6만6,000명 연락처 유출 여파…레저·트레저 노린 '가짜 우편 시드 탈취' 재점화

글로벌 하드웨어 지갑 이용자들을 겨냥한 ‘가짜 우편 사기’가 다시 고개를 들고 있다. 레저(Ledger)와 트레저(Trezor) 사용자들이 실물 우편으로 전달되는 편지를 통해 시드 복구 구문(시드 프레이즈)을 탈취당할 위험에 노출되고 있다는 경고가 이어지고 있다.

사건의 발단은 사이버 보안 전문가 디미트리 스밀야네츠(Dmitry Smilyanets)가 2월 13일 트레저 명의의 의심스러운 편지를 받았다고 공개하면서다. 편지에는 사용자가 2월 15일까지 ‘인증 점검(Authentication Check)’을 완료하지 않으면 기기 사용에 제한이 걸릴 수 있다는 위협성 문구가 포함돼 있었다. 형식상 공식 안내문처럼 보이도록 홀로그램과 QR 코드까지 붙어 있었지만, 실제로는 악성 사이트로 유도하는 치밀한 피싱 수법이었다.

스밀야네츠에 따르면 이 편지는 체코 하드웨어 지갑 업체 트레저의 최고경영자인 마티에이 자크(Matěj Žák)의 서명이 있는 것처럼 꾸며져 있지만, 텍스트 상에서는 그를 ‘레저 CEO’로 잘못 표기해 두 회사 명의를 뒤섞어 혼란을 유도하고 있다. 지난해 10월에는 레저 사용자 한 명이 비슷한 내용의 편지를 받았다고 보고했는데, 당시 편지에는 수신자에게 의무적인 ‘트랜잭션 점검(Transaction Check)’ 절차를 완료해야 한다는 요구가 담겨 있었다.

QR 코드로 유도되는 ‘의무 점검’…복구 구문 통째로 탈취

이들 편지의 핵심 도구는 QR 코드다. 사용자가 아무 의심 없이 코드를 스캔하면 레저나 트레저의 초기 설정 화면을 흉내 낸 피싱 사이트로 연결된다. 겉으로 보기에는 기존 하드웨어 지갑 설치 페이지와 거의 구분이 되지 않도록 정교하게 제작돼 있어, 보안에 익숙하지 않은 이용자라면 쉽게 속아 넘어갈 수 있는 구조다.

문제는 이 페이지가 지갑 복구를 명목으로 시드 복구 구문을 입력하도록 유도한다는 점이다. 사용자가 단어 목록을 모두 입력하면, 해당 정보는 백엔드 API를 통해 공격자 서버로 전송된다. 공격자는 이 구문을 이용해 피해자의 지갑을 자신의 기기에 그대로 복원한 뒤, 내부에 보관 중인 비트코인(BTC), 이더리움(ETH) 등 암호화폐 자산을 손쉽게 빼갈 수 있다.

정상적인 하드웨어 지갑 업체는 어떤 경우에도 웹사이트, 이메일, 우편 등 어떤 채널을 통해서도 시드 복구 구문을 요구하지 않는다. 레저와 트레저 역시 공식 문서를 통해 “복구 구문을 타인에게 공유하는 순간, 지갑 보안은 완전히 무너진다”는 점을 반복적으로 강조해 왔다.

6년간 이어진 데이터 유출의 후폭풍

이번 사기가 더욱 심각하게 받아들여지는 이유는 레저와 트레저를 둘러싼 고객 정보 유출 사고가 수년간 누적돼 왔기 때문이다. 레저와 제3자 물류·마케팅 파트너사들은 최근 몇 년 사이 여러 차례 대규모 데이터베이스 침해를 겪었다. 이 과정에서 고객의 이름, 이메일, 전화번호는 물론, 우편 발송에 사용된 실제 배송지 주소까지 외부로 유출됐다.

이 같은 정보는 다크웹 등을 통해 재유통되며, 스팸 메시지나 피싱 메일은 물론, 이번 사례처럼 실물 우편까지 동원한 정교한 공격에 활용되고 있다. 단순한 자산 탈취를 넘어, 특정 고액 보유자를 표적으로 삼은 물리적 협박이나 위협으로 이어질 수 있다는 점도 보안 업계가 우려하는 부분이다.

