맥 앱스토어에 등록된 가짜 '레저 라이브' 앱, 사용자 시드 문구 탈취해 40만달러 비트코인 유출

애플의 공식 맥 앱스토어가 보안 허점이 되어, 가짜 암호화폐 지갑 앱이 사용자로부터 막대한 자금을 탈취하는 사건이 발생했다. 블록체인 매체 비인크립토 보도에 따르면, 앱스토어에 등록된 가짜 '레저 라이브(Ledger Live)' 앱이 사용자의 복구 시드 문구를 빼내 약 40만 달러 상당의 비트코인(BTC)을 유출한 것으로 확인됐다. 이 사건은 공식 앱스토어를 신뢰하는 사용자들을 노린 정교한 피싱 공격의 새로운 변종으로, 플랫폼의 앱 심사 시스템에 대한 심각한 의문을 제기한다.

피해자는 뮤지션 개릿 더튼(Garrett Dutton, G. Love)으로, 새 애플 맥 컴퓨터로 레저 하드웨어 지갑 환경을 설정하는 과정에서 피해를 입었다. 그는 앱스토어에서 'Ledger Live'를 검색한 후, 정식 앱처럼 보이는 이 가짜 프로그램을 다운로드해 실행했다. 앱은 사용자로부터 지갑의 복구 시드 문구(일련의 단어)를 입력하도록 요청했고, 이 민감한 정보가 공격자에게 직접 전송되면서 소유권이 이전됐다. 결과적으로 그의 지갑에서 5.9 BTC가 사라졌다.

이 사건은 하드웨어 지갑의 보안성 자체가 아닌, 사용자의 주변 소프트웨어 환경과 공식 앱 배포 채널의 취약점을 공격한 점에서 주목할 만하다. 애플 앱스토어는 일반적으로 맬웨어로부터 비교적 안전한 공간으로 인식되어 왔으나, 이번 사태는 그 신뢰를 근본적으로 훼손했다. 이는 암호화폐 사용자들에게 앱 다운로드 출처를 다시 한번 경계하라는 경고이자, 애플에게는 맥 앱스토어의 심사 프로세스 강화 압력으로 작용할 전망이다. 향후 유사 사기 앱이 다른 금융 또는 보안 애플리케이션을 사칭하며 출현할 위험이 높아졌다.