Ledger IPO: '보안'에 관한 블랙 코미디

원문 저자: Ada, Shenchao TechFlow

2025년 1월 21일 새벽, 프랑스 중부의 작은 마을 Méreau.

David Balland는 잠에서 깨어나 집에서 끌려나갔습니다. 그는 암호화폐 하드웨어 지갑 회사 Ledger의 공동 창립자로, 이 회사는 전 세계 사용자를 위해 1000억 달러 상당의 비트코인을 보관하고 있다고 주장합니다.

프랑스 신문 르 몽드에 따르면, 48시간 후 프랑스 엘리트 특수부대 GIGN이 문을 부수고 들어왔을 때 Balland는 이미 손가락 하나를 잃은 상태였습니다.

납치범들은 잘린 손가락의 영상을 Ledger의 다른 공동 창립자인 Éric Larchevêque에게 보내며 메시지를 첨부했습니다: 암호화폐만 받는다, 경찰에 신고하지 말라, 지체하지 말라, 그렇지 않으면 책임은 본인에게 있다.

1년 후인 오늘, Ledger는 뉴욕 증권거래소에서 40억 달러가 넘는 가치 평가로 IPO를 계획 중이라고 발표했습니다. 골드만삭스, 제프리즈, 바클레이즈 등 월스트리트에서 가장 유명한 이름들이 그 뒤를 받치고 있습니다.

이것은 '보안'에 관한 사업입니다.

아이러니하지 않나요?

유출된 주소들

시간을 2020년으로 돌려봅시다.

그해 여름, 잘못 구성된 API 엔드포인트로 인해 공격자들이 Ledger의 전자상거래 데이터베이스에 쉽게 접근할 수 있었습니다. 100만 개가 넘는 이메일 주소가 유출되었습니다. 더 심각한 것은 27만 2천 명의 고객의 이름, 전화번호, 집 주소까지 함께 유출되었다는 점입니다.

반년 후, 이 명단은 해커 포럼 Raidforum에 던져졌고 매우 낮은 가격에 판매되어 누구나 자유롭게 접근할 수 있었습니다.

다음에 무슨 일이 일어났을지 상상할 수 있을 것입니다.

피싱 이메일이 눈송이처럼 쏟아졌고, 그들은 Ledger 사용자들을 속여 악성 링크를 다운로드하게 하여 개인 키를 통해 그들의 암호화폐를 얻으려 했습니다. 일부 Ledger 사용자들은 자신의 이름과 주소를 알고 있으며, 몸값을 지불하지 않으면 집에 와서 암호화폐를 훔쳐가겠다고 협박하는 이메일도 받았습니다.

그러나 Ledger CEO인 Pascal Gauthier는 회사가 해킹된 웹사이트에서 개인 데이터가 유출된 고객들, 집 주소가 유출된 고객들을 포함해 배상하지 않을 것이라고 밝혔습니다.

이번 사건은 Ledger에 적지 않은 손실을 입혔습니다. 하지만 진정한 대가는 오늘날까지도 공포 속에 살아가는 사용자들에게 있습니다.

그렇다면, Ledger는 교훈을 얻었을까요?

같은 함정에 세 번 빠지다

2023년 12월 14일, Ledger는 또다시 문제를 일으켰습니다.

이번 경로는 더욱 황당했습니다: 이미 퇴사한 Ledger 직원이 피싱 공격을 당해, 공격자가 그의 NPMJS 계정 권한을 얻었습니다.

그가 퇴사한 지 얼마나 되었는지, 왜 퇴사한 직원이 여전히 핵심 시스템 접근 권한을 보유하고 있었는지에 대한 설명은 아무도 없었습니다.

악성 코드가 Ledger Connect Kit에 주입되었는데, 이는 수많은 DeFi 애플리케이션이 의존하는 핵심 라이브러리입니다. SushiSwap, Zapper, Phantom, Balancer, 전체 DeFi 생태계의 프론트엔드가 순식간에 피싱 페이지로 변했습니다.

Ledger는 40분 만에 문제를 수정했지만, 60만 달러는 이미 사라진 상태였습니다.

CEO Pascal Gauthier는 사후 성명에서 "이것은 불행한 고립된 사건입니다."라고 썼습니다.

고립된 사건일까요?

그리고 2026년 1월 5일, Ledger가 IPO 계획을 발표한 지 겨우 2주 전, 또 한 번의 유출이 발생했습니다. 이번에는 제3자 결제 처리업체인 Global-e의 문제로, 고객 이름과 연락처가 다시 유출되었습니다.

