가짜 Ledger Live 앱, 애플 앱스토어 통해 950만 달러 암호화폐 탈취 사건 분석

가짜 Ledger Live 앱이 약 2주간 애플 앱스토어에 등록되어 있었으며, 4월 14일 애플이 해당 앱을 삭제하기 전까지 최소 50명이 암호화폐 총 950만 달러 상당을 잃었습니다. 이 앱은 실제 Ledger 하드웨어 지갑을 개발하는 Ledger SAS와 아무런 관련이 없는 'Leva Heal Limited'라는 명의로 등록되었습니다. 피해자들은 공식 Ledger 동반 앱으로 오인해 해당 앱을 설치하고, 시드 구문을 입력한 직후 지갑 자산이 빠르게 사라지는 것을 목격했습니다.

블록체인 조사자인 ZachXBT는 탈취된 자금의 흐름을 추적하여 4월 14일 전체 내역을 공개했습니다. 가장 큰 세 건의 피해는 USDT 323만 달러, USDC 208만 달러, BTC·ETH·stETH 합산 195만 달러입니다. 한 피해자는 X(구 트위터)에 5.9 BTC, 즉 10년간 저축한 전 재산을 잃었다고 밝혔습니다.

이 사건은 애플 앱스토어의 심사 절차가 6일간 제대로 작동하지 않았고, 이를 신뢰한 사용자들이 큰 피해를 입은 사례입니다.

사기 방식: 다운로드부터 탈취까지

공격 방식은 단순하면서도 효과적이었습니다. 가짜 Ledger Live 앱은 macOS 앱스토어에 실물과 동일한 아이콘과 이름, 유사해 보이는 개발자 명의로 등록되었습니다. 'Leva Heal Limited'라는 이름은 앱스토어에서 'Ledger Live'를 검색하는 일반 사용자에게는 특별한 의미가 없고, 애플의 심사 절차가 가짜 앱을 걸러낼 것이라 기대했기 때문입니다.

설치 후, 앱은 실제 Ledger Live와 동일한 지갑 설정 화면을 보여줍니다. 사용자는 24단어 복구 구문을 입력해 지갑을 '복원' 또는 '동기화' 하도록 요청 받습니다. 이 단어들이 입력되는 즉시 공격자는 피해자의 모든 자산에 접근할 수 있게 됩니다. 악성코드 주입이나 보안 취약점 없이, 단순 입력 폼과 신뢰를 기반으로 한 접근이었습니다.

피해는 매우 빠르게 발생했습니다. 4월 7일부터 13일까지 공격자들은 체계적으로 자금을 옮겼고, USDT 323만 달러는 4월 9일, BTC·ETH·stETH 195만 달러는 4월 8일, USDC 208만 달러는 4월 11일에 각각 탈취되었습니다. 모든 사례에서 복구 구문 입력 후 수분 내 자금이 즉시 이체되었고, 여러 중간 지갑을 거쳐 거래소 입금 주소로 흘러갔습니다.

자금의 흐름

ZachXBT의 온체인 분석에 따르면, 탈취된 자금은 150개 이상의 KuCoin 입금 주소를 경유했습니다. 세탁 과정에서는 'AudiA6'라는 중앙화 믹싱 서비스를 활용하여 자금을 여러 주소로 분산시켜 추적 및 동결 위험을 줄였습니다.

KuCoin이 출금 경로로 선택된 점도 주목할 만합니다. KuCoin은 최근 몇 년간 다양한 관할지역에서 규제 압력을 받았으며, KYC 요건이 미국 내 거래소에 비해 덜 엄격하다는 평가를 받았습니다. 공격자 입장에서는 자금 동결 위험이 낮은 거래소를 통해 현금화하는 것이 유리합니다.

4월 16일 현재까지 탈취된 자금은 회수되지 않았으며, 믹싱 서비스와 빠른 세탁 과정 때문에 복구는 매우 어렵지만, KuCoin이 법 집행기관의 요청에 따라 관련 계정을 동결하면 일부 회수 가능성도 있습니다.

애플 심사 절차의 실패 원인

피해자 입장에서 가장 뼈아픈 부분입니다. 애플은 앱스토어 거래에서 30% 수수료를 부과하며, 심사 절차를 통해 경쟁 플랫폼보다 더 안전하다고 마케팅해 왔습니다. 이러한 앱스토어의 보안은 대체 앱스토어나 사이드로딩을 금지하는 주요 논리이기도 했습니다.

그러나 가짜 암호화폐 지갑 앱이 약 2주간 등록되어 있었고, 애플 심사팀은 앱이 스토어에 있는 내내 이를 적발하지 못했습니다. 실제로 앱은 커뮤니티 신고와 언론 보도가 나오면서 뒤늦게 삭제되었습니다.

