가짜 메타마스크 앱 — 진짜와 구별하는 5가지
메타마스크를 처음 설치하려고 앱스토어를 열었을 때, 비슷하게 생긴 앱이 여러 개 나오는 경험을 해본 적 있으신가요? 이름도 비슷하고, 아이콘도 거의 같아서 어느 게 진짜인지 헷갈리는 경우가 많습니다. 실제로 가짜 메타마스크 앱을 설치해 니모닉(시드 구문)을 탈취당한 사고는 국내외에서 꾸준히 발생하고 있습니다.
가짜 앱은 정교하게 만들어져 있어서 "그냥 봐서는 모른다"는 게 진짜 문제입니다. 하지만 구별할 수 있는 구체적인 기준이 있습니다. 설치 전 1분만 확인해도 사고를 막을 수 있습니다.
진짜 메타마스크 앱은 공식 사이트(metamask.io)에서 연결된 링크로만 설치하는 것이 가장 안전합니다. 앱스토어 검색 결과를 그대로 믿지 마세요.
가짜 메타마스크 앱 — 진짜와 구별하는 5가지 AI 생성 이미지
상황 1: 앱스토어에서 검색했더니 비슷한 앱이 여러 개 나올 때
핵심: 검색 결과 순위는 신뢰 기준이 아닙니다.
구글 플레이스토어나 애플 앱스토어에서 "MetaMask"를 검색하면 이름이 유사한 앱이 함께 나오는 경우가 있습니다. 광고 슬롯에 가짜 앱이 올라오는 사례도 보고된 적이 있습니다. 검색 순위 1위라고 해서 진짜라는 보장이 없습니다.
확인 방법: 개발자(퍼블리셔) 이름 체크
- 안드로이드(구글 플레이): 개발자 이름이 ConsenSys인지 확인
- iOS(앱스토어): 개발자 이름이 ConsenSys AG인지 확인
- 앱 이름 아래에 작게 표시된 개발자명을 반드시 클릭해서 다른 출시 앱 목록도 확인
개발자 이름이 다르거나, 다른 앱이 없거나 수상하게 보인다면 설치를 멈추세요. 가짜 앱 제작자는 개발자 계정을 새로 만들어 올리기 때문에 출시 앱이 1개뿐인 경우가 많습니다.
상황 2: 아이콘과 디자인이 똑같아서 진짜인지 확신이 안 설 때
핵심: 디자인은 얼마든지 복사할 수 있습니다. 출처 URL이 기준입니다.
가짜 앱은 여우 로고, 색상, 화면 구성까지 거의 동일하게 만듭니다. 눈으로 보는 것만으로는 구별이 거의 불가능한 수준입니다. 이때 믿을 수 있는 기준은 공식 홈페이지에서 직접 연결된 링크뿐입니다.
가장 안전한 설치 순서
- 브라우저에서 직접 metamask.io 주소를 입력해 공식 사이트 접속
- 공식 사이트 하단 또는 Download 메뉴에서 스토어 링크 클릭
- 링크로 연결된 스토어 페이지에서 설치
이 방법을 쓰면 가짜 앱 설치 위험을 대부분 차단할 수 있습니다. 검색 → 설치 경로는 쓰지 마세요.
상황 3: 설치 후 앱이 시드 구문(니모닉)을 바로 입력하라고 할 때
핵심: 정상적인 메타마스크는 지갑 생성 단계 이전에 시드 구문을 요구하지 않습니다.
가짜 앱의 가장 흔한 수법은 설치 직후 "기존 지갑 복구"를 먼저 유도하거나, 시드 구문 12단어 입력 화면을 초기에 강제로 보여주는 것입니다. 입력하는 순간 서버로 전송되어 지갑이 통째로 탈취됩니다.
| 상황 | 진짜 메타마스크 | 가짜 앱 |
|---|---|---|
| 첫 실행 화면 | 새 지갑 생성 / 기존 지갑 가져오기 선택 | 시드 구문 바로 요구하는 경우 있음 |
| 시드 구문 요청 시점 | 복구 선택 시에만 요구 | 초기 강제 입력 유도 |
| 비밀번호 설정 | 새 지갑 생성 시 먼저 설정 | 생략되거나 나중에 요구 |
이미 시드 구문을 입력했다면 즉시 진짜 메타마스크로 해당 지갑의 자산을 새 지갑 주소로 옮겨야 합니다. 시간이 생명입니다.