6년, 세 번의 중대한 유출.

매번 '고립된 사건'이고, 매번 '제3자 문제'였지만, 매번 결과를 떠안는 것은 사용자들이었습니다.

만약 전통 금융 기관이 6년 동안 세 번의 보안 사고를 일으켰다면, 이미 규제 기관에 의해 면허가 취소되었을 것입니다. 하지만 암호화폐 세계에서는 IPO를 진행할 수 있고, 가치 평가는 세 배나 높아질 수 있습니다.

Recover: 공개적인 배신

데이터 유출이 우연이나 부주의로 돌릴 수 있다면, Ledger Recover는 능동적인 자폭입니다.

2023년 5월, Ledger는 월 9.99달러를 지불하면 사용자가 니모닉 시드를 암호화하여 분할한 후 세 회사(Ledger, Coincover, EscrowTech)에 보관할 수 있는 새로운 서비스를 출시했습니다. 만약 니모닉 시드를 잊어버렸다면, 신분증만 제시하면 되찾을 수 있습니다.

자신이 니모닉 시드를 잃어버릴까 항상 걱정하는 일반 사용자들에게는, 이것이 정말 친절하게 들릴 수 있습니다.

그러나 근본적인 문제가 하나 있습니다: 하드웨어 지갑이라는 사업이 존재하는 전제는 바로 '개인 키는 절대 장치를 떠나지 않는다'는 것이 아닐까요?

Ledger 전 CEO인 Larchevêque는 나중에 Reddit에서 불편한 사실을 인정했습니다: 사용자가 Recover를 활성화한 경우, 정부는 법적 절차를 통해 이 세 회사에 키 분할 조각을 넘기도록 강제하여 사용자 자산을 획득할 수 있습니다.

커뮤니티는 폭발했습니다. Twitter에서는 사용자들이 Ledger 장치를 태우는 사진까지 등장했습니다.

Polygon의 최고 정보 보안 책임자(CISO)인 Mudit Gupta는 트위터에서 "'신원 확인'으로 보호되는 것은 본질적으로 너무 쉽게 위조될 수 있기 때문에 안전하지 않습니다."라고 말했습니다.

바이낸스 창립자 창펑 자오(赵长鹏) 또한 "이는 콜드 월렛 니모닉 시드가 장치와 분리될 수 있다는 것을 의미하는가?"라고 말하며, 이는 암호화폐 커뮤니티가 지지하는 이념과 배치된다고 언급했습니다.

그러나 Ledger의 반응은 이러했습니다: "현재 대다수의 암호화폐 사용자들은 여전히 보안성이 제한된 거래소나 소프트웨어 지갑을 사용하여 자산을 보관하고 있으며, 많은 사람들에게 24개의 단어로 된 니모닉 시드 관리는 그 자체로 넘기 어려운 장벽입니다. 이는 또한 종이 백업이 시대에 뒤떨어진 솔루션이 되어가고 있음을 의미합니다."

이론은 맞습니다. 하지만 한 회사의 성장 전략이 자신의 가장 핵심적인 가치 제안을 희석시켜야 할 때, 상황은 미묘해집니다.

Ledger의 오래된 사용자들은 괴짜(Geek)들입니다. 괴짜들은 진지하고, 괴짜들은 시끄럽고, 괴짜들은 Reddit에 당신을 비난하는 긴 글을 씁니다. 하지만 괴짜들의 지갑은 이미 구매했고, 괴짜들은 성장에 기여하지 않습니다.

성장은 초보자(Newbie)들로부터 옵니다. 초보자들은 귀찮은 것을 두려워하고, 초보자들은 마음의 평화를 위해 월 9.99달러를 지불할 것이며, 초보자들은 '개인 키는 절대 장치를 떠나지 않는다'는 기술적 세부 사항에는 관심이 없습니다.

하지만 이것은 보안과 편의성 사이의 선택이 아닙니다.

이것은 핵심 사용자층에 대한 공개적인 배신이며, 그들의 신뢰를 이용해 더 큰 시장으로 가는 티켓을 얻는 것입니다.

렌치 공격

David Balland의 잘린 손가락으로 돌아가 봅시다.