한편 트레저는 2024년 1월, 약 6만6,000명에 달하는 고객의 연락처 정보가 노출된 보안 사고를 공식 인정했다. 당시에도 회사는 “시드 복구 구문이나 지갑 비밀번호 등은 유출되지 않았다”고 강조했지만, 연락처·주소 정보만으로도 피싱 공격에는 충분히 악용될 수 있다는 지적이 뒤따랐다.

가짜 기기·가짜 앱까지…오프라인 공격도 진화

레저와 트레저 이용자를 겨냥한 오프라인 공격은 이번이 처음이 아니다. 2021년에는 2020년 레저 데이터 유출 사건의 피해자들을 대상으로, 공격자들이 가짜 레저 나노(Ledger Nano) 기기를 실제 우편으로 배송한 사건이 있었다. 당시 공격자들은 정품 포장과 안내문까지 정교하게 위조해, 사용자가 새 기기라고 믿고 복구 구문을 입력하도록 유도했다.

2025년 4월에는 QR 코드 스캔을 유도하는 우편 편지가 또 한 차례 대량 발송된 것으로 보고됐다. 이어 5월에는 레저 라이브(Ledger Live)를 사칭한 가짜 애플리케이션이 등장해, 사용자들이 입력한 시드 구문을 탈취하고 암호화폐를 인출해 가는 사고도 이어졌다.

레저는 이러한 물리적 우편 피싱 시도가 반복되자 2025년 10월 자사 웹사이트를 통해 공식 안내문을 올리고, “어떠한 경우에도 우편을 통한 복구 구문 입력 요구는 모두 사기”라며 주의를 당부했다. 트레저 역시 유사 공격에 대한 경고를 강화하며, 공식 채널 외 안내문은 모두 의심하라고 강조하고 있다.

국내 투자자도 예외 아니다…복구 구문 ‘절대 공유 금지’ 재확인 필요

레저와 트레저는 해외 업체지만, 국내에서도 비트코인(BTC), 이더리움(ETH), 솔라나(SOL) 등 주요 자산을 장기 보관하려는 개인 투자자 사이에서 널리 사용되고 있다. 그만큼 이번과 같은 오프라인 피싱 수법이 한국 투자자들에게까지 확산될 가능성도 배제하기 어렵다.

시장 전문가들은 반복되는 유출과 피싱 사례를 두고 “하드웨어 지갑이 블록체인 상 자산을 안전하게 보관해 주는 것은 맞지만, 사용자의 보안 인식이 뚫리면 의미가 없다”고 지적한다. 특히 실물 우편이나 전화, 메신저처럼 ‘아날로그적’ 방식으로 다가오는 공격일수록, 이용자들이 방심하기 쉽다는 점을 경고하고 있다.

하드웨어 지갑 이용자라면, 자신의 이름과 주소가 이미 유출됐을 수 있다는 ‘최악의 시나리오’를 전제로 보안 습관을 점검할 필요가 있다. 어떠한 경우에도 복구 구문은 오직 자신만 알고, 오프라인에 안전하게 보관해야 한다. 우편, 이메일, 웹사이트, 앱, 전화 등 어떤 채널이든 복구 구문 입력을 요구한다면, 그것이 곧 사기라는 점을 다시 한 번 상기해야 할 시점이다.

💡 "지갑은 안전해도, 사용자는 노린다… 보안은 '지식'에서 시작됩니다"

레저·트레저 같은 하드웨어 지갑을 쓰더라도, 오늘 기사에서 본 것처럼 시드 복구 구문을 노리는 피싱 편지·가짜 앱 한 번에 모든 자산을 잃을 수 있습니다. 결국 진짜 보안은 기기가 아니라, 사용자의 이해와 습관에서 시작됩니다.

토큰포스트 아카데미는 이런 오프라인·온라인 피싱까지 고려한 "실전 보안·리스크 관리"를 커리큘럼 전반에 녹여낸 7단계 마스터클래스입니다.