9to5Mac 보도에 따르면, 해당 날짜에 Ledger 복제 앱 외에도 Freecash 사칭 앱 등 여러 문제가 동시에 발생해 단일 실수가 아니라 심사 시스템 전반의 문제임을 시사합니다.

애플은 앱 삭제 후 개발자 계정을 종료했다고 밝혔지만, 이미 950만 달러의 피해가 발생한 후라 사후 조치에 불과했습니다. 근본적인 의문은, 유명 암호화폐 앱의 복제본이 아무런 관련 없는 개발자 명의로 어떻게 심사를 통과했는가에 있습니다.

피해자와 법적 논의

피해자 50여 명은 단순 숫자가 아닙니다. X(@glove)에서 5.9BTC, 10년간 모은 저축금을 잃었다고 공개한 사용자가 대표적입니다. 이외에도 하드웨어 지갑을 가장 안전한 저장 방식이라 믿고 콜드월렛에 보관 중이던 스테이블코인 등 6~7자리 금액을 잃은 사례가 다수입니다.

이 아이러니는 깊습니다. 피해자들은 텔레그램 등 수상한 링크를 클릭한 것이 아니라, 앱스토어라는 공식 플랫폼에서 검증된 앱임을 믿고 다운로드했습니다. 대부분의 보안 가이드가 "공식 스토어에서 앱을 받으라"고 조언하는 이유이기도 합니다.

ZachXBT는 피해 규모가 집단 소송의 근거가 될 수 있다고 언급했습니다. 법적 쟁점은 애플의 이용자 보호 의무입니다. 애플은 폐쇄적 생태계와 강력한 심사 절차로 이익을 얻고, iOS에서 공식 앱스토어 외 설치를 제한하며, 심사 시스템이 악성 소프트웨어로부터 이용자를 보호한다고 강조합니다. 이 과정이 실패해 수백만 달러의 손실이 발생했다면, 마케팅 주장과 실제 보안 사이의 괴리가 법적 책임 논의로 이어질 수 있습니다.

집단 소송이 실제로 제기될지는 피해자 조직화와 법률 회사의 대응에 달려 있습니다. 하지만 이번 사례는 단일 사건을 넘어선 선례가 될 수 있습니다. 만약 애플이 950만 달러 규모의 피해에 대해 법적 책임을 지지 않는다면, 앱스토어 보안 보장은 단순한 마케팅 문구에 그칠 수도 있습니다.

가짜 지갑 앱에 속지 않으려면

이번 사건의 교훈은 "공식 앱스토어에서 다운로드하라"는 조언만으로는 충분하지 않다는 점입니다. 추가적인 검증 절차가 필수이며, 1분 이내에 확인할 수 있습니다.

다운로드 전 개발자 명의 확인하기. 실제 Ledger Live는 'Ledger SAS'에서 배포합니다. 이번 사건에서 가짜 앱은 'Leva Heal Limited' 명의였습니다. 이 한 가지 확인만으로도 대다수 피해를 막을 수 있었습니다. 공식 홈페이지의 다운로드 링크와 앱스토어 정보를 반드시 대조하세요.

어떠한 앱에도 시드 구문을 입력하지 않기. 24단어 복구 구문은 지갑의 마스터 키입니다. 합법적인 지갑 앱은 '동기화'나 '복원'을 이유로 소프트웨어 인터페이스에 복구 구문 입력을 요구하지 않습니다. Ledger 공식 문서에서도 복구 구문은 반드시 하드웨어 기기에서만 입력하라고 안내합니다.

진짜 다운로드 페이지를 북마크하기. ledger.com/ledger-live에서 도메인을 직접 확인하고 북마크로 저장하세요. 필요 시 항상 이 북마크를 사용해 설치·업데이트하며, 매번 앱스토어에서 검색하지 마세요. 검색 결과에 가짜 앱이 노출될 수 있기 때문입니다.

신뢰 전 소액 전송으로 검증하기. 이미 앱을 설치한 경우, 실제 앱인지 확인하려면 우선 소액(예: 5달러 상당)만 송금해 정상 도착하는지 확인하세요.

자산을 규제 거래소에 보관하는 사용자는 이제 선택 기준이 달라질 수 있습니다. 스스로 키를 관리하는 셀프 커스터디 방식이 자산 주권 측면에서 이상적이지만, 모든 소프트웨어 검증 책임이 사용자에게 있습니다. 거래소 보관 방식은 가짜 앱 위험을 원천 차단하지만, 거래소 도산 등 별도의 리스크가 존재합니다.

이번 사건의 암호화폐 보안 관점 의미

이번 사건은 스마트컨트랙트 해킹이나 블록체인 자체 취약점이 아닙니다. 플랫폼 심사 절차에 대한 사용자의 신뢰라는 보안 체인의 가장 약한 고리를 악용한 사회공학적 사기였습니다. 애플 심사 시스템이 신뢰 기반을 제공했기에 가능한 일이었습니다.

