“애플 믿었는데” 보안 신화의 민낯…가짜 지갑 앱에 130억 원 ‘증발’ 작성일 04-15 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">[인더스트리 AI] 단일 피해액만 44억 원… 비트코인·솔라나 등 5대 체인 턴 ‘자동 탈취’ 수법의 실체</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8Dx8Pi1yyJ"> <figure class="figure_frm origin_fig" contents-hash="02a8c31957deb96df30349a5d5e9110db3c1f66e4679c885fb420aafcb0eb75f" dmcf-pid="6wM6QntWWd" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/15/552796-pzfp7fF/20260415094323085axty.png" data-org-width="640" dmcf-mid="4sb7q4Srhi" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/15/552796-pzfp7fF/20260415094323085axty.png" width="658"></p> </figure> <p contents-hash="865c214ff9454a89fa17c4659ab126f9be17a89b5c9466d7ea8f647b988334cf" dmcf-pid="PrRPxLFYWe" dmcf-ptype="general">[디지털데일리 김문기 기자] 그간 폐쇄적인 생태계와 엄격한 검수 시스템을 앞세워 ‘보안의 성역’으로 자처해온 애플 앱스토어가 가상자산 피싱 범죄의 전초기지로 전락했다. 유명 하드웨어 지갑 제조사인 레저(Ledger)를 사칭한 악성 앱이 애플의 감시망을 유유히 뚫고 등록돼, 단 일주일 만에 약 131억 원에 달하는 천문학적인 자산을 탈취한 것으로 드러났다.</p> <p contents-hash="06fe6dbecc08308b6cb3a77be28e1dfd5b56497c34eb08b6a0db292ce4cefa1b" dmcf-pid="QmeQMo3GyR" dmcf-ptype="general">14일(현지시간) 블록체인 전문 분석가 잭XBT(ZachXBT)와 주요 외신들이 추적한 결과에 따르면, 이번 사건의 발단은 ‘리바 힐 리미티드(Leva Heal Limited)’라는 이름의 유령 개발사가 등록한 가짜 ‘레저 라이브’ 앱에서 시작됐다. 이들은 애플이 아이폰용(iOS) 레저 라이브 앱은 공식적으로 서비스하고 있지만, 맥(macOS) 버전의 경우 개발사인 레저가 공식 홈페이지를 통해서만 직접 배포한다는 점을 교묘하게 파고들었다.</p> <p contents-hash="3ed5fcdf1ff7636086bd676bee53b392d11668eb2e734c2c578906dc7e93644b" dmcf-pid="xsdxRg0HvM" dmcf-ptype="general">실제로 맥 사용자가 앱스토어에서 ‘Ledger Live’를 검색할 경우, 공식 앱이 존재하지 않기에 해당 가짜 앱이 검색 결과 최상단에 노출되는 구조적 사각지대가 발생했다. 사용자들은 애플이 검수한 공식 스토어에 등록된 앱이라는 점을 믿고 별다른 의심 없이 앱을 내려받았다.</p> <p contents-hash="0c5bfa9be6753be12e3c7edf456f6b11a9e9a840cee946c23a435a11a1898b37" dmcf-pid="y9HyYFNdlx" dmcf-ptype="general">온체인 데이터 분석 결과, 공격자들은 사용자가 앱을 실행하고 지갑 복구를 위해 24자리 복구 구문(Seed Phrase)을 입력하는 즉시 자산을 가로채는 ‘자동 배수(Draining) 시스템’을 가동했다. 피해는 비트코인(BTC)을 비롯해 이더리움(ETH), 솔라나(SOL), 트론(TRX), 리플(XRP) 등 5대 주요 블록체인 네트워크에서 동시다발적으로 발생했다.</p> <p contents-hash="5edb69793c601b88e4587e709fab8bc74482dafed1f28060ddccdbf35e3cb58d" dmcf-pid="W2XWG3jJyQ" dmcf-ptype="general">피해 규모는 기록적인 수준이다. 지난 9일에는 단 한 명의 피해자 지갑에서 323만달러(약 44.5억원) 상당의 테더(USDT)가 일시에 인출됐으며, 11일에는 207만 달러 규모의 USDC가 사라졌다. 일주일간 집계된 전체 피해액은 약 950만달러(약 131억원)에 달하며, 확인된 피해자만 50명이 넘는다. 공격자들은 탈취한 자산을 즉각 믹싱 서비스로 전송해 추적을 회피하는 치밀함까지 보였다.</p> <p contents-hash="e832600091d9ab5dd496b327b0fbec3a268c3be708f868402d79e53d9a6d7f75" dmcf-pid="YVZYH0AiCP" dmcf-ptype="general">사태의 심각성이 인지된 이후 애플은 해당 앱을 스토어에서 삭제 조치했으나, 이미 막대한 자산이 유출된 뒤였다. 업계에서는 애플의 앱 검수 시스템에 대해 강도 높은 비난을 쏟아내고 있다. 금융 자산과 직결된 ‘레저(Ledger)’라는 상표권을 무단 도용하고, 악성 스크립트가 포함된 앱이 어떻게 애플의 엄격한 가이드라인을 통과해 승인됐느냐는 지적이다.</p> <p contents-hash="5ae55d8c385985736ad16757546721f742a546a130a4be32c4b04be4964936fd" dmcf-pid="Gf5GXpcnl6" dmcf-ptype="general">특히 애플이 유럽 등에서 제3자 앱스토어 허용 압박을 받을 때마다 ‘보안과 사용자 안전’을 명분으로 내세웠던 점을 감안하면, 이번 사고는 애플의 논리를 스스로 무너뜨린 뼈아픈 실책이라는 평가다. 레저 측은 “공식 앱은 절대 복구 구문을 요구하지 않는다”며 주의를 당부했지만, 스토어 자체의 공신력을 믿은 사용자들의 분노는 쉽게 가라앉지 않고 있다.</p> <p contents-hash="387bbca3b1457b3aef8cc4266a801a51e1dbfb69564d20d58f2bd17367235891" dmcf-pid="HWAgNr9US8" dmcf-ptype="general">보안 전문가들은 이번 사건은 단순한 개인의 부주의를 넘어 플랫폼 제공자의 검증 책임 부실이 부른 참사라며 가상자산 시장의 활황을 틈타 고도로 정교해진 사칭 앱 범죄가 기승을 부리는 만큼, 애플을 비롯한 플랫폼 사업자들의 보안 검수 알고리즘에 대한 전면적인 재검토와 혁신이 시급하다고 입을 모았다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 QWER 마젠타, 봄의 요정 비주얼 04-15 다음 한지승, PBA 큐스쿨 3연승으로 1부 투어 잔류 확정 04-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