• 1단계: The Foundation (기초와 진입)에서는 하드웨어·소프트웨어 지갑 원리와 Wallet security (IMPORTANT), 핫월렛/콜드월렛 차이 등, 레저·트레저 같은 디바이스를 안전하게 세팅하고 보관하는 방법을 다룹니다. 시드 구문을 어디에, 어떻게 보관해야 하는지부터, 해킹·피싱을 피하는 기본기를 체계적으로 배우게 됩니다.

• 2단계: The Analyst (분석가)에서는 단순 코인 정보가 아니라, 온체인 데이터와 토크노믹스를 통해 프로젝트의 진짜 가치를 검증하는 법을 익힙니다. 피싱·사기 프로젝트가 내세우는 허황된 약속을 숫자로 걸러내는 힘을 기르는 과정입니다.

• 3단계: The Strategist ~ 7단계: The Macro Master에서는 투자 전략 수립, 디파이·파생상품 리스크 관리, 그리고 거시 사이클까지 배우며 "자산을 지키는 법"과 "지속적으로 불리는 법"을 함께 다룹니다. 특히 디파이·선물·옵션 파트에서는 레버리지, 청산, 펀딩비 등 각종 리스크를 이해하고 통제하는 방법을 중점적으로 설명합니다.

피싱 편지 한 통, 가짜 앱 하나에 계좌가 비워지는 시대. 하드웨어 지갑만 사두는 것으로는 충분하지 않습니다. "어떤 요청이 들어와도 시드 구문은 절대 입력하지 않는다"는 원칙과, 이를 가능하게 하는 이해·훈련이 필요합니다.

토큰포스트 아카데미에서 지갑 보안의 기초부터 디파이·선물옵션, 매크로 사이클까지 한 번에 학습하고, 내 자산을 지키는 실전 역량을 갖춰 보세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초 보안부터 온체인 분석, 디파이·선물옵션, 매크로까지 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

이번 사건은 레저(Ledger)·트레저(Trezor) 같은 하드웨어 지갑 사용자를 겨냥한 ‘오프라인 피싱(우편+QR코드)’ 공격이 점점 정교해지고 있다는 신호입니다. 과거 데이터 유출로 노출된 실제 이름·주소를 활용하기 때문에, 사용자는 심리적으로 ‘진짜 회사에서 보낸 공식 통지’라고 착각하기 쉽습니다. 복구 시드가 탈취되면 온체인 상의 모든 자산이 단번에 털릴 수 있어, 단일 사고라도 피해 규모가 크고 시장 전반의 보안 불신을 키워 장기적으로 하드월렛·거래소 모두에 대한 신뢰도 저하로 이어질 수 있습니다.

💡 전략 포인트

1) **절대 원칙 재확인**: 어떤 채널(우편, 이메일, 웹사이트, 전화, 메신저)로도 시드 복구 문구를 요구하면 100% 사기라는 원칙을 가족·지인까지 공유해야 합니다.

2) **데이터 유출 전제 운영**: 레저·트레저뿐 아니라 대부분 서비스에서 개인정보 유출을 ‘이미 일어난 일’로 가정하고, 실명·주소로 도착하는 모든 금융 관련 안내문을 기본적으로 의심하는 태도가 필요합니다.

3) **QR코드 최소 신뢰**: 금융·투자 관련 내용이 포함된 QR코드는 되도록 스캔하지 말고, 직접 브라우저에 공식 도메인을 입력해 접속하는 습관을 들이는 것이 안전합니다.

4) **보안 프로토콜 점검**: 하드월렛 사용자는 정기적으로 펌웨어를 업데이트하고, 공식 앱(예: Ledger Live, Trezor Suite) 설치 경로를 북마크하는 등 ‘공식 채널 이탈’을 줄이도록 환경을 정비해야 합니다.

5) **장기 보관 전략 분리**: 큰 금액은 인터넷과 완전히 분리된 콜드 스토리지(장기 보관용)로, 소액만 일상 트랜잭션용 지갑에 두어 만일의 사고 시 피해를 제한하는 구조가 필요합니다.

📘 용어정리

- **하드웨어 지갑(Hardware Wallet)**: 레저, 트레저처럼 암호화폐 개인키를 오프라인 장치에 저장하는 전용 지갑 장치입니다. 인터넷에 직접 연결되지 않아 일반적인 해킹 위험은 낮지만, 사용자가 시드 복구 문구를 노출하면 보안 이점이 모두 사라집니다.