암호화폐 업계에는 '렌치 공격(Wrench Attack)'이라는 용어가 있습니다. 의미는 아무리 복잡한 암호학이든, 아무리 탈중앙화된 프로토콜이든, 누군가가 렌치를 들고 당신 앞에 서서 개인 키를 요구할 때는 막을 수 없다는 것입니다.

이 단어는 거의 블랙 코미디처럼 들리며, 프로그래머들이 위협 모델을 화이트보드에 그리며 장난삼아 만들어낸 것 같습니다.

하지만 이런 일이 실제로 발생했을 때, 그것은 전혀 재미있지 않습니다.

2024년 12월, 벨기에 암호화폐 인플루언서 Stéphane Winkel의 아내가 납치되었습니다. 2025년 5월, 또 다른 암호화폐 부자의 아버지가 손가락을 잃었습니다. Balland의 사건은 더 큰 추세의 일부에 불과합니다.

한 프랑스 내부 보안 전문가는 인터뷰에서 "이 사건들의 수법은 똑같습니다. 같은 범인인지는 조사가 필요하지만, 확실한 것은 이 업계가 이미 전문 납치범들의 사냥터가 되었다는 것입니다."라고 말했습니다.

문제는: 사냥감의 명단은 어디에서 왔을까요?

2020년 그 27만 개의 집 주소는 오늘날까지도 다크웹에서 유통되고 있습니다. 그것은 일반적인 유출 데이터가 아닙니다. 그것은 '이 사람은 암호화폐를 보유하고 있다'고 표시된 주소 목록이며, 그 안의 자산 규모는 구매한 Ledger 모델을 통해 대략 추정할 수 있습니다. 가장 비싼 모델을 구매한 사람이 아마도 가장 많은 코인을 보유한 사람일 수 있습니다.

어떤 의미에서, Balland의 처지는 Ledger 자신이 심은 씨앗의 결과입니다.

이렇게 말하는 것은 너무 가혹할 수 있습니다. 결국 Ledger가 능동적으로 데이터를 납치범들에게 넘겨준 것은 아니니까요. 하지만 '보안'을 핵심 판매 포인트로 삼는 회사가 고객의 집 주소조차 제대로 보호하지 못할 때, 자신에게 전혀 책임이 없다고 당당하게 말하기는 어렵습니다.

400억 달러의 논리

이렇게 많은 부정적인 이야기를 했으니, 이제 왜 월스트리트가 여전히 Ledger를 지지하는지 이야기해 봅시다.

답은 한 단어뿐입니다: FTX.

2022년 11월, FTX가 붕괴하며 3200억 달러의 가치 평가가 하룻밤 사이에 사라졌습니다. 수십만 명의 사용자 자산이 그 블랙홀에 얼어붙은 채, 오늘날까지 되찾지 못했습니다.

"키가 당신 것이 아니면, 코인도 당신 것이 아니다(Not your keys, not your coins)"라는 오래된 격언이 갑자기 피비린내 나는 현실 교육이 되었습니다.

하지만 하드웨어 지갑 수요는 그 이후 급증했고, Ledger는 이 시장에서 진정한 브랜드 인지도를 가진 유일한 플레이어입니다. BSCN 보도에 따르면, Ledger는 50%-70%의 시장 점유율을 차지하고 있습니다. Ledger는 1000억 달러 상당의 비트코인을 보관하고 있다고 주장하는데, 이는 전 세계 비트코인 총 시가 총액의 5%에 해당합니다.

더 중요한 것은 시기입니다.

2025년, 암호화폐 회사들은 IPO를 통해 34억 달러를 조달했습니다. Circle과 Bullish은 각각 100억 달러 이상을 조달했습니다. BitGo는 방금 2026년 첫 상장 암호화폐 회사가 되었습니다. Kraken은 2000억 달러 가치 평가로 줄을 서고 있습니다.

이것은 출구(Exit)의 향연이며, Ledger는 이 식탁을 놓치고 싶지 않습니다.

창립자들은 현금화를 원하고, VC들은 투자 회수를 원하며, 2차 시장은 미친 듯한 비트코인 열기에 힘입어 '암호화폐'라는 꼬리표가 붙은 어떤 주식이든 사들일 준비가 되어 있습니다.

《Market Growth Report》 데이터에 따르면, 2026년 전 세계 암호화폐 하드웨어 지갑 시장 규모는 9억 1400만 달러이며, 2035년까지 약 127억 달러에 도달할 것으로 예상되며, 예측 기간 동안 연평균 복합 성장률(CAGR)은 33