App Store의 가짜 Ledger 앱: 사기꾼들이 어떻게 950만 달러를 훔쳤는지, 그리고 지갑을 보호하는 방법

App Store의 가짜 Ledger 앱: 사기꾼들이 어떻게 950만 달러를 훔쳤는지, 그리고 지갑을 보호하는 방법

Garrett Dutton은 G. Love라는 이름으로 30년 이상 블루스를 연주했습니다. 그동안 그는 전 세계에 팬을 만들고 은퇴를 위해 일부를 저축했습니다. 5.9 Bitcoin, 2026년 4월 가격으로 약 42만 달러에 해당하는 금액이었습니다. 그는 그 코인을 퇴직 자금이라고 불렀습니다. 4월에 그는 App Store에서 앱을 다운로드하고 seed phrase를 입력했고, 몇 분 안에 저축한 모든 것을 잃었습니다.

Dutton의 이야기가 뉴스를 장식한 것은 그가 유명인이기 때문이 아니라 그가 혼자가 아니기 때문입니다. 블록체인 조사관 ZachXBT는 합계 950만 달러를 잃은 50명 이상의 피해자를 확인했습니다. 자금은 Bitcoin, Tron, Solana 지갑에서 빠져나가 KuCoin을 사용하는 믹서와 연결된 주소로 이동했습니다.

이것은 인터넷의 어두운 구석이 아니었습니다. 이것은 Apple의 공식 App Store였습니다.

무슨 일이 있었나: Apple 스토어의 가짜 Ledger Live

Ledger는 세계에서 가장 인기 있는 하드웨어 지갑 중 일부를 만드는 프랑스 회사입니다. 공식 Ledger Live 앱은 잔액 확인, 트랜잭션 전송, 펌웨어 업데이트 등 Ledger 기기를 관리하도록 설계되어 있습니다. 앱은 무료이며 공식 버전은 회사 웹사이트에서 직접 제공됩니다.

사기꾼들은 클론을 만들었습니다. Ledger Live와 시각적으로 구별할 수 없는 복사본이었으며 어떻게든 Apple의 심사를 통과했습니다. 앱은 Mac App Store에 나타나 수십 명의 피해자를 낼 때까지 충분히 오래 남아 있었습니다. ZachXBT에 따르면 이 캠페인은 약 일주일 동안 진행되었습니다.

이 수법은 seed phrase 피싱을 통해 작동했습니다. 앱은 실제 Ledger Live처럼 보였고 사용자에게 24단어 니모닉 구문을 입력하도록 유도했습니다. 표면적으로는 "동기화" 또는 "접근 복구"를 위한 것이었습니다. 피해자가 단어를 입력하는 순간 공격자는 지갑을 완전히 제어하고 즉시 자금을 빼냈습니다.

"Garrett Dutton의 5.9 Bitcoin은 이미 KuCoin과 관련된 입금 주소로 전송되었습니다" – ZachXBT, 2026년 4월

Apple은 공개 스캔들 이후 대응했습니다. 앱이 삭제되고 개발자는 App Store 프로그램에서 퇴출되었습니다. Cointelegraph에 보낸 코멘트에서 회사는 삭제를 확인했습니다. 하지만 가짜가 어떻게 심사를 통과했는지, 그리고 조치를 취하는 데 얼마나 걸렸는지에 대한 질문은 명확한 답 없이 남아 있습니다.

왜 App Store 모더레이션이 사기꾼을 막지 못했나

Apple은 수년간 자사 스토어를 안전한 생태계로 포지셔닝해 왔습니다. 제3자 소스에서 앱을 설치할 수 있는 Android와는 달리 말입니다. 그 신뢰가 사용자에게 역효과를 냈습니다. 많은 사람들이 공식 스토어에서 찾았다는 이유만으로 앱의 합법성을 의심하지 않았습니다.

가짜가 정확히 어떻게 심사를 통과했는지는 여전히 불분명합니다. App Store 모더레이션은 자동 검사와 수동 검토를 결합하지만 개발자의 의도보다 코드 보안에 주로 초점을 맞춥니다. 단순히 단어 입력 양식을 표시하고 입력 내용을 서버로 보내는 앱은 기술적으로 전통적인 의미의 "악성 코드"를 포함하지 않을 수 있습니다.

