앱스토어 뚫린 가짜 레저 라이브…950만 달러 암호화폐 피해

가짜 ‘레저 라이브’ 앱이 애플 앱스토어를 통해 유통되며 최소 950만 달러(약 139억8,400만 원) 규모의 암호화폐 피해가 발생했다. 피해자들은 은퇴 자금까지 순식간에 사라졌다고 호소하고 있다.

사건은 4월 7일부터 13일 사이 발생했으며, 비트코인(BTC)을 포함해 이더리움(ETH), 트론(TRX), 솔라나(SOL), XRP 등 다수 네트워크에서 50명 이상이 피해를 입은 것으로 파악된다. 피해자들은 공식 앱으로 오인한 ‘레저 라이브’ 가짜 앱을 설치한 뒤 복구 문구를 입력하며 지갑 접근 권한을 탈취당했다.

대표적인 사례로 X 이용자 ‘@glove’는 신규 PC 설정 과정에서 해당 앱을 설치한 뒤 약 5.9 BTC를 잃었다. 이는 약 8억6,900만 원 규모로, 10년에 걸쳐 모은 전 재산이었다. 그는 “은퇴 자금을 한순간에 잃었다”고 밝혔다.

블록체인 분석가 잭XBT(ZachXBT)는 탈취된 5.92 BTC가 빠르게 여러 거래를 거쳐 쿠코인(KuCoin) 입금 주소로 이동한 사실을 확인했다. 이는 이번 사건 전반에서 확인된 자금 세탁 패턴과 일치한다.

멀티체인 확산…수백억 원 피해

이번 피싱 공격은 단일 사례가 아닌 조직적 캠페인으로 분석된다. 가장 큰 피해 3건은 각각 323만 달러(약 47억5,400만 원·USDT), 208만 달러(약 30억6,200만 원·USDC), 195만 달러(약 28억7,000만 원·BTC·ETH·stETH)에 달했다.

피해 방식은 전형적이다. 사용자에게 복구 문구 입력을 유도해 지갑 전체 권한을 넘겨받는 ‘사회공학’ 공격이다. 한 번 입력된 문구는 되돌릴 수 없어 자산은 즉시 외부 지갑으로 이동된다.

쿠코인 경유 자금 세탁…‘AudiA6’ 연루

도난 자금은 150개 이상의 쿠코인 입금 주소를 통해 분산 이체됐으며, ‘AudiA6’로 알려진 중앙화 믹싱 서비스와 연결된 것으로 드러났다. 해당 서비스는 높은 수수료를 받고 자금 흐름을 은폐하는 것으로 알려져 있다.

쿠코인은 최근 규제 문제로도 주목받고 있다. 2026년 2월 오스트리아 당국으로부터 신규 유럽연합(EU) 이용자 유치가 차단됐으며, 2025년에는 자금세탁 방지 위반으로 3억 달러 이상 벌금을 납부한 바 있다.

앱스토어 심사 논란…법적 책임 가능성

애플은 해당 가짜 앱을 삭제했지만, 공식 앱스토어 심사를 어떻게 통과했는지에 대한 의문은 남아 있다. 얼마나 오랜 기간 배포됐는지도 확인되지 않았다.

잭XBT는 이번 사건이 집단 소송으로 이어질 가능성을 제기했다. 공식 플랫폼을 통한 유통이라는 점에서 애플의 책임 여부가 쟁점이 될 전망이다.

끊이지 않는 피싱 위협

이번 사건은 암호화폐 시장 전반에 만연한 보안 취약성을 다시 드러냈다. 2025년 한 해 동안 해킹과 사기로 인한 피해액은 약 170억 달러에 달했으며, 이 중 상당수가 피싱과 사회공학 공격이었다.

피해자에게는 이미 돌이킬 수 없는 손실이 발생했다. 한 이용자는 “10년을 모은 돈이었다”며 “각별히 주의해야 한다”고 경고했다.

💡 자주 묻는 질문 (FAQ)