레저(Ledger)는 2026년 1월 5일, 자사의 결제 처리 업체인 글로벌-e(Global-e)에서 데이터 유출 사고가 발생했다고 발표했습니다.
레저는 정보 유출 피해를 입은 고객들에게 이름과 연락처 등의 개인 정보가 부적절하게 접근되었다고 이메일을 보냈습니다. 글로벌이는 네트워크에서 비정상적인 활동을 감지하자마자 조치를 취했고,dent 포렌식 전문가를 고용하여 조사를 진행했습니다.
레저(Ledger)는 제3자 결제 처리 업체로부터 데이터 유출 사고를 발표했습니다
레저는 고객들에게 자사 결제 처리 업체인 글로벌-e가 네트워크 일부에서 의심스러운 활동을 감지했다고 알렸습니다. 글로벌-e는 클라우드 환경에서 의심스러운 활동을 인지하자마자 관련 시스템을 즉시 차단하는 조치를 취했습니다. 독립적인 dent 전문가들이 조사를 위해 고용되었습니다.
커뮤니티 알림: Ledger에서 결제 처리 업체인 Global-e를 통해 또 다른 데이터 유출 사고가 발생하여 고객의 개인 정보(이름 및 기타 연락처 정보)가 유출되었습니다.
오늘 고객들은 아래와 같은 이메일을 받았습니다. pic.twitter.com/RKVbv6BTGO
— ZachXBT (@zachxbt) 2026년 1월 5일
조사 결과 이름과 연락처 정보 등 일부 개인 데이터가 유출된 것으로 확인되었습니다. 레저는 피해를 입은 사용자 수나 유출의 정확한 원인을 공개하지 않았습니다.
레저(Ledger)에서 고객 정보가 무단 접근으로 피해를 입은 것은 이번이 두 번째입니다. 첫 번째는 2025년 4월에 발생했습니다. 레저는 결제 처리와 고객 연락처 정보 관리를 위해 글로벌-e(Global-e)에 의존하고 있습니다. 제3자 공급업체에 의존하는 것은 데이터 접근 경로를 늘리는 결과를 초래합니다.
Global-e 데이터 유출로 고객 연락처 정보 유출
유출된 데이터에는 고객 이름과 연락처 정보가 포함되어 있습니다. 레저는 이번 유출에 이메일 주소, 전화번호, 실제 주소 또는 기타 연락처 정보가 포함되었는지 여부를 명확히 밝히지 않았습니다. 이전 유출 사건에서는 이러한 정보들이 다양한 조합으로 유출된 바 있습니다.
이번 해킹은 지갑 복구 시드 구문, 개인 키 또는 암호화폐 보유 자산과는 무관합니다. 글로벌-e 해킹 사건 동안 사용자 자금이 직접적으로 탈취된 사례는 없습니다.
과거 Ledger 데이터 유출 사고는 피싱 공격에 악용되었습니다. 예를 들어, 2020년 전자상거래 데이터베이스 유출 사고로 약 100만 개의 이메일 주소와 약 9,500명의 고객 연락처 정보가 노출되었습니다.
2020년 이후 레저의 보안 이력
첫 번째 주요dent 2020년 6월에 발생했습니다. 권한이 없는 사람이 잘못 구성된 제3자 API를 통해 전자상거래 및 마케팅 데이터베이스에 접근한 것입니다. 이로 인해 약 100만 개의 이메일 주소와 9,500명의 고객에 대한 우편 주소, 전화번호, 이름 등의 상세 연락처 정보가 유출되었습니다.
해당 취약점으로 인해 5시간 동안 영향을 받은 사용자들로부터 48만 4천 달러에서 60만 달러 상당의 암호화폐가 유출되었습니다. Sushi스왑(Sushi Swap), 재퍼(Zapper), 메탈스왑(MetalSwap), 하비스트 파이낸스(Harvest Finance) 등이 손상된 라이브러리가 로드되면서 영향을 받은 dApp에 속합니다. 레저(Ledger) 팀은 버그를 발견한 후 40분 만에 문제의 원인을 파악하고 수정했습니다.
ZachXBT는 하드웨어 지갑 회사들을 맹신하지 말라고 경고합니다
레저의 최근 발표 이후, 블록체인 연구원 ZachXBT는 게시했습니다 . 자금을 안전하게 보관할 곳을 묻는 한 사용자의 질문에 ZachXBT는 하드웨어 지갑 회사들을 신뢰할 수 없다고 결론지었습니다.
그는 개인정보 보호를 위해 하드웨어 지갑 구매 시 가짜 정보를 사용하는 것을 제안했습니다. 허위 정보를 제공하면 공격자가 실제dent과 암호화폐 보유 정보를 연결하기 어려워진다는 것입니다. 해커가 고객 데이터베이스를 침해하더라도 가짜 연락처 정보는 표적 피싱 공격의 정확도를 떨어뜨립니다.
