290만명 이용 페이코 서명키 유출
도용한 악성앱 5514건 유포
이미 보안솔루션에 인식 완료돼 악성앱 탐지 가능
일반 스미싱 수준…"주의만 기울이면 피해 예방 OK"
[아시아경제 이민우 기자] 월 290만명이 이용하는 간편결제 서비스 ‘페이코’의 서명키가 외부로 유출됐다. 이 서명키를 악용해 정상 애플리케이션(앱)인 척 가장하는 악성앱이 5000건 넘게 유포됐다. 한 보안업체가 이 사실을 발견해 금융사에 밝히면서 페이코는 물론 고객사로 언급된 은행들도 불편한 상황에 처했다.
6일 금융 및 IT업계에 따르면 페이코 제작사인 NHN페이코는 지난 8월 초 자사 ‘서명키’를 악용한 악성 앱을 감지했다. 서명키를 통해 페이코가 제작한 정식 앱인 것처럼 간주해 백신이나 금융 앱의 악성 탐지에 걸리지 않도록 설계된 형태였다. 서명키는 구글과 애플 등의 앱스토어에서 특정 개발사가 만든 앱이라는 사실을 인증하는 증명장치다. 해커들은 페이코 서명키를 활용한 악성 앱을 정식 앱스토어가 아닌 문자, 카카오톡 등으로 유포했다.
이같은 사실은 국내 보안업체 에버스핀가 지난달 고객사인 수십개 금융사에 경고 공문을 보내면서 밝혀졌다. 지난 8월1일부터 지난달 30일까지 4개월간 페이코 서명키를 도용한 악성 앱이 5144건이 탐지돼 주의하라는 내용이었다.
서명키 당사자인 페이코는 악성 앱 탐지 이후에도 이 사실을 알리지 않았다는 비판에 직면하게 됐다. 다만 아무것도 하지 않은 것은 아니라고 해명했다. 서명키 교체 작업이 통상 수개월은 걸리는 만큼 곧바로 작업에 착수했다는 설명이다. NHN페이코 관계자는 “서명키 도용 악성 앱 탐지 직후부터 서명키 교체 작업에 들어갔고 동시에 고객 피해 여부를 파악했다”라며 “아직 피해 사례는 전무했으며 서명키 교체 작업도 마무리돼 다음주 중 앱 업데이트를 진행할 예정”이라고 밝혔다.
에버스핀 고객사인 은행과 카드사 등 금융사들도 난처한 모습이다. 피해가 전혀 발생하지 않았음에도 문제가 있는 것처럼 언급되는 것이 불편한 기색이다. 에버스핀 고객인 한 금융사 관계자는 “우리가 직접 페이코의 고객사인 것도 아니고 지금까지 관련 문제도 전혀 발생하지 않았는데 언급되는 것조차 불편하다”라며 “보안업체가 과도하게 홍보하는 것 아닌가 싶다”고 털어놨다.
한편 현재는 당국도 사실을 인지하고 대응에 나섰다. 금융감독원은 현재 페이코 현황 파악에 나섰고 향후 대응 방안을 논의 중이다. 금융보안원도 악성앱을 분석해 금융사와 금융사에 보안 솔루션을 공급하는 업체, 한국인터넷진흥원 등 유관기관에 관련 정보를 전파해 악성앱을 신속히 탐지하도록 돕고 있다.
다만 단순히 문자나 카카오톡을 이용한 ‘스미싱’과 큰 차이가 없는 만큼 피해는 크지 않을 것이라는 의견도 있다. 금융보안원 관계자는 “이미 페이코 서명키 활용 악성앱에 대한 정보가 공유됐고 이를 모바일 백신이나 금융사에서 탐지할 수 있다는 점이 확인된 상태”라며 “무심코 문자에 담긴 링크를 클릭해 앱을 설치하지 않는 등 일반적으로 스미싱에 조심하는 정도의 주의만 기울인다면 피해는 거의 발생하지 않을 수 있다”고 설명했다.
이민우 기자 letzwin@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>