레저 IPO: ‘보안’을 주제로 한 흑색 유머
글쓴이: Ada, TechFlow
2025년 1월 21일 새벽, 프랑스 중부의 작은 마을 메로(Méreau).
데이비드 발랑(David Balland)은 잠에서 깨어 집에서 납치되었다. 그는 암호화폐 하드웨어 지갑 레저(Ledger)의 공동 창립자로, 이 회사는 전 세계 사용자의 비트코인 1000억 달러를 보관한다고 자칭한다.
프랑스 르 몽드(Le Monde) 보도에 따르면, 48시간 후 정예 특수부대 GIGN(Groupe d’intervention de la Gendarmerie nationale)이 강제 진입했을 때 발랑은 이미 손가락 하나를 잃고 있었다.
납치범들은 절단된 손가락 영상을 레저의 또 다른 공동 창립자 에릭 라르슈베크(Éric Larchevêque)에게 보내며 다음과 같이 경고했다: “암호화폐만 받겠다. 신고하지 말고, 지체하지 말라. 그렇지 않으면 책임은 너에게 있다.”
그로부터 1년 후 오늘, 레저는 뉴욕증권거래소(NYSE) 상장을 발표했다. 기업 가치는 40억 달러를 넘는다. 골드만삭스(Goldman Sachs), 제프리(Jefferies), 바클레이즈(Barclays) 등 월스트리트 최고의 금융기관들이 모두 뒤를 받쳐주고 있다.
이것은 ‘보안’을 상품으로 하는 사업이다.
역설적이지 않은가?
누출된 주소들
시간을 2020년으로 되돌려보자.
그해 여름, 설정 오류가 발생한 API 엔드포인트 하나로 공격자가 레저의 전자상거래 데이터베이스에 쉽게 침입했다. 100만 개 이상의 이메일 주소가 유출됐다. 더 심각한 것은, 27만 2,000명의 고객 이름, 전화번호, 가정 주소까지 함께 유출됐다는 점이다.
반년 후, 이 명단은 해커 포럼 레이드포럼(Raidforum)에 게시되어 극히 저렴한 가격에 판매됐으며, 누구나 자유롭게 접근할 수 있었다.
그 이후 어떤 일이 벌어졌을지 상상해보라.
피싱 이메일이 눈처럼 쏟아졌다. 이 이메일들은 레저 사용자들을 속여 악성 링크를 다운로드하게 하려 했고, 개인 키를 탈취해 암호화폐를 빼앗으려 했다. 일부 레저 사용자는 자신의 이름과 주소를 알고 있으며, 이를 바탕으로 집에 찾아가서 암호화폐를 훔쳐갈 것이라고 협박하는 이메일까지 받았다. 단, 몸값을 지불하지 않으면 말이다.
그러나 레저 CEO 파스칼 고티에(Pascal Gauthier)는 해킹 사이트에서 개인 정보가 유출된 고객, 특히 가정 주소가 유출된 고객에 대해서는 일체 보상을 하지 않겠다고 밝혔다.
이 사건은 레저에 상당한 손실을 안겼다. 그러나 진짜 대가는, 지금까지도 두려움 속에서 살아가는 사용자들이 감당해야 했다.
그렇다면 레저는 교훈을 얻었을까?
같은 구덩이에 세 번 빠지기
2023년 12월 14일, 레저는 또 한 차례 사고를 겪었다.
이번 경로는 더욱 기이했다: 이미 퇴사한 레저 직원이 피싱 공격을 당해, 공격자가 그의 NPMJS 계정 권한을 탈취한 것이다.
그가 언제 퇴사했는지는 아무도 설명하지 않았고, 왜 퇴사한 직원이 여전히 핵심 시스템에 접근 권한을 보유하고 있었는지도 아무도 설명하지 않았다.
악성 코드가 레저 커넥트 킷(Ledger Connect Kit)에 삽입됐다. 이는 수많은 디파이(DeFi) 애플리케이션이 의존하는 핵심 라이브러리였다. 스시스왑(SushiSwap), 잡퍼(Zapper), 팬텀(Phantom), 발런서(Balancer)—디파이 생태계 전체의 프론트엔드가 순식간에 피싱 페이지로 변질됐다.
레저는 문제를 40분 만에 복구했지만, 이미 60만 달러가 증발하고 없었다.
