레저 고객 노린 피싱 공격 확산…하드지갑 구매 정보 악용됐다

하드지갑은 안전하지만… 3자 유출로 레저 고객 노린 피싱 공격 기승

하드웨어 지갑 제조사 레저(Ledger)가 직접 해킹당하진 않았지만, 제3자 결제 파트너의 정보 유출로 인해 고객들이 피싱 공격에 노출됐다. 실제 주문 정보를 활용한 공격 방식이라 더욱 정교해진 점이 우려를 낳고 있다.

이번 사건은 글로벌 전자상거래 솔루션 기업 글로벌이(Global-e)가 연초에 겪은 보안 사고에서 비롯됐다. 글로벌이는 레저닷컴에서 이뤄지는 일부 구매의 공식 거래처로 고객 정보 처리와 상품 배송을 담당한다. 레저는 해당 사고로 자사 시스템이 해킹된 것은 아니라고 강조했지만, 고객의 이름, 연락처, 배송지, 구매 내역 등 실사용 데이터가 유출된 만큼, 이를 악용한 ‘정교한 피싱 공격’이 이어지고 있다.

주문 내역 같은 실제 맥락을 기반으로 공격이 이뤄지면, 사용자는 메시지가 진짜 레저 지원팀에서 온 것처럼 오해하기 쉽다. 예컨대 ‘Nano 지갑 주문 확인’, ‘배송 관련 보안 업데이트’처럼 사용자 상황에 맞춘 내용으로 접근해 사기 링크 클릭을 유도하거나 24단어 복구 문구를 요구하는 식이다. 레저는 “제품명이나 가격이 언급됐다고 해서 그 메시지가 진짜라는 증거는 아니다”라고 강조한다.

글로벌이 정보 유출로 생긴 피해, 어떻게 이루어졌나

2026년 1월, 레저는 고객들에게 글로벌이 시스템에서 발생한 보안 사고로 인해 일부 구매 관련 정보가 유출됐다고 공지했다. 이 사고로 노출된 정보는 제품 종류, 구매 가격, 이름, 주소, 이메일, 전화번호 등 기본적인 주문 식별 정보였다.

레저는 사고와 관련해 “하드웨어 지갑, 소프트웨어 지갑, 복구 문구, 계정 잔액 등은 전혀 영향을 받지 않았다”고 밝혔다. 그러나 유출된 정보는 피싱 공격자에게는 충분한 ‘소셜 엔지니어링 자산’이 될 수 있다. 실제 피해자들은 ‘주문 차단’, ‘보안 업데이트 필요’, ‘계정 인증 요청’ 등을 이유로 사칭 메일이나 메시지를 받은 사례를 잇따라 보고하고 있다.

특히 이번 사건은 단순히 기술적 허점을 이용하기보다는 사용자의 심리를 조작하는 방식에 초점을 맞춘 공격이라는 점에서 더욱 주의가 필요하다. 메시지는 고객에게 익숙한 주문 정보를 기반으로 작성돼 신뢰를 유도하고, 결국 사용자로 하여금 복구 문구를 입력하게 만들거나 가짜 링크를 타고 접속하게 만든다.

지속되는 사칭 피싱, 어떻게 대응해야 하나

레저는 자사 사칭 사기 유형에 대해 일관된 경고 가이드를 유지하고 있다. 주의할 점은 메시지의 기술적 수준보다 ‘행동 유도’ 방식이다. ‘지갑이 위험하다’, ‘펌웨어 업데이트 필요하다’, ‘주문이 지연됐다’는 식의 긴급 메시지를 보내 사용자를 특정 웹페이지나 양식으로 유도한 후, 24단어 복구 문구를 입력하게 하는 것이 대부분이다.

피싱 메시지는 이메일뿐 아니라 문자, 전화, 심지어 우편으로도 발송될 수 있다. 특히 이번과 같은 데이터 유출 사고 이후에는 공격 메시지가 실제 구매 맥락을 반영하고 있어서 파악이 더 어려워진다.

레저는 사용자가 반드시 기억해야 할 원칙으로 ‘24단어 복구 문구는 오직 디바이스에서만 입력해야 하며, 어떤 상황에서도 웹이나 앱에서 요구되는 경우는 없다’고 재차 강조한다. 복구 문구는 사실상 자산 자체와 같기 때문에 단 한 번이라도 노출되면 지갑을 잃을 수 있다.

과거에도 반복된 정보 유출… 근본 대책은 ‘원칙 고수’

이번 글로벌이 사고는 레저 구매자의 데이터 유출이 처음이 아니다. 2020년 7월에도 레저의 마케팅 및 전자상거래 데이터베이스에서 고객 정보가 유출됐으며, 이 데이터는 같은 해 12월 다크웹에 게시되기도 했다. 당시에는 100만 건 이상의 이메일과 약 27만 건의 이름, 주소, 전화번호가 포함됐다.

이처럼 반복적인 사건을 통해 드러난 교훈은 명확하다. 하드웨어 지갑이 기술적으로 아무리 안전하더라도, 상거래 과정에서 노출되는 정보만으로도 치명적인 공격 시도가 가능하다는 점이다. 결국 가장 강력한 보안은 사용자 스스로 규칙을 지키는 데서 출발한다.

