이 있는데, 이 역시 전송 경로와 서버 주소 같은 핵심 증거를 지워 버리므로 분석과 신고에 필요한 자료를 먼저 확보한 뒤에 진행하는 것이 좋습니다.

네트워크 차원의 예방도 병행할 수 있습니다. 낯선 사람이 페이스톡 도중 "이 앱을 깔아야 화면이 보인다", "여기 링크로 사진을 보내라"고 말하는 순간이 사실상 마지막 방어선입니다. 정상적인 영상통화는 별도 앱 설치를 요구하지 않으며, 카카오톡 안에서 이미 영상통화가 가능합니다. 따라서 "통화를 위해 앱을 설치하라"는 요구 자체가 몸캠피싱의 강력한 신호라는 점을 기억하면, 연락처가 탈취되는 3단계 진입 자체를 원천적으로 막을 수 있습니다.

대처와 신고

협박을 받는 순간의 원칙은 단순합니다. 돈을 보내지 않는 것증거를 남기는 것입니다.

  1. 송금 금지 — 한 번 보내면 요구는 끝나지 않습니다. 유포 가능성을 확인하기 전까지 절대 응하지 마세요.
  2. 증거 보존 — 대화 내용, 가해자 프로필, 전달받은 APK 파일 정보를 캡처해 둡니다.
  3. 앱 정체 확인 — 삭제 전에 설치한 앱이 연락처를 전송했는지 분석해 실제 유포 능력을 판별합니다.
  4. 차단·신고 — 가해자를 카카오톡에서 차단·신고합니다.

공식 신고·상담 기관

경찰 신고 ☎ 112 · 사이버범죄 신고 ☎ 182

방송통신심의위원회 — 유포된 영상물 삭제·차단 심의 요청

디지털성범죄피해자지원센터 ☎ 02-735-8994 — 촬영물 삭제 지원 및 상담

정말 뿌려질 수 있는지 확인하세요

카카오톡으로 받아 설치한 앱이 연락처를 전송했는지 분석해 실제 유포 가능성을 판별합니다.

내 앱 검색하기    아크링크 상담    분석 요청하기

자주 묻는 질문 (FAQ)

카카오톡몸캠영상유포 협박, 정말 제 카톡 친구들에게 뿌려질 수 있나요?

유포가 실행되려면 가해자가 당신의 연락처 목록을 확보하고 있어야 합니다. 가해자가 보낸 앱을 설치하고 연락처 권한을 허용했다면 지인 목록이 넘어갔을 가능성이 크지만, 앱을 설치하지 않았거나 권한을 거부했다면 뿌릴 대상 자체가 없을 가능성이 높습니다. 실제 여부는 설치한 앱 분석으로 확정할 수 있습니다.

가해자가 제 친구 이름 몇 개를 대면서 다 안다고 하는데, 연락처가 넘어간 건가요?

이름 몇 개를 아는 것과 수백 명의 연락처를 자동으로 탈취한 것은 다릅니다. 가해자는 압박을 위해 캡처 화면이나 이름 일부만 보여주는 경우가 많습니다. 실제로 무엇이 전송됐는지는 심리전이 아니라 설치된 앱의 권한과 전송 데이터를 기술적으로 분석해야 확인됩니다.

앱을 이미 지웠는데, 유포 가능성을 확인할 수 있나요?

앱을 삭제하면 무엇이 전송됐는지 판별할 증거가 줄어듭니다. 가능하면 삭제 전에 확인하는 것이 좋지만, 이미 지웠더라도 파일명·설치 경로·캡처해 둔 정보가 남아 있으면 분석에 도움이 됩니다. 다음부터는 삭제 전 앱 정체 확인을 원칙으로 삼으세요.

돈을 보내면 유포를 막을 수 있나요?

송금은 문제를 끝내지 못합니다. 한 번 응하면 가해자는 요구를 반복하며, 지급 능력을 확인한 표적으로 삼습니다. 협박 문구에 흔들리기 전에 실제 유포 조건(연락처 탈취)이 충족됐는지부터 확인하고, 증거를 보존해 신고하는 것이 올바른 순서입니다.

이 수법에 쓰인 악성앱, 우리가 직접 분석했습니다

주식회사 아크링크 Deep-Coding 보안연구소는 몸캠피싱·영상통화사기에 실제 사용된 악성앱을 리버스 엔지니어링으로 분석합니다. 관련 분석 사례: Blue Club · 비밀톡 · Telegram · wks dildo · Sxjoa

▸ 악성앱 303종 전체 분석 데이터베이스 보기