- **시드 복구 문구(Seed Recovery Phrase)**: 지갑을 복구할 때 사용하는 12~24개 영어 단어 조합의 ‘마스터 키’입니다. 이 문구만 알면 누구나 지갑을 복제하고 자산을 모두 옮길 수 있으므로 절대 온라인에 입력하거나 타인과 공유해서는 안 됩니다.

- **피싱(Phishing)**: 신뢰할 수 있는 기관·회사인 것처럼 가장해 로그인 정보, 시드 문구 등을 빼내는 사기 기법입니다. 이메일, 문자, 가짜 앱, 가짜 웹사이트, 그리고 이번 사례처럼 우편·QR코드 형태로도 이뤄집니다.

- **QR코드 피싱**: 사용자가 QR코드를 스캔하면 사기 사이트로 연결되도록 설계된 공격 방식입니다. 보안 의심이 가는 QR코드는 스캔을 피하고, 반드시 공식 웹사이트 주소를 직접 입력해 접속하는 것이 안전합니다.

- **데이터 유출(Data Breach)**: 해커 공격이나 내부 관리 부실로 인해 고객 이름, 이메일, 주소 등 개인정보가 외부로 유출되는 사건입니다. 한 번 유출된 주소와 연락처는 여러 해 동안 오프라인 사기(우편, 전화 등)에 재활용될 수 있습니다.

💡 자주 묻는 질문 (FAQ)

Q.

하드월렛 사용자들이 받는 이 가짜 편지는 구체적으로 어떻게 동작하나요?

편지는 레저나 트레저 공식 안내문처럼 꾸며져 있고, “Authentication Check”, “Transaction Check” 같은 용어로 기한 내 확인을 요구합니다. 여기에 포함된 QR코드를 스캔하면 진짜 초기 설정 페이지처럼 보이는 가짜 웹사이트로 이동하는데, 이 사이트에서 시드 복구 문구를 입력하도록 유도합니다. 사용자가 문구를 입력하면 그 정보가 공격자의 서버(API)로 전달되고, 공격자는 그 시드로 지갑을 복제해 암호화폐를 전송해 버립니다.

Q.

이런 편지를 받았을 때 바로 확인해야 할 체크리스트는 무엇인가요?

먼저, 편지나 이메일에서 시드 복구 문구 입력을 요구하는 순간 100% 사기라고 보고 중단해야 합니다. 둘째, QR코드나 편지에 적힌 링크를 직접 클릭·스캔하지 말고, 브라우저에 직접 ‘ledger.com’, ‘trezor.io’ 같은 공식 도메인을 입력해 접속해 공지 여부를 확인하세요. 셋째, 실제 보안 관련 공지인지 확실히 하려면 공식 사이트의 고객지원 페이지나 앱 내 공식 채널을 통해 문의해 보는 것이 안전합니다. 마지막으로, 의심되는 편지·웹사이트는 캡처 후 신고하고, 이미 시드를 입력했다면 즉시 새로운 지갑을 생성해 자산을 옮기고, 기존 시드는 폐기해야 합니다.

Q.

이미 레저·트레저 사용자 데이터가 여러 번 유출되었다면, 앞으로 어떤 점을 특히 조심해야 하나요?

이름·주소·이메일이 한 번 유출되면 여러 해 동안 다양한 방식의 사기에 재활용될 수 있습니다. 따라서 레저·트레저뿐 아니라 암호화폐 관련 안내를 사칭하는 우편, 이메일, 문자, 전화, 메신저 연락은 기본적으로 의심하는 태도가 필요합니다. 모든 ‘보안 점검’, ‘의무 확인’, ‘계정 제한 방지’ 등의 문구는 사기에서 자주 쓰이는 표현이므로, 이런 문구를 볼 때마다

1) 시드 복구 문구 요구 여부,

2) 도메인 주소가 공식 도메인과 정확히 일치하는지,

3) 공식 공지 페이지에 동일 안내가 있는지

를 반드시 교차 확인해야 합니다. 특히 큰 자산을 보관 중이라면 여러 개의 분산 지갑, 오프라인 백업, 다중서명 지갑 등의 추가 보안 전략도 고려하는 것이 좋습니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.