앱스토어에서 배포된 가짜 암호화폐 앱

애플 앱스토어에서 배포된 암호화폐 지갑 앱인 레저 라이브(Ledger Live) 위조품으로 인해 사용자 최소 50명이 4월 초 수일간 950만 달러 상당 암호화폐를 탈취당한 것으로 보도됐다. 애플은 복수 신고를 접수한 뒤 해당 앱을 앱스토어에서 삭제했지만 피해는 비트코인, 이더리움, 트론, 솔라나, XRP 등 여러 체인에 걸쳐 확인됐다.

문제가 된 가짜 앱은 맥OS용 앱 레저 라이브를 사칭한 것으로 사용자에게 시드 프레이즈(seed phrase)나 리커버리 프레이즈(recovery phrase)를 입력하도록 유도해 공격자가 지갑 전체를 탈취할 수 있도록 설계됐다.

이 가짜 앱은 실제 레저 개발팀과 무관한 레바 힐 리미티드(Leva Heal Limited)라는 명의로 앱스토어에 등록됐으며 불과 2주 만에 버전 1.0에서 5.0으로 업데이트된 것처럼 보이는 허위 업데이트 이력까지 갖추고 있었다.

유출된 자산은 복수 수신 주소를 거쳐 최종적으로 쿠코인(KuCoin) 상 150개 이상 입금 주소로 송금됐으며 고액 수수료로 불법 자금 흐름을 은폐하는 중앙화 믹싱 서비스인 오디아6(AudiA6)과 연계된 것으로 파악됐다.

피해 중 특히 규모가 큰 사례로는 4월 8일부터 11일 사이 피해자 3명이 각각 323만 달러, 208만 달러, 195만 달러를 잃은 것으로 추적됐다. 또 뮤지션 G. 러브(G. Love)도 해당 앱을 다운로드한 뒤 43만 달러를 잃었다고 엑스에서 밝혔으며 이 피해 역시 추적 및 확인이 이뤄진 것으로 전해졌다.

이번 사건이 발생한 원인 중 하나로 레저가 맥용 앱 자체는 자사 사이트에서 배포하는 반면 앱스토어에서는 iOS 대응 버전만 제공하고 있었다는 점이 지적됐다. 이런 배포 경로 차이를 악용한 수법은 과거에도 있었다. 2023년 마이크로소프트 스토어에서도 가짜 레저 라이브 앱으로 인해 76만 8,000달러 상당 암호화폐가 탈취된 사례가 있다.

또 앱스토어 심사를 통과해 공개된 직후 이미 피해 신고가 접수됐음에도 왜 조기 대응이 이뤄지지 않았는지가 불분명하다는 점에서 집단 소송으로 이어질 가능성도 제기됐다. 관련 내용은 이곳에서 확인할 수 있다.