사이버 범죄자들이 암호화폐 하드웨어 지갑 제조업체인 레저(Ledger)와 트레저(Trezor)의 가짜 합병을 이용한 표적 피싱 공격을 시작한 것으로 알려졌습니다.
이는 레저의 제3자 전자상거래 파트너인 글로벌-e에서 최근 발생한 데이터 유출 사건에 따른 것입니다.
피싱 사기 상세 정보
1월 5일, 레저는 고객들에게 이메일을 통해 글로벌-이(Global-e)에서 데이터 유출 사고가 발생하여 고객 이름, 이메일 주소, 전화번호, 주문 내역 등의 정보가 노출되었다고 알렸습니다. 이 사건이 공개된 직후, 피해를 입은 사용자들은 두 회사가 합병되었다는 허위 피싱 이메일을 받기 시작했습니다. 이후 해당 가짜 이메일의 스크린샷이 X 커뮤니티에 공유되었습니다.
"수개월간의 전략적 논의 끝에 Ledger와 Trezor가 합병 계약을 최종 체결했음을 기쁘게 발표합니다. 이번 획기적인 파트너십을 통해 두 업계 선두 기업이 디지털 자산 관리 분야에서 최고 수준의 보안을 제공한다는 공동의 비전을 공유하게 되었습니다."라고 발표했습니다.
이메일에는 또한 이번 결정으로 두 회사가 혁신을 가속화하고 제품군을 확장하며 고객 자산 보호에 대한 노력을 지속할 수 있을 것이라고 명시되어 있었습니다. 수신자들은 공식 브랜드를 모방한 가짜 웹사이트에 24단어 복구 문구를 입력하여 지갑을 "이전"하라는 안내도 받았습니다.
이번 공격에 대응하여 글로벌이는 해킹 원인에 대한 내부 조사를 시작했으며, 사이버 보안 전문가와 협력하여 사건의 규모를 평가하고 있는 것으로 알려졌습니다. 한편, 회사 측은 피해를 입은 사용자 수를 정확히 밝히지는 않았지만, 유출된 정보는 연락처 및 주문 정보에 한정된다고 확인했습니다.
레저 측은 관련 데이터 보호 당국에 통보했으며, 법 집행 기관과 협력하고 있는 것으로 알려졌습니다.
데이터 유출의 역사
레저가 이와 같은 스캔들에 연루된 것은 이번이 처음이 아닙니다. 2020년에도 해커들이 레저의 전자상거래 및 마케팅 데이터베이스에 접근하여 수십만 명의 사용자 개인 정보를 유출한 바 있습니다.
다음 콘텐츠도 마음에 드실 수 있습니다:
- 암호화폐 '렌치 공격'이 증가하고 있으며, 더욱 폭력적으로 변하고 있습니다.
- 암호화폐 해킹 공격이 급격히 감소하여 2025년 12월에는 7,600만 달러만 도난당했습니다.
- ZachXBT가 훔친 암호화폐를 자랑스럽게 과시하는 캐나다 소셜 엔지니어 'Haby'의 실체를 폭로했습니다.
유출된 데이터에는 이메일 주소, 이름, 전화번호, 실제 주소가 포함되었으며, 피해 사용자들은 이후 피싱 이메일과 협박을 받았다고 신고했습니다. 당시 전자지갑 제작사는 정보 공개 지연과 미흡한 보안 조치로 인해 여론의 비난을 받았고, 결국 해당 제작사와 쇼피파이를 상대로 소송이 제기되었습니다.
이후 해당 회사는 쇼피파이 직원이 약 2만 명의 고객 개인 정보를 유출한 책임이 있음을 확인했습니다. 그해 후반에는 또 다른 공격으로 약 29만 2천 명의 고객 데이터가 온라인에 공개되었습니다.
최근 해당 회사는 또 다른 보안 사고를 겪었는데, 여러 탈 탈중앙화 애플리케이션(DAPPS) 기기에 연결하는 데 사용하는 라이브러리에 지갑 탈취 악성코드가 삽입되어 약 60만 달러 상당의 암호화폐가 도난당했습니다.
