레저, 또 고객 정보 유출…외부 해킹에 주문내역·연락처 노출

암호화폐 지갑 제조사 레저(Ledger)가 자사 고객 정보가 외부 파트너사의 해킹으로 유출됐다는 사실을 공식 확인했다. 이번 사고는 이커머스 플랫폼 글로벌이(Global-e)를 겨냥한 공격으로, 일부 구매자의 이름과 연락처 등 개인정보가 외부로 유출된 것으로 드러났다.

글로벌이는 공격 사실을 인지한 뒤 고객들에게 이메일로 정보를 전달했다. 레저 측은 성명을 통해 “자사의 하드웨어나 소프트웨어는 직접적인 해킹 대상이 아니며, 지갑 보안에는 전혀 영향을 미치지 않았다”고 강조했다. 해킹은 글로벌이가 보유한 주문 시스템에서 발생했으며, 레저가 판매 과정에서 글로벌이를 공식 거래처로 사용한 고객의 주문 정보 일부가 노출됐다.

레저는 암호화폐와 NFT 등을 저장할 수 있는 하드웨어 지갑을 판매한다. 이 지갑은 24단어 복구 코드를 이용해 암호화폐 자산을 오프라인에서 안전하게 보호할 수 있도록 설계돼 있으며, 사용자는 레저의 전용 앱인 '레저 라이브(Ledger Live)'를 통해 자산 관리, 구매, 교환 등을 수행할 수 있다. 그러나 글로벌이와 같은 협력 업체는 이러한 보안 시스템이나 디바이스에 접근 권한이 없는 상태다.

글로벌이는 해킹 사실을 공개하며, 네트워크 일부에서 이상 활동을 포착한 즉시 시스템을 차단하고 조사를 개시했다고 전했다. 이들에 따르면 유출된 데이터에는 이름, 주소, 이메일, 전화번호, 주문 내역 등이 포함됐지만, 결제 정보나 계정 비밀번호 등 민감한 금융 정보는 포함되지 않았다.

레저는 이미 2020년 마케팅 및 상거래 데이터베이스 해킹으로 약 27만 명 고객 정보가 유출된 바 있다. 또 당시 협력사였던 쇼피파이(Shopify) 소속 내부 직원의 범행으로 약 29만 2,000건의 고객 정보가 외부에 노출되며 큰 파장을 일으켰다.

최근 사고와 관련해 레저는 이용자들에게 피싱 공격에 대한 주의를 당부하고 있다. 탈취된 연락처를 통한 악성 피싱 메일과 스미싱 시도가 증가할 수 있기 때문이다. 회사는 사용자가 복구 코드 또는 개인정보를 제삼자와 절대 공유하지 말고, 의심스러운 연락이 올 경우 반드시 정식 경로를 통해 문의할 것을 권고하고 있다.