사기꾼들은 심사를 우회하기 위해 여러 가지 전술을 사용했을 수도 있습니다:

• 먼저 무해한 버전을 제출한 다음 승인 후 기능 업데이트
• 기술적으로 상표 규칙을 위반하지 않으면서 원본과 유사한 이름 사용
• 사용자 신고를 통해 주목받는 것을 피하기 위해 소규모 대상 타겟팅

ZachXBT는 Apple의 책임 문제를 공개적으로 제기했습니다. 플랫폼이 개발자로부터 수수료를 받고 모더레이션을 사용자 보호로 홍보한다면, 모더레이션이 막지 못한 손실에 대해 어떤 책임을 지고 있을까요? 아직 법적 답변은 없지만 평판 피해는 분명합니다.

돈은 어디로 갔나: Bitcoin, Tron, Solana와 믹서 흔적

사기꾼들이 자금을 이동시킨 방식은 특별한 주목을 받을 만합니다. ZachXBT는 자금을 추적하여 Bitcoin, Tron, Solana의 도난 자산이 KuCoin과 연결된 믹서를 통과했음을 발견했습니다. 이는 표준적인 빠른 익명화 방식입니다. 자금을 소액으로 분산하고 많은 주소를 통해 섞은 다음 추적하기 어려운 거래소로 인출합니다.

KuCoin 자체는 여기서 잘못이 없습니다. 공격자들은 플랫폼 자체가 아니라 거래소와 관련된 주소를 사용했습니다. 하지만 흔적은 중요합니다. 범죄자들이 즉흥적으로 행동하지 않고 미리 구축된 자금 세탁 인프라를 갖고 있었음을 보여줍니다. 이것은 무작위 해킹이 아니라 명확한 계획을 가진 조직된 그룹이었습니다.

이것이 바로 AML 도구를 통해 주소를 확인하는 것이 중요한 이유입니다. 특히 알 수 없는 출처에서 자금을 받을 때 더욱 그렇습니다. 주소가 이미 자금 세탁 계획에 나타난 경우 좋은 AML 스캐너가 이를 표시합니다. 저희 포털에는 AML 검사 도구가 있습니다. Bitcoin 및 다른 블록체인의 주소를 알려진 사기 지갑 및 고위험 소스 데이터베이스와 대조하여 확인합니다.

피해자들이 저지른 핵심 실수: seed phrase는 절대 앱에 입력하지 않습니다

이것은 명백하게 들릴 수 있지만 경험 많은 사용자들조차 반복적으로 저지르는 실수입니다. Seed phrase (12개 또는 24개 단어의 니모닉)는 지갑의 마스터 키입니다. 그 단어들을 가진 사람이 코인을 소유합니다. 끝입니다.

실제 Ledger Live는 절대로 seed phrase를 요청하지 않습니다. 절대로요. 이것은 하드웨어 지갑 작동 방식의 기본 원칙입니다. 개인 키는 절대 기기를 떠나지 않으며, seed phrase는 새 기기에서 지갑을 물리적으로 복원하는 경우에만 필요합니다. 컴퓨터의 소프트웨어가 아닌 기기 자체에 입력합니다.

앱이 seed phrase를 요청한다면, 그것은 사기입니다. 어떻게 생겼는지, 어디서 다운로드했는지는 중요하지 않습니다. 예외는 없습니다.

Seed phrase에 대해 기억해야 할 것들

• 컴퓨터나 전화의 소프트웨어에 seed phrase를 절대 입력하지 마십시오
• 사진을 찍거나 디지털로 저장하지 마십시오
• 지원 직원을 포함하여 누구와도 공유하지 마십시오
• 안전한 장소의 종이나 금속 백업에만 보관하십시오

사기꾼들이 피해자를 선택한 방법

하드웨어 지갑은 이미 크립토를 이해하는 사람들이 사용합니다. 이들은 거래소에서 처음 100달러를 구매한 초보자가 아닙니다. 상당한 금액을 보호하기 위해 의도적으로 콜드 스토리지를 선택한 홀더들입니다. 그래서 피해자 1인당 평균 손실이 그토록 높았습니다. 50명 이상의 피해자에 대한 950만 달러는 1인당 평균 약 19만 달러에 달합니다.

사기꾼들은 돈이 있는 곳으로 갔습니다. Ledger 사용자들이 일반적인 홀더가 아니라는 것을 알고 있었습니다. 그리고 Apple 생태계에 대한 신뢰가 잘못된 안전감을 만들어낸다는 것도 알고 있었습니다.

G. Love는 하드웨어 지갑을 사용하고 공식 스토어에서 앱을 다운로드하면 안전하다고 믿었을 가능성이 높습니다. 이것이 전형적인 함정입니다. 누군가가 올바른 결정을 내리고(하드웨어 지갑) 마지막 단계에서 하나의 치명적인 실수를 저지르는 것입니다.