CEO 파스칼 고티에는 사후 성명에서 이렇게 썼다: “이는 불행히도 고립된 단일 사건이다.”
고립된 사건인가?
그리고 바로 2026년 1월 5일, 레저가 IPO 계획을 발표하기 2주 전, 또 한 차례 유출이 발생했다. 이번에는 제3자 결제 처리업체 글로벌-이(Global-e)의 문제로 고객 이름과 연락처가 다시 유출된 것이다.
6년 동안, 세 차례의 중대한 데이터 유출.
모두 ‘고립된 사건’이며, 매번 ‘제3자 문제’라고 하지만, 결과를 떠안는 건 항상 사용자다.
만약 전통 금융기관이 6년간 세 차례의 정보보호 사고를 일으켰다면, 규제 당국은 벌써 면허를 취소했을 것이다. 그러나 암호화폐 세계에서는 IPO가 가능할 뿐 아니라, 기업 가치도 세 배로 뛰어오를 수 있다.
리커버(Recover): 공개된 배신
데이터 유출은 실수나 우연으로 돌릴 수 있지만, 레저 리커버는 스스로 의도적으로 폭탄을 터뜨린 셈이다.
2023년 5월, 레저는 월 9.99달러를 내면, 사용자가 복구용 문구(mnemonic phrase)를 암호화하여 분할해 레저, 코인커버(Coincover), 에스크로테크(EscrowTech)라는 세 개의 기업에 위탁할 수 있는 새로운 서비스를 출시했다. 사용자가 복구용 문구를 잊어버렸을 경우, 신분증만 제시하면 다시 찾을 수 있다.
복구용 문구를 잃어버릴까 봐 늘 걱정하는 일반 사용자에게는 확실히 마음 든든해 보인다.
그러나 여기에 근본적인 문제가 있다: 하드웨어 지갑이라는 사업이 존재할 수 있는 전제 자체가 바로 ‘개인 키는 절대 장치를 떠나지 않는다’는 믿음인데 말이다.
레저 전 CEO 라르슈베크는 나중에 레딧(Reddit)에서 불편한 사실을 인정했다: 사용자가 리커버 기능을 활성화하면, 정부가 법적 절차를 통해 세 기업에 대해 키 조각을 제출하라고 강제할 수 있으며, 결국 사용자의 자산을 탈취할 수 있다는 것이다.
커뮤니티는 발칵 뒤집혔다. 트위터에는 사용자들이 레저 장치를 태우는 사진까지 등장했다.
폴리곤(Polygon)의 최고정보보안책임자 무디트 구프타(Mudit Gupta)는 트위터에서 이렇게 말했다: “‘신분 인증’에 의해 보호되는 모든 것은 본질적으로 안전하지 않다. 왜냐하면 신분 위조가 너무 쉬우기 때문이다.”
바이낸스(Binance) 창립자 자오창펑(조창펑, Zhao Changpeng) 역시 “이것이 냉장 지갑의 복구용 문구가 장치와 분리될 수 있음을 의미하는가?”라고 반문하며, 이는 암호화폐 커뮤니티가 지지하는 철학과 정면으로 배치된다고 지적했다.
그러나 레저의 답변은 다음과 같았다: “현재 대부분의 암호화폐 사용자는 보안성이 낮은 거래소나 소프트웨어 지갑을 통해 자산을 보관하고 있으며, 많은 사람에게 24단어 복구용 문구 관리는 극도로 어려운 과제다. 즉, 종이 백업은 이미 구식 해결책이 되어가고 있다.”
말은 맞다. 그러나 한 기업의 성장 전략이, 그 기업의 가장 핵심적인 가치 제안을 희석시켜야만 가능한 상황이라면, 그건 조금 미묘해진다.
레저의 오래된 사용자들은 해커다. 해커는 꼼꼼하고, 성가시게 굴며, 레딧에 긴 글을 써서 당신을 욕하기도 한다. 그러나 그들의 지갑은 이미 구매했고, 그들은 더 이상 성장을 이끌지 않는다.
성장은 초보자들로부터 온다. 초보자들은 번거로움을 싫어하고, 마음 편히 9.99달러를 지불한다. 그리고 ‘개인 키는 절대 장치를 떠나지 않는다’는 기술적 세부사항에는 관심조차 없다.
