레저 고객 일부의 구매 정보가 결제 파트너 글로벌이 보안 사고로 유출되며 피싱 피해가 확산되고 있다. 실제 주문 정보를 바탕으로 한 공격이 사용자의 경계를 무너뜨리고 있다고 전했다.

레저 고객 노린 피싱 공격 확산…하드지갑 구매 정보 악용됐다 / TokenPost.ai

하드지갑은 안전하지만… 3자 유출로 레저 고객 노린 피싱 공격 기승

하드웨어 지갑 제조사 레저(Ledger)가 직접 해킹당하진 않았지만, 제3자 결제 파트너의 정보 유출로 인해 고객들이 피싱 공격에 노출됐다. 실제 주문 정보를 활용한 공격 방식이라 더욱 정교해진 점이 우려를 낳고 있다.

이번 사건은 글로벌 전자상거래 솔루션 기업 글로벌이(Global-e)가 연초에 겪은 보안 사고에서 비롯됐다. 글로벌이는 레저닷컴에서 이뤄지는 일부 구매의 공식 거래처로 고객 정보 처리와 상품 배송을 담당한다. 레저는 해당 사고로 자사 시스템이 해킹된 것은 아니라고 강조했지만, 고객의 이름, 연락처, 배송지, 구매 내역 등 실사용 데이터가 유출된 만큼, 이를 악용한 ‘정교한 피싱 공격’이 이어지고 있다.

주문 내역 같은 실제 맥락을 기반으로 공격이 이뤄지면, 사용자는 메시지가 진짜 레저 지원팀에서 온 것처럼 오해하기 쉽다. 예컨대 ‘Nano 지갑 주문 확인’, ‘배송 관련 보안 업데이트’처럼 사용자 상황에 맞춘 내용으로 접근해 사기 링크 클릭을 유도하거나 24단어 복구 문구를 요구하는 식이다. 레저는 “제품명이나 가격이 언급됐다고 해서 그 메시지가 진짜라는 증거는 아니다”라고 강조한다.

글로벌이 정보 유출로 생긴 피해, 어떻게 이루어졌나

2026년 1월, 레저는 고객들에게 글로벌이 시스템에서 발생한 보안 사고로 인해 일부 구매 관련 정보가 유출됐다고 공지했다. 이 사고로 노출된 정보는 제품 종류, 구매 가격, 이름, 주소, 이메일, 전화번호 등 기본적인 주문 식별 정보였다.

레저는 사고와 관련해 “하드웨어 지갑, 소프트웨어 지갑, 복구 문구, 계정 잔액 등은 전혀 영향을 받지 않았다”고 밝혔다. 그러나 유출된 정보는 피싱 공격자에게는 충분한 ‘소셜 엔지니어링 자산’이 될 수 있다. 실제 피해자들은 ‘주문 차단’, ‘보안 업데이트 필요’, ‘계정 인증 요청’ 등을 이유로 사칭 메일이나 메시지를 받은 사례를 잇따라 보고하고 있다.

특히 이번 사건은 단순히 기술적 허점을 이용하기보다는 사용자의 심리를 조작하는 방식에 초점을 맞춘 공격이라는 점에서 더욱 주의가 필요하다. 메시지는 고객에게 익숙한 주문 정보를 기반으로 작성돼 신뢰를 유도하고, 결국 사용자로 하여금 복구 문구를 입력하게 만들거나 가짜 링크를 타고 접속하게 만든다.

지속되는 사칭 피싱, 어떻게 대응해야 하나

레저는 자사 사칭 사기 유형에 대해 일관된 경고 가이드를 유지하고 있다. 주의할 점은 메시지의 기술적 수준보다 ‘행동 유도’ 방식이다. ‘지갑이 위험하다’, ‘펌웨어 업데이트 필요하다’, ‘주문이 지연됐다’는 식의 긴급 메시지를 보내 사용자를 특정 웹페이지나 양식으로 유도한 후, 24단어 복구 문구를 입력하게 하는 것이 대부분이다.

피싱 메시지는 이메일뿐 아니라 문자, 전화, 심지어 우편으로도 발송될 수 있다. 특히 이번과 같은 데이터 유출 사고 이후에는 공격 메시지가 실제 구매 맥락을 반영하고 있어서 파악이 더 어려워진다.

레저는 사용자가 반드시 기억해야 할 원칙으로 ‘24단어 복구 문구는 오직 디바이스에서만 입력해야 하며, 어떤 상황에서도 웹이나 앱에서 요구되는 경우는 없다’고 재차 강조한다. 복구 문구는 사실상 자산 자체와 같기 때문에 단 한 번이라도 노출되면 지갑을 잃을 수 있다.

과거에도 반복된 정보 유출… 근본 대책은 ‘원칙 고수’

이번 글로벌이 사고는 레저 구매자의 데이터 유출이 처음이 아니다. 2020년 7월에도 레저의 마케팅 및 전자상거래 데이터베이스에서 고객 정보가 유출됐으며, 이 데이터는 같은 해 12월 다크웹에 게시되기도 했다. 당시에는 100만 건 이상의 이메일과 약 27만 건의 이름, 주소, 전화번호가 포함됐다.

이처럼 반복적인 사건을 통해 드러난 교훈은 명확하다. 하드웨어 지갑이 기술적으로 아무리 안전하더라도, 상거래 과정에서 노출되는 정보만으로도 치명적인 공격 시도가 가능하다는 점이다. 결국 가장 강력한 보안은 사용자 스스로 규칙을 지키는 데서 출발한다.

레저는 사용자가 받을 수 있는 ‘의심스러운 지원 메시지’는 기본적으로 신뢰하지 말고, 공식 웹사이트나 고객센터 등 검증된 채널로만 진위를 확인해야 한다고 조언한다. 또, 이메일 내용이 실제 주문과 일치한다고 해서 그 자체로 진짜라는 뜻은 아니며, 공격자는 바로 그런 디테일을 이용하려 한다는 점을 상기해야 한다.

기술 보안은 완벽해도 인간 보안은 그렇지 않다. 복구 문구 노출이라는 단 한 번의 실수가 소중한 자산을 잃게 만들 수 있다는 사실을 잊지 말아야 한다.