미국 유명 음악가가 10년간 적립한 비트코인(BTC) 자산이 단 한 번의 복구 문구 입력 실수로 전액 해킹당했다고 폭로하며 충격을 전했다. 피해자는 "은퇴 자금 전체를 잃었다"며 암호화폐 보안의 취약성을 경고했고, 이 사건은 개인 키 관리의 중요성을 다시 한번 부각시켰다.

[디지털투데이 이윤서 기자] 미국 음악가 G. 러브(G. Love)로 알려진 개릿 더튼(Garrett Dutton)이 애플 앱스토어에서 내려받은 암호화폐 지갑 앱 '레저 라이브'(Ledger Live) 사칭 악성 앱에 속아 42만달러(약 6억2000만원) 상당의 비트코인 5.9개를 탈취당했다.

13일(현지시간) 블록체인 매체 코인텔레그래프에 따르면 더튼은 해당 앱에 지갑 복구용 문구인 시드문구를 입력한 뒤 보유 물량을 탈취당했다고 밝혔다.

더튼은 엑스(구 트위터)를 통해 자신이 약 10년에 걸쳐 모아 온 비트코인을 은퇴자금으로 준비해 왔다고 설명했다. 그는 당시 상황에 대해 "정말 힘든 하루를 보냈다"며 "5.9 BTC를 순식간에 잃었다"고 설명했다.

사건 이후 자금 흐름도 확인됐다. 크립토 관련 전문가 잭엑스비티(ZachXBT)는 더튼의 비트코인이 9번의 거래를 거쳐 암호화폐 거래소 쿠코인(KuCoin) 관련 입금 주소로 이동했다고 말했다. 쿠코인은 해당 게시물에 고객 응대 형식의 안내문을 남겼다.

더튼은 새로 구입한 맥북 네오에서 문제의 악성 소프트웨어를 설치한 뒤 시드문구를 입력하면서 피해를 봤다고 했다. 다만 어떤 링크를 통해 앱을 내려받았는지는 공개하지 않았다. 그는 "2017년부터 암호화폐 시장에 있었지만, 이번 사건에서는 방심했다"며 "더 꼼꼼하지 못했던 내 잘못이지만, 경고로 받아들여 달라. 사기가 너무 많다"고 적었다.

비슷한 수법은 이미 수년 전부터 반복됐다. 2023년에는 마이크로소프트(MS) 앱스토어에 올라온 가짜 레저 라이브 앱을 내려받은 이용자 여러 명이 총 60만달러(약 8억8700만원)에 가까운 비트코인을 도난당했다. 당시 MS는 악성 앱이 심사 절차를 우회했다고 인정했고, 이후 해당 앱을 삭제했다.

이런 피해는 개별 해킹 사건을 넘어 전체 암호화폐 사기 피해 증가 흐름과도 맞물린다. 미국 연방수사국(FBI)은 지난 8일 미국 내 암호화폐 관련 사건 피해액이 2025년 110억달러(약 16조2600억원)를 넘겼다고 밝혔다. 이는 전년 90억달러(약 13조3060억원)에서 더 늘어난 수치다.

이번 사건의 핵심은 거래소 해킹이나 지갑 취약점이 아니라, 공식 앱처럼 보이는 위장 소프트웨어가 앱 장터 심사를 통과하거나 이용자의 신뢰를 얻는 방식으로 시드문구를 직접 빼냈다는 점이다. 시드문구를 한 번 입력하면 자산 통제권이 즉시 넘어갈 수 있는 만큼, 앱 설치 경로와 문구 입력 단계가 다시 주요 위험 구간으로 떠오르고 있다.

I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.