‘페이코’ 서명키 외부 유출 악성앱 경고령…정상앱 위장 ‘고객정보 유출’ 우려

[한국금융신문 김경찬 기자] 간편결제 서비스 페이코(PAYCO)의 서명키가 지난 8월 외부로 유출된 것으로 확인됐다. 해당 사안과 관련해 아직 페이코 측에서 파악한 피해 사례는 없으나 악성 앱이 정상 앱으로 위장해 개인정보 유출 등의 피해가 발생할 수 있다는 우려가 제기된다.

6일 금융권에 따르면 최근 보안솔루션 기업 에버스핀은 주요 고객사 30여 곳에 페이코 서명키 유출로 악성 앱이 유통됐다는 공문을 발송했다. 에버스핀에 따르면 유출된 서명키를 통해 제작된 악성 앱은 현재 5144건으로 알려졌다.

에버스핀은 악성 앱 탐지 솔루션 ‘페이크파인더’를 주요 금융사에 제공하고 있다. 에버스핀은 정식 배포된 세상의 모든 앱을 모은 ‘화이트리스트’ 데이터베이스를 기반으로 디바이스 내에 설치된 모든 앱의 진위성을 검증한다. 기존 발견된 위협을 모아 둔 ‘블랙리스트’ 기반으로 탐색하는 것과 달리 발견되지 않은 악성 앱들도 선제적으로 탐지해 악성 앱 발견 가능성을 높이고 있으며 현재까지 발견한 악성 앱은 421만8000여 개를 넘어섰다.

페이코 서명키 외부 유출은 지난 8월 발생한 것으로 파악됐다. 서명키는 특정 개발사의 앱이라는 사실을 증명하는 장치로 페이코 서명키로 인증한 앱의 경우 서명키가 같아 보안앱이 별도 검사를 하지 않는다. 서명키를 악용한 악성앱의 경우 보안 검사를 통과할 수가 있어 스마트폰에 내장된 고객정보를 유출하는 방식 등으로 보이스피싱 피해로 확산될 수 있다는 우려가 제기된다.

페이코 측은 “해당 사안 인지 직후 서비스 장애요인 및 영향도를 고려해 서명키 변경 작업을 진행해 왔다”며 “스토어를 통해 정상적으로 페이코앱을 설친한 고객들의 개인정보 및 결제정보 유출은 전혀 없고 현재까지 해당 사안과 관련된 피해 사례도 확인된 바 없다”라고 밝혔다. 이어 “신규 서명키를 적용한 최신 버전의 페이코 앱을 금주 중 업데이트할 예정이고 보안 업체와 협력해 악성앱의 작동을 무효화할 수 있는 방안을 적극적으로 강구할 계획이다”라고 덧붙였다.

김경찬 기자 kkch@fntimes.com