하지만 이것은 보안과 편의성 사이의 선택이 아니다.
이것은 핵심 사용자층에 대한 공개적인 배신이며, 그들의 신뢰를 대가로 더 큰 시장에 진입하려는 행위다.
렌치 공격(Wrench Attack)
다시 데이비드 발랑의 절단된 손가락으로 돌아가자.
암호화폐 업계에는 ‘렌치 공격’이라는 용어가 있다. 이는 아무리 복잡한 암호학이나 탈중앙화된 프로토콜이라도, 누군가 당신 앞에 서서 렌치를 들고 개인 키를 내놓으라고 요구한다면 막을 수 없다는 뜻이다.
이 용어는 거의 검은 유머처럼 들리며, 프로그래머가 위협 모델을 화이트보드에 그리며 농담처럼 만들어낸 말처럼 느껴진다.
그러나 이런 일이 실제로 일어났을 때는, 전혀 웃기지 않다.
2024년 12월, 벨기에의 암호화폐 인플루언서 스테판 빙켈(Stéphane Winkel)의 아내가 납치됐다. 2025년 5월, 또 다른 암호화폐 부호의 아버지가 손가락을 잘렸다. 발랑 사건은 단지 더 큰 추세의 일부일 뿐이다.
프랑스 내부 안보 전문가는 인터뷰에서 이렇게 말했다: “이 사건들의 수법은 모두 똑같다. 동일 범죄 조직인지 여부는 추가 조사가 필요하지만, 분명한 사실은 이 업계가 전문 납치범들의 사냥터가 되어가고 있다는 점이다.”
문제는, 사냥감 목록이 어디서 나오는가 하는 것이다.
2020년에 유출된 27만 건의 가정 주소는 지금까지도 다크웹에서 유통되고 있다. 이는 단순한 데이터 유출이 아니다. 이는 ‘이 사람은 암호화폐를 보유하고 있다’고 표시된 주소 목록이며, 구매한 레저 지갑 모델에 따라 해당 사용자의 자산 규모를 대략적으로 추정할 수도 있다. 가장 비싼 모델을 산 사람은 아마도 가장 많은 암호화폐를 보유한 사람일 가능성도 있다.
어느 정도로 보면, 발랑의 피해는 레저가 스스로 심은 열매다.
이 표현은 다소 강렬해 보일 수 있다. 레저가 직접 납치범에게 데이터를 넘겨준 것은 아니니까 말이다. 그러나 ‘보안’을 핵심 판매 포인트로 내세우는 기업이, 고객의 가정 주소조차 보호하지 못한다면, 자신이 전혀 책임이 없다고 당당하게 말하기는 어렵다.
40억 달러의 논리
이처럼 부정적인 이야기를 많이 했으니, 이제 월스트리트가 여전히 레저를 지지하는 이유를 살펴보자.
답변은 단 하나의 단어뿐이다: FTX.
2022년 11월, FTX가 붕괴되면서 320억 달러의 기업 가치가 하룻밤 사이 증발했다. 수십만 명의 사용자 자산이 그 ‘블랙홀’ 속에 묶여 지금까지도 회수되지 않고 있다.
“네 키가 아니면, 네 코인이 아니다(Not your keys, not your coins)”라는 오래된 슬로건이, 갑작스럽게 피를 흘리는 현실 교육이 되어버린 것이다.
하지만 그 이후 하드웨어 지갑 수요는 폭발적으로 증가했고, 레저는 이 시장에서 유일하게 진정한 브랜드 인지도를 확보한 플레이어다. BSCN 보도에 따르면, 레저는 시장 점유율의 50~70%를 차지한다. 레저는 전 세계 비트코인 시장 전체 시가총액의 약 5%에 해당하는 1000억 달러 규모의 비트코인을 보관하고 있다고 주장한다.
더 중요한 건 타이밍이다.
2025년, 암호화폐 기업들은 IPO를 통해 34억 달러를 조달했다. 서클(Circle)과 불리시(Bullish)는 각각 10억 달러 이상을 유치했다. 비트고(BitGo)는 2026년 첫 번째 상장 암호화폐 기업이 되었다. 크라켄(Kraken)은 200억 달러 기업 가치로 상장 대기열에 들어섰다.
이것은 상장 퇴출의 잔치이며, 레저는 이 식탁에서 자리를 놓치고 싶지 않다.
