안드로이드 지갑 앱 취약점 방치…5천만개 노출 가능성

13일 마이크로소프트에 따르면 안드로이드에서 널리 쓰인 소프트웨어 개발 키트(SDK) ‘EngageLab SDK’의 취약점이 크립토 지갑 앱 수천만 개를 위협한 것으로 나타났다. 이미 패치가 공개됐지만 일부 사용자는 여전히 업데이트를 하지 않아 지갑 주소와 시드 문구, 개인 키가 노출될 수 있다는 우려가 나온다.

마이크로소프트의 ‘Defender Security Research Team’은 지난주 이 취약점을 공개하며, 처음 발견 시점이 2025년 4월이었다고 밝혔다. 문제의 핵심은 ‘intent redirection’으로, 공격자 앱이 취약한 앱에 특수 메시지를 보내면 앱이 자신의 데이터 접근 권한을 넘겨주는 방식이다. 이 과정에서 안드로이드의 샌드박스 보호가 우회될 수 있었다.

마이크로소프트는 2025년 5월 구글과 안드로이드 보안팀에 관련 내용을 공유했고, EngageLab은 이후 수정 버전인 SDK 5.2.1을 배포했다. 다만 외부에서 받은 APK를 설치한 앱은 구글 플레이의 검증을 거치지 않아 상대적으로 위험이 크다는 지적이 나온다.

마이크로소프트는 이번 취약점이 안드로이드 생태계의 5천만개 이상 앱에 영향을 줬고, 이 가운데 약 3천만개가 크립토 지갑 앱이라고 설명했다. 사용자 개입 없이도 같은 기기에 취약한 앱이 함께 설치돼 있으면 공격이 성립할 수 있어 보안 충격이 컸다.

보안팀은 2025년 중반 이후 업데이트를 하지 않은 이용자라면 단순한 앱 업데이트만으로는 부족할 수 있다고 경고한다. 활성 상태였고 패치가 적용되지 않은 지갑은 잠재적으로 ‘침해된’ 것으로 간주하고, 새 시드 문구로 새 지갑을 생성해 자산을 옮기는 방안이 권고된다.

이번 공개는 최근 안드로이드 칩 취약점 경고와 미국 재무부의 크립토 기업 대상 사이버 위협 정보 공유 구상과도 맞물린다. 모바일 보안이 크립토 자산 보호의 핵심 변수로 떠오르고 있다는 의미다.

---

기사요약 by TokenPost.ai 🔎 시장 해석 안드로이드 생태계 전반에 걸친 SDK 취약점으로 약 5천만 개 앱이 영향권에 들어가며, 모바일 환경 자체가 크립토 보안의 핵심 리스크로 부각됨. 특히 별도 행동 없이도 공격이 가능한 구조로 인해 사용자 책임이 아닌 ‘구조적 보안 리스크’가 강조됨. 💡 전략 포인트 2025년 중반 이후 업데이트가 없는 지갑은 단순 패치가 아니라 ‘지갑 교체 및 자산 이전’까지 고려 필요. 외부 APK 설치 앱은 검증되지 않은 경로로 위험도가 높아 즉시 점검 권장. 장기적으로는 하드웨어 지갑, 멀티시그 등 추가 보안 레이어 도입이 중요. 📘 용어정리 Intent Redirection: 앱 간 통신을 악용해 권한을 탈취하는 공격 방식 시드 문구(Seed Phrase): 지갑 복구용 핵심 비밀키, 유출 시 자산 탈취 가능 샌드박스: 앱 간 데이터 접근을 차단하는 안드로이드 보안 구조 SDK: 앱에서 공통 기능을 구현하기 위해 사용하는 외부 개발 도구 모음

💡 자주 묻는 질문 (FAQ)

Q. 이번 취약점이 왜 그렇게 심각한가요? 사용자가 클릭이나 승인 같은 행동을 하지 않아도, 같은 기기에 악성 앱과 취약 앱이 함께 있으면 자동으로 공격이 가능했기 때문입니다. 이는 기존 보안 상식과 달리 매우 위험한 ‘비대면 공격’ 구조입니다. Q. 단순 업데이트만 하면 안전한가요? 최신 버전으로 업데이트하는 것이 기본이지만, 2025년 중반 이후 업데이트가 없던 상태에서 사용된 지갑은 이미 정보가 노출됐을 가능성도 있습니다. 이 경우 새로운 지갑을 생성하고 자산을 옮기는 것이 더 안전합니다. Q. 지금 당장 사용자가 취해야 할 행동은 무엇인가요? 모든 앱을 최신 버전으로 업데이트하고, 출처가 불분명한 APK 앱은 삭제하는 것이 우선입니다. 이후 주요 자산은 새로운 시드 문구 기반 지갑으로 이동하고, 장기적으로는 하드웨어 지갑 사용까지 고려하는 것이 좋습니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.