10년치 비트코인 저축. 30초 만에 사라졌다.
G. Love & Special Sauce의 프론트맨 개럿 더튼(Garrett Dutton), 예명 G. Love은 2026년 4월 11일 5.92 BTC를 잃었다. 기술적 취약점도, Ledger 펌웨어 버그도 없었다. 단지 애플 맥 앱스토어(Apple Mac App Store)에서 진짜로 착각하고 내려받은 가짜 앱 하나가 전부였다.
가짜 Ledger 앱이 지갑을 비운 경위
G. Love는 새 애플 컴퓨터로 하드웨어 지갑을 옮기던 중이었다. 맥 앱스토어에서 "Ledger Live"를 검색했고, 공식 아이콘과 완성도 높은 인터페이스를 갖춘 앱을 발견했다. 그는 그 앱을 내려받았다. 첫 실행 화면에서 앱은 "기기 복원"을 위해 24단어 시드 문구(seed phrase)를 입력하라고 요구했다. 그는 입력했다.
그 순간, 지구 반대편 누군가가 그의 모든 비트코인을 완전히 장악했다.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
ZachXBT, KuCoin까지 자금 추적 완료
사건 이후 수 시간 내에 온체인 수사관 ZachXBT가 자금 흐름을 추적했다. 5.92 BTC는 9건의 개별 트랜잭션을 거쳐 모두 KuCoin 입금 주소로 모였다.
"도난당한 5.92 BTC를 추적했습니다. 모두 @kucoincom 입금 주소를 통해 세탁됐습니다."
— ZachXBT (@zachxbt), 2026년 4월 12일
자금 회수 가능성은 사실상 없다. KuCoin은 2026년 2월 유럽 MiCA 라이선스를 박탈당했다 — 오스트리아에서 취득한 지 불과 3개월 만이었다. ZachXBT에 따르면 이 거래소는 여전히 불법 서비스에 활용되고 있으며 적절한 조치가 이뤄지지 않고 있다. 한국 투자자 입장에서도 주목할 부분이 있다. 국내에서는 2024년 시행된 가상자산이용자보호법이 이용자 자산 보호와 거래소 의무를 강화했지만, 해외 미인가 거래소를 이용할 경우 이 같은 보호망 밖에 놓이게 된다. 2025년에는 디지털 서명 피싱 피해가 207% 급증한 바 있다.
Apple 침묵: 가짜 크립토 앱, 심사 통과한 이유는
문제의 앱은 Ledger SAS가 아닌 제3자 개발자 계정으로 등록돼 있었음에도 앱스토어 심사를 통과했다. Apple은 아무런 공식 입장을 내지 않았고, 앱 삭제 여부도 확인하지 않았다. ZachXBT에 따르면 이 사건을 공개적으로 기록하려는 시도를 Apple이 오히려 방해했다고 한다.
"Apple은 자사 앱스토어에 가짜 앱이 등록된다는 사실을 사람들이 문서화하는 걸 원하지 않는 것 같습니다."
— ZachXBT (@zachxbt), 2026년 4월 12일
이번이 처음이 아니다. 2023년 마이크로소프트 스토어에서 발생한 가짜 Ledger 앱 사건으로 약 60만 달러 상당의 피해가 발생했다. 동일한 수법, 동일한 플랫폼 과실이다. 국내 거래소 업비트(Upbit)와 빗썸(Bithumb)은 DAXA 자율규제 체계 아래 운영되지만, 애플·마이크로소프트 같은 글로벌 앱 마켓플레이스에는 이러한 책임 규정이 적용되지 않는다는 점이 맹점으로 남아 있다.
시드 문구 보호: 절대 변하지 않는 원칙
Ledger는 수년째 같은 말을 반복하고 있다: Ledger Live는 오직 ledger.com에서만 다운로드할 수 있다. 앱스토어에서는 절대 없다. 시드 문구는 반드시 실물 하드웨어 기기에서만 입력해야 한다 — 앱에서도, 브라우저에서도, 노트북 화면에서도 절대 입력하면 안 된다. 어떤 앱이든 화면에서 24단어를 요구하면 100% 사기다.
Pudgy Penguins의 보안 책임자 Beau는 소식이 전해진 직후 이렇게 밝혔다. 인터페이스가 아무리 전문적으로 보여도, 인터넷에 연결된 기기가 24단어를 요청하는 순간 이미 보안이 뚫린 것이라고.
하드웨어 지갑을 보유하고 있지만 핫 스토리지와 콜드 스토리지의 차이가 아직 명확하지 않다면, 이 가이드에서 기초부터 확인할 수 있다. 고급 내용이 아니다 — 가장 기본적인 원칙이다.
G. Love는 이 사건을 이렇게 마무리했다: "충분히 주의하지 않은 건 내 잘못이다. 하지만 이게 경고가 됐으면 한다. 세상에 사기가 너무 많다."
X가 피싱 차단을 위해 신규 크립토 계정의 첫 게시물을 제한하는 실험을 진행하는 가운데, 이번 사건은 진짜 취약점이 기술적인 문제가 아님을 다시 한번 보여준다. 취약점은 인간에게 있다.