창립자들은 자금을 회수하려 하고, 벤처캐피탈(VC)은 투자금을 회수하려 하며, 비트코인 강세를 타고 흥분한 2차 시장은 ‘암호화폐’라는 라벨만 붙어 있다면 어떤 주식이든 사려 한다.
마켓 그로스 리포트(Market Growth Report)에 따르면, 2026년 글로벌 암호화폐 하드웨어 지갑 시장 규모는 9.14억 달러이며, 2035년까지 약 127억 달러에 이를 것으로 예측된다. 예측 기간 동안 연평균 성장률(CAGR)은 33.7%다. 비트코인 ETF 및 기관 투자자 관심 증가 등으로 하드웨어 지갑 보급 속도가 빨라질 경우(이 가능성은 매우 높다), 레저는 이러한 성장 기회를 선점해 유리한 위치를 차지할 수 있다.
그리고 40억 달러의 기업 가치는 ‘암호화폐 보관 인프라’라는 스토리텔링을 반영한다. 투자자들이 사는 것은 단순한 하드웨어 기업이 아니라, 이 분야에서 유일하게 브랜드 인지도를 갖춘 ‘디지털 금고’다.
즉, 이 기업 가치는 스토리텔링 기반의 평가이며, 실제 사업 실적 기반의 평가가 아니다.
캔들 차트 밖의 진실
물론 스토리텔링의 문제점은, 그것이 언제든지 바뀔 수 있다는 데 있다.
2025년 상장한 암호화폐 기업들의 지난 6개월간 주가 흐름을 살펴보라.
서클: 최고점 298달러에서 69달러로 하락.
불리시: 118달러에서 34달러로 하락.
비트고는 상장 첫날 25% 상승했으나, 사흘 만에 이 상승분을 모두 잃어버렸다.
이것이 바로 암호화폐 주식의 숙명이다: 기본적 실적과는 무관하게, 오직 비트코인과 공명한다.
모듈화된 오라클 레드스톤(Redstone)의 공동 창립자이자 최고운영책임자 마르친 카즈미에르차크(Marcin Kazmierczak)는 인터뷰에서, 시장 불확실성이 지속되더라도 규제 환경은 여전히 레저에 유리하다고 언급했다.
그는 또한 레저의 수익이 여전히 소비자용 하드웨어 주기의 영향을 받고 있으며, “장기적인 침체가 또다시 발생한다면 이 부분에 분명히 영향을 미칠 것”이라고 경고하면서도, IPO는 “순수한 소매 투자자 열풍보다 강력한 기관 투자자 주기”의 혜택을 받을 수 있다고 덧붙였다.
적자생존
레저의 IPO 이야기는 암호화폐 업계의 거울이다.
‘보안’을 핵심 판매 포인트로 내세우는 기업이, 역사상 가장 큰 위험 요인은 바로 보안 문제에서 비롯된 것이다.
‘사용자가 개인 키를 완전히 통제한다’고 약속하는 제품을 내놓았지만, 동시에 제3자가 개인 키 조각을 보관하도록 하는 서비스를 출시했다.
공동 창립자 한 명이 손가락을 잘린 팀이, 더 공개적이고 더 투명한 자본시장에 회사를 상장시키려 한다.
이 안에 모순이 있는가?
물론 있다.
하지만 암호화폐 세계의 생존 법칙은 모순을 제거하는 것이 아니라, 모순을 품은 채 살아남는 것이다.
2020년 데이터 유출은 레저를 죽이지 못했고, 2023년 공급망 공격도, 리커버 논란도, 공동 창립자 납치도 레저를 죽이지 못했다.
레저는 오히려 살아남아, 상장까지 준비하고 있다.
어쩌면 이것이 암호화폐 업계가 던지는 가장 심오한 은유일지도 모른다:
창립자의 손가락조차 안전하지 않은 세상에서, 진정으로 안전한 것은 아무것도 없다.
하지만 돈은 언제나 그 갈 곳을 찾는다.
그리고 폐허 속에서도 여전히 버티고 있는 기업들이야말로, 다음 주기의 패권자일 가능성이 높다.
그중 하나가 레저인지 아닌지는, 시간이 지나야 알 수 있다.
혹은, 다음 데이터 유출이 알려줄지도 모른다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
