암호화폐 하드웨어 지갑으로 잘 알려진 레저(Ledger)가 고객 개인정보 유출이라는 또 다른 보안 사고에 직면하면서 사용자들의 불안이 가중되고 있다. 이번 사건은 레저의 하드웨어 지갑과는 관계없는 외부 결제 처리 파트너인 ‘글로벌이(Global-e)’의 시스템 해킹으로 발생했으며, 그 결과 고객의 이름과 연락처 정보가 유출된 것으로 확인됐다.

블록체인 보안 전문가인 잭엑스비티(ZachXBT)는 1월 5일, 글로벌이의 시스템에서 해킹이 발생했으며 이를 통해 레저 고객들의 개인 정보가 노출되었음을 발표했다. 피해를 입은 고객들은 사전에 관련 통지를 받았고, 글로벌이는 클라우드 환경에서 이상 징후를 즉시 감지해 외부 포렌식 전문가와 협력하여 사고를 대응했다고 밝혔다.

이번 유출 사건에도 불구하고 레저는 고객 자산의 보안이 전혀 영향을 받지 않았고, 하드웨어 지갑의 근본적인 보안 문제와는 관계가 없음을 강조했다. 주요 정보인 결제 카드정보, 비밀번호, 24단어 복구 문구, 지갑의 개인 키 등은 노출되지 않았다.

그러나 전문가들은 단순히 연락처 정보만 유출된 것이라고 안심할 수는 없다고 경고하고 있다. 암호화폐 업계에서는 이전에도 유사한 정보가 피싱 공격이나 사기, 심지어 물리적 위협으로 악용된 사례가 다수 존재했다. 특히 레저는 2020년 대규모 고객 정보 유출 사건으로 인해 반복적인 피싱 공격과 협박을 받아야 했던 경험이 있다. 이 사건에서는 110만 개의 이메일 주소와 약 29만 개의 사용자의 자택 주소 및 전화번호가 유출되어 지금도 그 영향이 이어지고 있다.

이번 사건은 단순한 해킹 사건을 넘어서, 암호화폐 생태계에서의 공급망 보안 문제가 심각하다는 것을 드러내고 있다. 최근에는 트러스트월렛(Trust Wallet)과 메타마스크(MetaMask) 사용자들이 브라우저 확장 프로그램을 통해 자산 유출 피해를 입었다. 또한, 암호화폐 세금 소프트웨어 코인리(Koinly) 역시 Mixpanel 해킹으로 일부 이메일이 노출되었다고 발표했다.

이와 같은 보안 사고들이 동시에 발생하면서 사용자들의 불안감이 커지고 있다. 특히 공격자들이 노리는 주요 대상이 바로 사용자의 데이터에 접근할 수 있는 공급망 파트너들임을 고려할 때, 이를 통한 구조적인 취약점이 더욱 심각해질 수 있다.

2023년 12월에 발생한 ‘레저 커넥트 킷(Connect Kit)’의 자바스크립트 라이브러리 변조 공격도 이러한 맥락에서 발생하여, 일부 디앱 사용자들이 약 50만 달러(약 7억 2,440만 원)의 자산을 잃었다. 하드웨어 지갑은 안전하지만 제3자인 디앱 연결 도구의 취약점이 문제를 일으킨 경우이다.

이후 공격자들은 유출된 정보를 바탕으로 정교한 피싱 공격을 계속하고 있다. 지난해 4월에는 일부 레저 사용자들이 정식 우편으로 위장한 가짜 안내문을 받았고, 그 안내문에 적힌 QR 코드를 스캔하거나 24단어 복구 문구를 입력하도록 유도되었다. 비록 레저 측이 이를 공식적으로 해명했지만, 이미 피해를 본 사용자들은 자금을 잃는 상황이 발생했다.

레저 사용자 및 암호화폐 투자자들은 공급망 기반 해킹의 위험성을 더 이상 간과해서는 안 된다. 지갑이 완벽하더라도 단지 이름이나 이메일 하나가 유출되면 심각한 2차 피해로 이어질 수 있다는 점을 명심해야 한다. 업계에서는 2025년 한 해 동안 피싱 피해가 83% 감소했다고 보고되었지만, 전문가들은 시장이 다시 활성화되면 공격이 재개될 수 있다고 경고하고 있다. 현재 공격자들의 수법은 계속해서 진화하고 있으며, 사용자들은 이에 대한 경각심을 가져야 한다.