레저는 사용자가 받을 수 있는 ‘의심스러운 지원 메시지’는 기본적으로 신뢰하지 말고, 공식 웹사이트나 고객센터 등 검증된 채널로만 진위를 확인해야 한다고 조언한다. 또, 이메일 내용이 실제 주문과 일치한다고 해서 그 자체로 진짜라는 뜻은 아니며, 공격자는 바로 그런 디테일을 이용하려 한다는 점을 상기해야 한다.

기술 보안은 완벽해도 인간 보안은 그렇지 않다. 복구 문구 노출이라는 단 한 번의 실수가 소중한 자산을 잃게 만들 수 있다는 사실을 잊지 말아야 한다.

💡 "기술 보안은 완벽해도, 인간 보안은 다르다…복구 문구 사기는 반드시 배워야 막는다"

하드웨어 지갑은 자산을 보호하는 가장 안전한 수단이지만, 사용자가 자신의 복구 문구를 유출하면 그 모든 보안은 의미가 없어진다. 레저 사건처럼 실제 주문 정보를 활용한 피싱 공격이 이어지며, 암호화폐 보안의 최전선은 이제 '기기'가 아니라 '사용자'다.

토큰포스트 아카데미의 [1단계: The Foundation] 과정은 이런 피해를 막기 위한 실전 보안 교육을 제공합니다.

- 내 지갑을 지키는 실전 보안: 해킹을 막는 지갑 설정법부터 핫월렛과 콜드월렛의 차이까지

- 복구 문구, 절대 입력하지 마세요: ‘24단어는 디바이스 외부에서 절대 입력 금지’라는 철칙을 배웁니다

- 실전 입출금 교육과 거래소 사용 시 주의사항까지 포함

피싱은 단순한 기술 문제가 아닌 심리와 행동의 문제입니다. ‘항상 의심하고, 절대 복구 문구는 입력하지 않는다’는 원칙을 지키는 것이 최고의 보안 수단입니다.

“>> 아무리 보안이 강한 하드웨어 지갑이라도, 복구 문구를 지키지 않으면 소용이 없습니다. 토큰포스트 아카데미에서 진짜 안전한 암호화폐 사용법을 배워보세요.”

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 입문 보안부터 디파이, 선물옵션까지 7단계 마스터클래스 구성

혜택: 월 2만 원 멤버십 가입 시 첫 달 1,000원에 전 강의 무제한 수강

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

Ledger 지갑 자체는 해킹되지 않았지만, 외부 전자상거래 파트너인 Global-e의 정보 유출로 인해 주문 정보가 노출되며 피싱 공격의 빌미가 되었습니다. 이는 암호화폐 산업에서 '보안은 지갑 시스템 뿐 아니라 전방위 생태계 전반'이라는 중요한 교훈을 줍니다.

💡 전략 포인트

✔️ 어떤 이메일이나 문자에서라도 개인 복구 문구(24단어)를 요구하는 경우는 무조건 피싱으로 간주해야 합니다.

✔️ 실제 구매 경험과 관련된 상세 정보를 이용한 피싱 공격은 설득력과 신뢰감을 높일 수 있어 더욱 주의가 필요합니다.

✔️ 암호화폐 사용자도 일반 커머스 보안 리스크까지 고려해 보안 관리를 강화할 필요가 있습니다.

📘 용어정리

🔹 피싱(phishing) : 신뢰할 만한 기관이나 사람으로 위장해 민감한 정보를 탈취하려는 사기 수법.

🔹 복구 문구(recovery phrase) : 사용자의 암호화폐 지갑을 복구하는 데 필요한 24단어 구문. 유출 시 전 자산 탈취 가능.

🔹 Global-e : Ledger와 제휴한 전자상거래 파트너로, 주문 처리와 배송 관련 정보를 보관하는 업체.

💡 자주 묻는 질문 (FAQ)

Q.

Ledger 보안 사고는 제 지갑이나 암호화폐에 영향을 주나요?

Ledger의 하드웨어 지갑 시스템이나 개인 키, 복구 구문은 이번 사고에서 유출되지 않았습니다. 해킹된 것은 외부 전자상거래 파트너인 Global-e의 주문 정보이며, 이는 주로 이름, 연락처, 주문 항목 같은 비민감성 데이터입니다. 그러나 이 정보가 피싱 공격에 악용될 수 있어 사용자 주의가 필요합니다.

Q.

실제 주문 정보가 왜 피싱 사기에 활용되나요?

해커들은 유출된 구매 내역(예: Nano S Plus 구매, 가격 등)을 이용해 마치 공식 지원팀이 보낸 것처럼 보이게 만들 수 있습니다. 신뢰감을 조성하고 사용자가 경고 없이 클릭하거나 복구 구문을 입력하도록 유도하는 전략입니다. 실제 데이터를 바탕으로 한 피싱은 특히 신뢰를 유도하기 쉬워 더 위험합니다.

Q.

이런 사고가 반복되지 않도록 사용자가 할 수 있는 일은 무엇인가요?

사용자는 어떤 상황에서도 복구 구문(24단어)을 외부 사이트나 메시지에 입력해서는 안 됩니다. Ledger의 공식 사이트 또는 디바이스를 통한 검증만 신뢰해야 합니다. 피싱 메시지를 의심하고, '긴급 대응'이나 '보안 점검 요청'과 같은 문구를 사용할 경우 특히 조심해야 하며, 거래 기록을 언급한 메시지도 검증 전에는 클릭하지 않아야 합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.