암호화폐 하드웨어 지갑 제조업체 레저(Ledger)는 최근 자사의 제3자 전자상거래 파트너인 글로벌이(Global-e) 에서 데이터 유출 사고가 발생하여 공식 온라인 스토어를 통해 콜드 월렛 제품을 구매한 일부 고객의 개인 정보가 유출되었다고 확인했습니다. 이 사건은 암호화폐 커뮤니티 에서 콜드 월렛과 하드웨어 월렛의 보안에 대한 우려를 불러일으켰습니다.
고객의 개인 키는 유출되지 않았지만, 사용자의 이름과 연락처 정보가 도난당했습니다.
레저(Ledger)에 따르면 이번 유출 사고는 개인 키, 지갑 자금 또는 결제 정보와는 관련이 없었지만, 사용자 이름과 연락처 정보가 포함되어 있었습니다. 보안 연구원들은 이러한 정보가 악용될 경우 표적 사기, 소셜 엔지니어링 공격, 심지어 강도와 같은 실제 위협으로 이어질 수 있다고 지적했습니다. 데이터 유출 소식이 전해진 지 몇 시간 만에 사용자들은 대량 피싱 이메일과 사기 메시지를 받았다고 보고했습니다. 공격자들은 레저 또는 글로벌-e 고객 서비스 담당자를 사칭하여 유출된 개인 정보를 이용해 "계정 이상"이나 "기기 교체 필요" 등의 주장을 펼치며 사용자들의 신뢰를 얻고 압박하여 민감한 정보를 제공하도록 유도했습니다. 레저가 데이터 유출 사고를 겪은 것은 이번이 처음이 아닙니다. 2020년에는 약 30만 명의 사용자에게 영향을 미치는 대규모 데이터 유출 사고가 발생했고, 2021년에는 사기꾼들이 피싱 공격의 일환으로 위조 레저 하드웨어 지갑을 보내기도 했습니다. 보안 연구원들은 과거에 이러한 사건 이후 지갑 도난, 금전적 손실, 심지어 극단적인 경우에는 암호화폐 보유자에 대한 물리적 폭력 위협까지 실제로 발생했다고 지적했습니다.
전문가들은 소셜 엔지니어링을 방지하고 개인 데이터를 보호하는 것이 무엇보다 중요하다고 말합니다.
전문가들은 리스크 개인 정보 유출 피해자에게만 국한되지 않는다고 말합니다. 하드웨어 지갑이나 암호화폐 자산을 소유한 것으로 여겨지는 사람은 누구든 피싱이나 소셜 엔지니어링 공격의 표적이 될 수 있습니다. 젠고 월렛(Zengo Wallet) CEO이자 지갑 보안 전문가인 오우리엘 오하욘(Ouriel Ohayon)은 개인 정보 유출 피해자는 이제 더욱 심각한 리스크 에 직면하게 되었으며, 명백한 표적이 되고 있다고 지적합니다. 고객 서비스 담당자로부터 연락을 받는 것은 위험 신호이므로, 니모닉 단어 이나 기타 개인 정보를 절대 누구와도 공유하지 마십시오. 이메일 발신자를 정확히 확인하고, 특히 이메일, 인스턴트 메시징 앱, 우편물 등 비공식적인 경로를 통해 수신된 "고객 서비스 메시지"나 원치 않는 개인 메시지에는 답장하지 않아야 합니다.
ENS의 최고 정보 보안 책임자인 알렉산더 우르벨리스는 유출된 데이터 유형에 따라 위협 수준이 달라지며, 특히 주소 정보가 매우 민감하다고 경고했습니다. 집 주소가 하드웨어 지갑 사용자의 신원과 연결되면 잠재적 리스크 크게 상승.
자금을 이체해야 하나요, 아니면 지갑을 바꿔야 하나요?
전문가들은 공황 상태에 빠져 성급하게 온체인 작업을 진행하는 것을 경고합니다. 자금을 이체한다고 해서 리스크 줄어드는 것은 아니며, 오히려 성급한 행동은 새로운 위험을 초래할 수 있습니다. 지갑 소유자가 확인되면 암호화폐의 위치는 더 이상 중요하지 않습니다. 공격자들은 이제 지갑 자체가 아닌 개인을 표적으로 삼고 있습니다. 자금 이체는 공개적으로 이루어지기 때문에 해커가 추적할 수 있어 오히려 역효과를 낳을 수도 있습니다. 현재 레저(Ledger) 사용자를 대상으로 하는 사기는 기술적 취약점보다는 심리적 조작에 의존하는 경우가 많습니다. 사기꾼들은 먼저 실명이나 주문 내역을 사용하여 신뢰를 얻은 다음, 긴급 상황을 만들어 사용자가 신속하게 대응하도록 유도합니다. 개인 정보를 보호하는 것은 매우 중요하며, 긴급 상황에서는 "신뢰하지 말고 검증하라"는 원칙이 잠재적인 공격 대면 최선의 방법입니다.
"레저 고객 데이터 유출 이후 예방 조치: 전문가들은 개인정보 보호가 최우선임을 다시 한번 강조합니다"라는 제목의 이 기사는 ChainNews ABMedia 에 처음 게재되었습니다.
