가짜 ‘레저 라이브’ 앱 피해 확산…50여명 노려 950만달러 빼갔다

온체인 조사관 잭XBT(ZachXBT)는 애플 앱스토어에 올라온 가짜 ‘레저 라이브’ 앱이 4월 7일부터 13일 사이 50명 넘는 피해자에게서 약 950만달러, 한화 약 139억8000만원 상당의 암호화폐를 빼앗는 데 연관됐다고 밝혔다. 이번 사건은 비트코인(BTC)과 이더리움(ETH), 솔라나(SOL), 트론(TRX) 등 여러 네트워크 이용자를 동시에 노렸다는 점에서 파장이 크다.

13일(현지시간) 잭XBT가 텔레그램에 올린 내용에 따르면 도난 자금은 쿠코인(KuCoin) 입금 주소 150곳 이상을 거쳐 세탁됐고, 그는 이를 중앙화 혼합 서비스로 보이는 ‘오디 A6’와 연결했다. 다만 애플과 쿠코인은 보도 시점까지 공식 입장을 내놓지 않았고, 피해 규모와 피해자 수 역시 잭XBT의 조사 결과에 기반한 상태다.

가장 큰 피해 사례는 세 건으로 집계됐다. 한 피해자는 비트코인(BTC), 스테이킹 이더(stETH), 이더리움(ETH)까지 합쳐 약 195만달러를 잃었고, 또 다른 피해자는 4월 9일 USDt(USDT) 323만달러를 도난당했다. 4월 11일에는 USDC(USDC) 약 200만달러 피해도 확인됐다.

레저(Ledger) 최고기술책임자(CTO) 찰스 귀예메는 코인텔레그래프에 “레저는 24단어 복구 문구를 절대 요구하지 않는다”며 “브라우저도, 앱스토어도, 데스크톱도 신뢰할 수 없다”고 말했다. 공식처럼 보이는 환경도 안전하다고 단정해서는 안 된다는 뜻이다.

이번 사건은 전날에도 유사 사례가 보고된 뒤 이어졌다. 뮤지션 개럿 더튼, ‘G. 러브’로 알려진 인물도 애플 앱스토어에서 악성 앱을 내려받고 시드 문구를 입력한 뒤 약 42만달러 상당의 비트코인(BTC)을 잃었다고 밝혔다. 잇따른 피해는 앱스토어 같은 공식 유통망도 공격 대상이 될 수 있다는 점을 다시 보여준다.

---

기사요약 by TokenPost.ai

🔎 시장 해석
공식 앱스토어까지 침투한 피싱 앱 사례로, 암호화폐 보안 리스크가 다시 부각됨
멀티체인 이용자를 동시에 노린 공격으로 시장 전반의 신뢰도에 단기적 부담 가능
중앙화 거래소를 통한 자금 세탁 경로도 다시 논쟁 포인트 부각

💡 전략 포인트
지갑 앱은 반드시 공식 웹사이트에서 직접 다운로드 필요
시드 문구(복구 문구) 입력 요구는 100% 사기 신호로 간주해야 함
앱스토어·검색 결과 상위 노출도 신뢰 기준이 될 수 없음
소액 테스트 전송 및 다중 지갑 분산 보관 전략 고려

📘 용어정리
시드 문구: 지갑 복구를 위한 12~24개 단어로, 유출 시 자산 전체 탈취 가능
온체인 분석: 블록체인 거래 데이터를 추적하여 자금 흐름을 파악하는 기법
믹싱 서비스: 자금 출처를 숨기기 위해 거래를 섞는 서비스
스테이블코인: 달러 등 법정화폐 가치에 연동된 암호화폐

💡 자주 묻는 질문 (FAQ)

Q. 이번 가짜 레저 앱 사건의 핵심 피해 방식은 무엇인가요? 사용자가 가짜 앱을 설치한 뒤 24단어 복구 문구를 입력하면, 공격자가 지갑 접근 권한을 탈취해 모든 자산을 빼가는 방식입니다. 복구 문구 입력 요구는 대표적인 피싱 수법입니다. Q. 공식 앱스토어도 안전하지 않은 이유는 무엇인가요? 제3자가 유사한 이름과 디자인으로 앱을 등록할 수 있기 때문입니다. 심사 시스템이 존재하지만 완벽하지 않으며, 공격자들이 이를 우회하는 사례가 반복되고 있습니다. Q. 개인 투자자는 어떻게 이런 피해를 예방할 수 있나요? 지갑 소프트웨어는 반드시 공식 사이트에서만 다운로드하고, 어떤 상황에서도 복구 문구를 입력하거나 공유하지 않아야 합니다. 또한 자산을 여러 지갑에 분산 보관하는 것이 리스크 관리에 도움이 됩니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.