상황 4: 앱 리뷰 수가 많고 별점도 높은데 가짜일 수 있을까 의심될 때
핵심: 리뷰와 별점은 조작이 가능합니다. 수치만 보고 판단하지 마세요.
리뷰 수천 개, 별점 4.8 — 이 숫자가 가짜 앱에 붙어 있는 경우가 실제로 있었습니다. 리뷰 어뷰징은 앱스토어에서 완전히 막기 어렵기 때문에 이 수치를 신뢰 기준으로 삼으면 안 됩니다.
리뷰에서 체크할 것
- 최신 1개월 내 리뷰만 필터해서 실제 사용 내용이 담긴 리뷰인지 확인
- "지갑 복구 안 됨", "자산이 사라짐" 같은 피해 리뷰가 묻혀 있는지 확인
- 리뷰가 모두 짧고 비슷한 문장 패턴이면 의심
리뷰보다 중요한 것은 개발자 이름과 설치 출처입니다. 리뷰는 보조 참고 정도로만 활용하세요.
상황 5: 카카오톡 오픈채팅, 커뮤니티 링크로 설치를 권유받을 때
핵심: 제3자가 보내준 링크로 절대 설치하지 마세요.
코인 관련 오픈채팅방이나 디스코드, 텔레그램에서 "최신 버전 링크"라며 APK 파일이나 앱 링크를 공유하는 경우가 있습니다. 이건 가짜 앱 유포의 가장 흔한 방식 중 하나입니다. 아무리 친한 사람이 보내줬어도 출처를 직접 확인하기 전에는 열지 마세요.
- APK 직접 설치(사이드로딩): 안드로이드에서 스토어 외부의 APK 파일로 설치하는 방식. 공식 경로가 아니므로 절대 사용 금지
- 단축 URL: bit.ly 등으로 숨긴 링크는 실제 목적지를 확인하고 클릭해야 함
- 공식 채널 아닌 곳의 링크: 메타마스크 공식 트위터(X), 공식 사이트 외 링크는 신뢰 금지
가짜 앱을 설치하고 시드 구문(12단어 또는 24단어)을 입력했다면, 그 지갑의 모든 자산은 즉시 위험합니다.
지체 없이 다음 순서로 대응하세요:
1. 진짜 메타마스크에서 새 지갑을 먼저 생성
2. 피해 지갑에서 새 지갑으로 모든 자산 즉시 이체
3. 피해 지갑 주소는 폐기 처리
시드 구문을 입력한 뒤 "별일 없네"라고 넘어가는 경우가 있는데, 공격자가 수동으로 확인 후 빼가는 경우도 있어 수 시간~수 일 뒤에 피해가 발생하기도 합니다. 입력했다면 반드시 즉시 대응하세요.
5가지 구별 기준 한눈에 보기
| 확인 기준 | 진짜 | 가짜 앱 특징 |
|---|---|---|
| 개발자 이름 | ConsenSys / ConsenSys AG | 다른 이름, 출시 앱 1개뿐 |
| 설치 경로 | metamask.io 공식 링크 | 검색 결과, 외부 링크, APK |
| 첫 실행 요구사항 | 새 지갑 생성 / 복구 선택 | 시드 구문 즉시 요구 |
| 리뷰 신뢰도 | 참고 가능하나 �맹신 금지 | 리뷰·별점 조작 가능 |
| 공유 링크 | 공식 채널 출처 확인 후 사용 | 카카오톡·텔레그램 등 유포 |
가짜 앱 피해는 설치 전 단계에서 막을 수 있습니다. 공식 사이트 링크 → 개발자 이름 확인 → 시드 구문 요구 여부 체크. 이 세 가지만 지켜도 대부분의 가짜 앱을 피할 수 있습니다.
관련 글
- 메타마스크 사용법, 처음 쓰는 사람을 위한 가장 쉬운 정리 — 설치부터 첫 전송까지 막히는 부분을 단계별로 정리했습니다.
- 메타마스크 사용 중 서명 때문에 가장 많이 막힐 때 — 서명 요청 화면에서 뭘 눌러야 할지 헷갈릴 때 확인하세요.