AI 요약
오랫동안 가상화폐를 보유해 온 뮤지션 G. Love가 애플 맥 앱스토어의 보안 허점을 이용한 악성 앱에 속아 은퇴 자금을 모두 잃었습니다. 그는 2017년부터 비트코인에 투자해온 숙련자였으나, 새 컴퓨터에 하드웨어 지갑을 설정하던 중 애플 스토어에서 가짜 레저 앱을 진본으로 착각해 다운로드했습니다. 하드웨어 지갑의 핵심 보안 원칙은 복구 구문을 절대 소프트웨어에 입력하지 않는 것이지만, 그는 애플의 검수 시스템을 과신한 나머지 구문을 입력하고 말았습니다. 그 결과 5.92 BTC에 달하는 자금이 즉각 사라졌으며, 블록체인 조사관 ZachXBT의 추적 결과 이 자금은 9번의 거래를 거쳐 쿠코인 거래소로 이체되었습니다. 이번 사건은 거대 IT 기업의 앱 스토어조차 암호화폐 사기 앱으로부터 안전하지 않다는 사실을 보여줍니다. 또한 사용자 스스로의 철저한 보안 인식이 수반되지 않는 셀프 커스터디가 얼마나 위험할 수 있는지를 다시금 일깨워주고 있습니다.
핵심 인사이트
- 피해 액수: 약 10년간 모아온 은퇴 자금인 5.92 비트코인(BTC), 미화 약 424,000달러 상당의 자산이 한순간에 탈취됨.
- 주요 인물 및 날짜: 뮤지션 G. Love가 2026년 4월 11일(게시글 기준) 자신의 X(구 트위터) 계정을 통해 애플 스토어 내 악성 앱 피해 사실을 공개함.
- 자금 흐름: 블록체인 분석가 ZachXBT에 따르면, 도난된 자금은 9개의 트랜잭션을 거쳐 규제 준수 문제가 빈번한 쿠코인(KuCoin) 거래소 내 입금 주소로 흘러 들어감.
주요 디테일
- 공격 수법: 애플 맥 앱스토어의 보안 검수를 통과한 가짜 'Ledger Live' 앱이 사용자가 하드웨어 지갑을 설정할 때 시드 구문(seed phrase) 입력을 유도하여 자금을 탈취함.
- 플랫폼 책임: 애플은 사건 인지 후 해당 악성 앱을 삭제했으나, 검수 실패 및 보안 침해에 대해 어떠한 공식적인 입장이나 사과도 내놓지 않음.
- 과거 전례: 2023년에도 마이크로소프트(Microsoft) 스토어에서 유사한 가짜 레저 앱이 유포되어 피해자들로부터 약 60만 달러 규모의 비트코인이 탈취된 바 있음.
- 보안 위협의 다변화: 북한 요원들이 Drift Protocol에 6개월간 잠입해 2억 8,500만 달러를 해킹하거나, $1,100만 규모의 대낮 강도 사건이 발생하는 등 암호화폐 타겟 범죄가 지능화 및 물리화되고 있음.
- 개인 책임의 강조: 하드웨어 지갑 제조사는 시드 구문 입력을 요구하는 앱은 100% 사기라고 경고하고 있으며, 비트코인 셀프 커스터디에는 높은 수준의 운영 보안(OpSec) 지식이 필수적임.
향후 전망
- 애플과 마이크로소프트 등 중앙 집중식 앱 스토어의 암호화폐 관련 소프트웨어 검증 프로세스에 대한 신뢰도가 하락하며, 이에 대한 보안 강화 요구가 거세질 전망임.
- 사용자 실수(Human Error)를 노리는 사회공학적 공격뿐만 아니라, 오프라인에서의 물리적 폭력을 동반한 자금 탈취(Wrench Attack)에 대한 법적·기술적 보호 대책 마련이 시급해질 것으로 보임.