iOS에 앱을 설치할 때 "신뢰할 수 없는 기업용 개발자"라는 알림이 뜨면서 "설정 → 일반 → VPN 및 기기 관리"에서 신뢰를 허용하라는 메시지가 나온다면, 99% 피싱입니다. 바이낸스 공식은 절대로 기업용 인증서를 통해 앱을 배포하지 않습니다. 이 글에서는 그 원리와 대처 방법을 설명합니다. 다운로드 입구: 바이낸스 공식 사이트, 모바일 바이낸스 공식 APP, iOS에 앱이 설치되어 있지 않다면 iOS 설치 가이드를 확인하세요.
1. iOS 앱의 세 가지 배포 방식
| 방식 | 공식 여부 | 일반적인 상황 |
|---|---|---|
| App Store | 예 | 바이낸스 공식 배포 |
| TestFlight | 제한적 공식 | 공식 베타 (드묾) |
| 기업 인증서 / MDM 프로파일 | 비공식 | 피싱 위장 |
바이낸스는 일반 사용자를 대상으로 세 번째 방식을 통해 앱을 배포한 적이 없습니다. "기업용 바이낸스 앱 설치"와 관련된 어떠한 안내도 모두 사기입니다.
2. 기업 인증서 배포가 위험한 이유
기업 인증서는 본래 App Store의 검토 과정을 우회하여 기업 내부 앱을 배포하기 위한 것입니다. 만약 당신이 기업 프로파일이 포함된 가짜 "바이낸스"를 설치하게 되면 다음과 같은 위험에 노출됩니다:
- 해당 앱은 Apple의 검토를 거치지 않았기 때문에 어떠한 권한이든 임의로 요청할 수 있습니다.
- 프로파일 자체가 MDM (모바일 기기 관리) 기능을 가지고 있어 공격자가 당신의 기기를 원격으로 장악할 수 있습니다.
- 공격자는 연락처, 위치 정보, 클립보드, 알림 메시지 (인증 코드 포함)를 읽어갈 수 있습니다.
- 앱을 삭제하더라도 프로파일이 계속 작동할 수 있습니다.
- 심지어 기기의 데이터를 원격으로 모두 삭제할 수도 있습니다.
3. 잘못 설치했을 때의 긴급 대처 방법
만약 의심스러운 가짜 "바이낸스" 앱을 이미 설치했고 프로파일을 신뢰한 상태라면 다음과 같이 조치하세요:
1단계: 네트워크 차단
즉시 비행기 모드를 켜서 모든 네트워크 연결을 끊습니다.
2단계: 프로파일 삭제
설정 → 일반 → VPN 및 기기 관리로 이동하여 알 수 없는 모든 프로파일을 찾고 삭제합니다. 하나하나 모두 지워야 합니다.
3단계: 해당 앱 삭제
홈 화면으로 돌아가 앱 아이콘을 길게 누른 뒤 앱을 삭제합니다.
4단계: Apple ID 보안 점검
안전한 다른 기기를 사용해 appleid.apple.com 에 접속합니다:
- 비밀번호 변경
- "내 기기" 목록을 확인하고 의심스러운 기기 삭제
- 로그인 활동 확인
5단계: 바이낸스 계정 점검
만약 가짜 앱에 바이낸스 아이디/비밀번호나 2FA 코드를 입력한 적이 있다면:
- 안전한 기기에서 binance.com 에 로그인합니다.
- 계정 비밀번호를 변경합니다.
- 2FA를 재설정합니다. (기존 연동 삭제 후 다시 연동)
- 모든 API 키를 삭제합니다.
- 출금 주소 화이트리스트를 모두 비웁니다.
- 모든 기기에서 강제로 로그아웃합니다.
6단계: 기기 초기화 후 재설치
가장 확실한 방법은 기기를 완전히 초기화한 후 iCloud 백업(공격을 받기 전 시점의 백업)에서 복원하는 것입니다. 백업이 감염되었는지 확신할 수 없다면, 완전히 초기화한 뒤 처음부터 새 기기로 설정하세요.
4. 다음 번에 속지 않는 방법
1. 항상 App Store에서 바이낸스 다운로드
Apple ID 국가를 변경한 후, App Store에서 "Binance"(개발자: Binance Holdings Limited)를 검색해 나오는 것만이 진짜 앱입니다. 그 외의 모든 출처는 신뢰할 수 없습니다.
2. "프로파일 설치" 유도 무시
설정 → 일반 → VPN 및 기기 관리 화면을 열었을 때 목록이 비어 있는 것이 정상입니다. 낯선 항목이 있다면 무조건 삭제부터 해야 합니다.
3. 알 수 없는 문자 링크 클릭 금지
수많은 기업 인증서 사기 수법이 문자로 "바이낸스 공식 알림, 클릭하여 새 버전을 다운로드하세요"라며 링크를 보냅니다. 이러한 문자는 절대 클릭하지 마세요.
4. 가족 교육
가족들, 특히 연세가 있으신 분들은 "바이낸스 공식 고객센터 직원의 설치 가이드"에 속아 기업용 앱을 설치하기 쉽습니다. "프로파일 설치"는 절대 해서는 안 된다는 점을 미리 알려주세요.
5. TestFlight와 기업 인증서의 차이점
| 구분 | TestFlight | 기업 인증서 |
|---|---|---|
| Apple 검토 | 있음 (간소화) | 없음 |
| 사용자 가시성 | TestFlight 앱을 통해서 설치 | 프로파일 + 홈 화면 아이콘 |
| 위험성 | 보통 | 매우 높음 |
| 공식 판단 기준 | 개발자 이름 + 공식 안내 확인 | 예외 없이 비공식 |
TestFlight는 적어도 Apple의 1차 검토를 통과하며, 기업 인증서는 어떠한 검토도 받지 않습니다. 바이낸스의 베타 버전은 TestFlight를 통해서만 이루어지며, 기업 인증서를 통한 방식은 없습니다. 누군가가 "바이낸스 기업용 버전 다운로드"라고 말한다면 100% 가짜입니다.
FAQ
Q1: 프로파일을 이미 신뢰한 후 "신뢰 철회"를 누르면 소용이 있나요? "신뢰 철회"를 하더라도 공격자가 이미 가져간 기기 데이터를 되돌려주지는 않습니다. 즉각적으로 비밀번호를 변경하고 기기 초기화 조치를 취해야 합니다.
Q2: Apple이 악성 기업 인증서를 스스로 폐기하나요? 그렇습니다. Apple은 신고가 접수된 기업 인증서를 정기적으로 폐기합니다. 하지만 발견에서 폐기까지 시차가 존재하므로 이를 맹신해서는 안 됩니다.
Q3: 기업 인증서가 만료되면 그 앱을 계속 쓸 수 있나요? 아니요, 사용할 수 없습니다. 하지만 공격자는 다른 인증서로 다시 서명하여 "다시 신뢰하기" 링크를 보낼 것입니다. 링크를 누를 때마다 공격자에게 기회를 다시 주게 됩니다.
Q4: 친구(바이낸스 인턴)가 설치해 준 기업용 앱은 믿어도 될까요? 절대 안 됩니다. 바이낸스 내부에는 외부 사용자에게 기업용 앱을 배포하는 메커니즘이 존재하지 않습니다. 친구가 악의가 없었더라도 그 친구 역시 다른 사람에게 속은 것입니다.