홈으로 돌아가기

가짜 레더 앱, 950만 달러 크립토 탈취…앱 스토어도 안전하지 않다

맥 앱 스토어에 등장한 가짜 레더 앱이 50명 이상의 사용자로부터 총 950만 달러 상당의 암호화폐를 탈취했다. 범죄자들은 복구 문구를 유도해 자산을 탈취한 후 큐코인을 통해 자금 세탁을 진행했다. 신뢰할 수 있는 플랫폼에서도 주의가 필요하다는 교훈을 제공한다.

앱 스토어에도 위조 앱? 950만 달러 크립토 자산 탈취 사태
Advertisement 728x90

맥 앱 스토어에 등장한 가짜 레더 앱, 950만 달러 상당 크립토 자산 훔쳐가

애플이 맥 앱 스토어에서 제거하기 전까지, 가짜 레더 라이브 앱은 50명 이상의 사용자로부터 총 950만 달러 상당의 암호화폐를 조용히 훔쳤다. 이 중에는 음악가인 G. 러브도 포함됐다. 만약 당신이 공식 앱 스토어에 있는 앱이라면 안전하다고 믿었다면, 이 사례는 그 믿음이 항상 옳지 않다는 것을 보여준다.

진짜 사용자를 속인 가짜 앱의 수법

레더는 비트코인과 같은 디지털 자산을 오프라인으로 안전하게 저장하는 물리적 '하드웨어 지갑'을 만드는 잘 알려진 기업이다. 이러한 자산을 관리하기 위해 사용자는 레더의 공식 소프트웨어인 레더 라이브를 다운로드한다. 그러나 지난주, 이 앱의 매우 유사한 위조본이 애플의 맥 앱 스토어에 등장했다.

가짜 앱은 실제 앱과 거의 동일하게 보였다. 설치 후 사용자에게 레더 장치를 연결하고 복구 문구(12~24단어로 구성된 마스터 키)를 입력하도록 요청했다. 이 복구 문구를 어떤 앱이나 웹사이트에 입력하면, 즉시 자신의 자산 전체에 대한 통제권을 넘겨주는 것이다.

Google AdInline article slot

복구 문구를 생각해보자. 집의 금고 잠금장치 조합처럼 말이다. 누군가 당신을 속여 가짜 은행 앱에 이 조합을 입력하게 한다면, 그들은 당신의 금고를 완전히 비울 수 있다—심지어 그 앱이 정상처럼 보여도 말이다.

피해자들은 몇 분 만에 모든 것을 잃었다

피해자 중 한 명인 가렛 둥턴(유명 음악가 G. 러브)은 약 44만7천 달러 상당의 비트코인을 잃었다. 그는 새로 컴퓨터를 바꾼 직후였고, 앱 스토어에는 신뢰할 수 있는 앱만 있다고 믿었기 때문에 실제로 레더 라이브라고 생각하고 다운로드했다. 몇 초 만에 그의 전체 크립토 자산이 사라졌다.

블록체인 조사 전문가 자크엑비티는 도난된 자산을 추적해 다음과 같은 결과를 확인했다:

Google AdInline article slot
  • 비트코인, 솔라나, 엑스알피, USDT 등 다양한 자산을 통해 총 950만 달러 이상이 탈취됨.
  • 한 피해자는 단일 스테이블코인으로만 327만 달러를 잃음.
  • 최소 3명 이상이 각각 195만 달러 이상을 잃음.

범죄자들은 도난 자산을 150개 이상의 입금 주소를 거쳐 큐코인이라는 암호화폐 거래소로 빠르게 이동했으며, 오디아6라는 서비스를 이용해 도난 자산을 다른 자산과 섞어 출처를 숨기는 방식으로 자금 세탁을 진행했다. 마치 현금을 여러 사업체를 거쳐 세탁하는 것과 유사하다.

왜 이런 앱이 앱 스토어에 허용되었을까?

애플의 앱 스토어는 엄격한 심사 기준을 갖고 있지만, 사기꾼들은 점점 더 교묘하게 심사를 우회하고 있다. 가짜 레더 앱은 유사한 브랜딩, 정확한 철자, 실제 기능을 충분히 모방해 초기 검토를 통과했다. 이 앱은 4월 7일부터 4월 13일까지 약 일주일간 앱 스토어에 존재했다.

레더 사용자들이 이번처럼 타격을 받은 것은 처음이 아니다. 회사는 피싱 공격이 가짜 앱, 이메일, 전화, 심지어 공식처럼 보이는 우편물 등을 통해 자주 발생한다고 경고한다. 지난해 미국 당국은 가짜 레더 우편물을 통해 도난된 60만 달러 상당의 암호화폐를 회수한 바 있다.

Google AdInline article slot

일반인들에게 어떤 의미가 있을까?

암호화폐를 소유하지 않더라도 이 사건은 중요한 교훈을 준다. 대규모 플랫폼에서 나온다고 해서 무조건 신뢰할 수 있는 것은 아니다. 언제나 URL, 앱 제작사, 그리고 절대 복구 문구를 어떤 소프트웨어에도 입력해서는 안 된다. 진짜 레더 앱은 절대 그런 정보를 요구하지 않는다.

하드웨어 지갑을 사용한다면:

  • 공식 웹사이트(ledger.com)에서 직접 소프트웨어를 다운로드하라. 앱 스토어가 아닌 곳에서.
  • 진짜 사이트를 북마크해 오타를 방지하라.
  • 복구 문구는 절대 공유하지 않는 비밀번호처럼 취급하라. 기술 지원팀에게도 말하지 마라.

핵심 요약

  • 맥 앱 스토어에 등장한 위조 레더 라이브 앱이 50명 이상의 사용자로부터 총 950만 달러 상당의 암호화폐를 탈취했다.
  • 피해자 중에는 약 45만 달러를 잃은 유명 음악가 G. 러브를 포함했다.
  • 사기의 핵심은 사용자가 개인 복구 문구를 입력하게 유도하는 것이며, 이는 디지털 자산의 최종 열쇠다.
  • 도난 자산은 큐코인을 통해 혼합 서비스를 활용해 빠르게 세탁되어 추적 불가능하게 됐다.
  • 신뢰할 수 있는 앱 스토어라도 고도화된 위조 앱에 취약할 수 있으므로, 항상 경계해야 한다.

— Editorial Team

Advertisement 728x90

다음 읽기

파트너 뉴스