Apple에 대한 질문: 누가 책임을 지는가

ZachXBT의 게시물과 미디어 보도의 물결 이후, Apple은 신속하게 앱을 제거하고 개발자의 계정을 폐쇄했습니다. 하지만 그것은 구조적 질문에 대한 답이 아닙니다.

App Store는 단순한 앱 디렉토리가 아닙니다. Apple이 개발자에게 수익의 30%와 연간 회원비를 청구하는 큐레이션된 생태계입니다. 회사는 신뢰를 제품으로 팝니다. "모든 앱을 검토합니다"라는 태그라인은 단순한 마케팅이 아닙니다. 그것은 안전 약속입니다.

그 약속이 깨지고 사용자들이 실제 돈을 잃으면 합리적인 질문이 따릅니다. 피해자가 Apple에 보상을 요청할 수 있을까요? 지금 당장은 거의 불가능합니다. App Store 서비스 약관은 제3자 앱 콘텐츠에 대한 회사의 책임을 제거합니다. 하지만 콘텐츠 책임에 관한 플랫폼에 대한 규제 압력이 전 세계적으로 증가하고 있으며, 이 사건은 대형 플랫폼이 더 많은 책임을 져야 한다고 주장하는 사람들에게 또 다른 근거가 됩니다.

ZachXBT는 직접 물었습니다. Apple이 950만 달러의 도난 자금에 책임이 있나요? 그는 답을 받지 못했습니다.

이번이 처음이 아닙니다: 앱 스토어를 통한 피싱의 역사

Ledger 사건은 독특하지 않습니다. 수년간 인기 있는 크립토 지갑과 자산 관리 앱의 가짜 버전이 App Store와 Google Play 모두에서 주기적으로 등장했습니다. 모더레이션이 이를 잡아냅니다. 하지만 항상 빠르지 않고, 사용자가 피해를 입기 전에 항상 잡아내는 것도 아닙니다.

2021년에는 또 다른 유명 하드웨어 지갑 제조사인 가짜 Trezor 앱과 유사한 사건이 발생했습니다. 2023년에는 MetaMask와 Trust Wallet 앱 위조 사례가 기록되었습니다. 매번 수법은 대략 같습니다. 설득력 있는 시각적 복사본, seed phrase 또는 개인 키 요청, 즉각적인 자금 인출입니다.

크립토 업계는 다양한 방식으로 대응합니다. Ledger는 정기적으로 사용자에게 경고합니다. 앱은 감독이 더 약한 앱 스토어가 아니라 공식 사이트 ledger.com에서만 다운로드해야 한다고 말입니다. 하지만 대부분의 사람들은 이것을 모릅니다. 또는 친숙한 인터페이스에서 편리한 "설치" 버튼을 볼 때 이것을 생각하지 않습니다.

실제 앱을 사용하고 있는지 확인하는 방법

하드웨어 지갑을 사용하거나 사용을 계획하는 누구에게나 구체적인 단계들이 있습니다:

Ledger 사용자를 위한 방법

• Ledger Live는 공식 사이트 ledger.com에서만 다운로드하십시오. 다른 곳은 안 됩니다
• Windows 또는 Linux에서 다운로드하는 경우 설치 프로그램의 디지털 서명을 확인하십시오
• App Store 또는 Google Play에서 Ledger Live를 설치하지 마십시오. 회사는 공식적으로 웹사이트를 권장합니다
• 가짜에 대한 경고를 위해 공식 Ledger 채널을 정기적으로 확인하십시오

모든 크립토 지갑을 위한 일반 보안 규칙

• Seed phrase는 절대 소프트웨어에 입력하지 않습니다
• 크립토 관련 앱을 설치하기 전에 개발자를 확인하십시오: 이름, 게시 날짜, 리뷰 수
• 리뷰가 적거나 최근 게시 날짜의 앱에 회의적이십시오
• 대규모 보유량에는 전용 기기를 사용하십시오
• 사기 지갑 데이터베이스와 주소를 정기적으로 확인하십시오

보호를 유지하는 데 도움이 되는 도구들

저희는 이 사건의 맥락뿐만 아니라 크립토 작업을 더 안전하게 만드는 여러 도구를 모아두었습니다.

AML 주소 검사. 알 수 없는 출처에서 이체를 받거나 새 주소로 자금을 보내기 전에 그 이력을 확인하십시오. 저희의 AML 검사 도구는 Bitcoin, Ethereum, Tron 및 다른 블록체인의 주소를 분석하고 주소가 알려진 사기 계획, 믹서 또는 제재 목록과 연결되어 있는지 보여줍니다. 이런 도구는 피해자의 자금이 도달한 주소를 식별할 수 있었을 것입니다. 하지만 이 경우 그들은 발신자가 아닌 최종 수령인이었습니다.