암호화폐 업계는 온체인 보안 강화를 위해 다중서명 지갑, 하드웨어 보안 모듈, 스마트컨트랙트 공식 검증, 버그 바운티 프로그램 등 다양한 노력을 기울여 왔습니다. 그러나 공격 지점은 변하고 있습니다. 2025~2026년의 주요 탈취 사건은 프로토콜 해킹이 아니라, 사회공학적 접근, 피싱, 그리고 가짜 애플리케이션을 통한 공격이었습니다. 사용자의 인식과 실제 보안 사이 간극을 겨냥한 것입니다.

The Block 보도에 따르면 이번 사건으로 비트코인, 이더리움, 솔라나, 트론, XRP 등 여러 체인의 자산이 탈취됐으며, 시드 구문 하나로 모든 네트워크의 연동 지갑에 접근할 수 있기에 단 한 번의 입력이 전체 손실로 이어졌습니다.

애플 입장에서도 이는 암호화폐를 넘어선 평판 문제입니다. 앱스토어가 금융 앱 복제본조차 걸러내지 못한다면, 폐쇄 생태계의 보안 논리는 약해집니다. 이미 EU 규제당국은 디지털마켓법(DMA)에 따라 애플에 사이드로딩 허용을 요구하고 있어, 앱스토어 독점의 근거로 삼아온 심사 시스템의 신뢰성은 추가 도전 과제에 직면했습니다.

Phemex에서 거래 시작하기 →

자주 묻는 질문

가짜 Ledger 앱이 애플 앱스토어에 등록된 이유는?

애플 심사 시스템이 일반적으로 악성코드 탐지에는 효과적이지만, 실제 금융 앱을 사칭하는 동일한 UI·브랜딩을 가진 앱을 모두 걸러내지는 못합니다. 가짜 Ledger Live는 'Leva Heal Limited' 명의로 등록됐고, 개발자 명과 브랜드 불일치를 애플이 적발하지 못했습니다. 앱은 커뮤니티 신고 후에야 삭제됐습니다.

피해자들이 탈취당한 950만 달러를 되찾을 수 있나?

현재로선 회수가 매우 어렵지만, 완전히 불가능한 것은 아닙니다. 자금은 150개 이상의 KuCoin 입금 주소와 'AudiA6' 믹싱 서비스를 거쳤습니다. KuCoin이 법 집행 기관에 협조해 관련 계정을 동결한다면 일부 회수 가능성이 있습니다. 그러나 믹싱 과정 자체가 추적과 동결을 어렵게 설계되어 있으며, 4월 16일 기준 회수된 자금은 없습니다.

이번 사건 이후 Ledger 하드웨어 지갑을 계속 사용해도 안전한가?

Ledger 하드웨어 지갑 자체는 침해되지 않았습니다. 취약점은 가짜 소프트웨어 앱에 시드 구문을 입력하도록 유도한 것입니다. Ledger 기기는 복구 구문을 오직 실물 기기에서만 입력하고, Ledger Live는 반드시 ledger.com 공식 페이지에서만 설치하면 안전합니다.

애플이 가짜 앱에 의한 피해에 대해 법적 책임을 질 수 있나?

ZachXBT 등은 집단 소송 가능성을 제기했습니다. 애플은 앱스토어가 안전한 마켓플레이스임을 내세워 이익을 얻고 폐쇄 생태계를 운영합니다. 이 과정에서 심사 시스템이 실패해 직접적 금전 피해가 발생했다면, 이용자 보호 의무 위반에 대한 법적 논의가 있을 수 있습니다. 아직 소송은 제기되지 않았지만, 950만 달러 피해는 중요한 선례가 될 수 있습니다.

결론

애플 앱스토어의 가짜 Ledger Live 앱 사건은 많은 암호화폐 이용자들이 신뢰했던 보안 체계에 존재하는 허점을 드러냈습니다. 50여 명의 사용자가 애플 심사 시스템을 믿고 시드 구문을 입력했지만, 6일 만에 950만 달러가 탈취되었습니다. 공격자는 소프트웨어 복제와 명의 도용만으로 피해자 키를 손쉽게 확보했습니다.

이 사건이 주는 실질적 교훈은 다음과 같습니다. 어떤 암호화폐 앱이든 설치 전 개발자 명의를 확인하세요. 시드 구문은 절대 소프트웨어 화면에 입력하지 마세요. 그리고 앱스토어의 '공식' 딱지가 반드시 안전을 보장하지는 않는다는 점을 명심해야 합니다. 현재 믹싱 서비스에 남아 있는 950만 달러가 그 반증입니다.

이 글은 정보 제공 목적이며, 투자 또는 재정적 조언이 아닙니다. 암호화폐 거래에는 상당한 위험이 따르므로, 투자 결정 전 반드시 스스로 정보를 확인하시기 바랍니다.