거래소 비교. 피해자 중 일부는 핫 지갑에 자산을 보유하고 거래소를 사용하여 포트폴리오를 관리했을 가능성이 높습니다. 신뢰할 수 있는 거래소를 선택하는 것도 보안의 일부입니다. 저희의 거래소 리뷰 섹션에서는 보안 정책, 보험 기금, 사건 이력을 고려한 주요 플랫폼의 현재 등급을 정리했습니다.

포트폴리오 관리. 다른 지갑과 플랫폼에 걸쳐 자산을 분산하면 위험이 줄어듭니다. 모든 것이 한 곳에 있다면 단 하나의 실수로 모든 것을 잃을 수 있습니다. 저희의 포트폴리오 트래커는 개인 키를 전송하지 않고 하나의 인터페이스에서 다양한 주소와 거래소의 자산을 모니터링하는 데 도움이 됩니다.

왜 하드웨어 지갑이 여전히 최선의 선택인가

가짜 Ledger 이야기는 하드웨어 지갑이 신뢰할 수 없다는 인상을 만들 수 있습니다. 그것은 사실이 아닙니다. 하드웨어 지갑 자체, 즉 기기는 절대 손상되지 않았습니다. G. Love의 개인 키는 그의 Ledger Nano에서 유출되지 않았습니다. 그는 seed phrase를 제3자 앱에 입력했기 때문에 자금을 잃었습니다. 사실상 스스로 사기꾼에게 키를 건네준 것입니다.

하드웨어 지갑은 키를 오프라인으로 유지하기 때문에 정확히 작동합니다. 사용자가 기본 보안 규칙을 따른다면, 즉 seed phrase를 디지털로 절대 입력하지 않고 검증되지 않은 소프트웨어를 절대 설치하지 않는다면, 컴퓨터가 악성 코드에 감염되더라도 자금은 안전합니다.

문제는 기술이 아닙니다. 문제는 인적 요인과 게이트키퍼 역할을 맡았지만 이를 이행하지 못한 플랫폼입니다.

이 사건이 업계의 성숙도에 대해 말하는 것

크립토는 Bitcoin 포럼에서 주류 금융 제품으로 먼 길을 왔습니다. 하지만 청중이 늘어날수록 사기꾼들의 매력도 커집니다. 일주일 동안 50명 이상에게서 950만 달러를 훔친 것은 사소한 사건이 아닙니다. 그것은 주요 기술 회사에 대한 신뢰를 이용한 준비된 인프라를 갖춘 조직된 캠페인입니다.

업계는 다양한 방식으로 대응합니다. 일부는 더 큰 플랫폼 책임을 요구합니다. 다른 사람들은 기본으로 돌아갑니다. 당신의 키가 아니면, 당신의 코인이 아닙니다. 그리고 절대로 앱에 seed phrase를 신뢰하지 마십시오. 두 입장 모두 옳으며 서로 모순되지 않습니다.

규제 기관과 플랫폼이 책임을 정리하는 동안 모든 사용자는 스스로를 보호할 수 있습니다. 지식과 주의가 필요하지만 개발자 수준의 기술적 기술은 필요하지 않습니다.

지금 당장 해야 할 일

하드웨어 지갑이 있다면 동반 앱을 어디서 다운로드했는지 확인하십시오. 제조사의 공식 웹사이트가 아닌 앱 스토어에서 온 것이라면 삭제하고 올바른 소스에서 다시 다운로드하십시오. 이 과정에서 seed phrase를 어디에도 입력할 필요가 없습니다.

콜드 스토리지로 이동을 고려하고 있다면, 여전히 대규모 보유량을 보호하는 가장 좋은 방법입니다. 핵심은 실제처럼 보이는 첫 번째 앱을 신뢰하는 것보다 규칙을 한 번 배우는 것입니다.

지금 바로 저희의 AML 검사 도구에서 주소의 위험을 확인할 수 있습니다. 지갑을 선택하거나 저장 옵션을 비교하고 싶다면, 저희의 지갑 리뷰 섹션을 방문하십시오. 보안, 사용성, 지원 네트워크를 고려한 하드웨어 및 소프트웨어 솔루션의 현재 등급을 정리했습니다.

G. Love는 몇 초 만에 이루어진 단 하나의 실수로 퇴직 자금을 잃었습니다. 그 이야기는 아프지만 보안과 재앙 사이의 경계선이 어디에 있는지 명확하게 보여줍니다. 그 경계선은 seed phrase를 통해 지나갑니다.