금감원 “페이코 ‘서명키’ 외부 유출로 스마트폰 앱 설치시 주의”

[한국금융신문 김경찬 기자] 금융감독원이 간편결제 서비스 페이코(PAYCO)의 서명키 외부 유출과 관련해 정상적이지 않은 경로를 통한 스마트폰 앱 설치시 주의할 것을 당부했다. 또한 NHN페이코에 대한 현장점검에도 착수했다.

금감원은 6일 “NHN페이코의 앱 서명키가 외부에 유출됨에 따라 페이코 앱으로 가장한 악성앱이 유포될 위험이 있어 주의가 요망된다”며 소비자경보 ‘주의’를 발령했다. 이날 금융권에 따르면 최근 보안솔루션 기업 에버스핀은 주요 고객사 30여 곳에 페이코 서명키 유출로 악성 앱이 유통됐다는 공문을 발송했다. 에버스핀에 따르면 유출된 서명키를 통해 제작된 악성 앱은 현재 5144건으로 알려졌다.

페이코 서명키 외부 유출은 지난 8월 발생한 것으로 파악됐다. 서명키는 특정 개발사의 앱이라는 사실을 증명하는 장치로 페이코 서명키로 인증한 앱의 경우 서명키가 같아 보안앱이 별도 검사를 하지 않는다. 페이코는 유출된 서명키를 즉각 폐기하고 새로운 서명키를 이용한 앱을 이날 중 앱마켓에 재배포할 예정이다.

구글플레이 등 앱마켓과 같이 정상적인 경로를 통해 다운받아 설치한 앱은 서명키 유출과 관련 없이 안전하나 페이코 앱으로 가장한 악성앱이 비정상 경로로 유포될 위험이 있어 정상적이지 않은 경로를 통한 스마트폰 앱 설치시 주의할 필요가 있다

금감원은 “반드시 정식 앱마켓을 통해서만 앱을 다운로드하고 SNS 등을 통해 전달되는 확인되지 않은 앱 설치 요구에 응하거나 출처가 불분명한 URL 주소는 클릭해서는 안 된다”라고 밝혔다.

또한 “앱마켓이 아닌 비공식 경로를 통해 설치한 앱이라 판단되는 경우 즉시 삭제해야 한다”며 “설치된 앱이 의심되는 경우 백신앱을 통한 검사를 실시하거나 악성코드 유·무 점검을 권고한다”라고 덧붙였다.

금감원은 NHN페이코에 대한 현장점검에 착수했다. 금감원은 서명키 유출 경로와 관리 실태 등을 파악할 계획으로 페이코의 과실이 확인될 경우 검사로 이어질 것으로 보인다.

페이코 측은 “해당 사안 인지 직후 서비스 장애요인 및 영향도를 고려해 서명키 변경 작업을 진행해 왔다”며 “스토어를 통해 정상적으로 페이코앱을 설친한 고객들의 개인정보 및 결제정보 유출은 전혀 없고 현재까지 해당 사안과 관련된 피해 사례도 확인된 바 없다”라고 밝혔다. 이어 “신규 서명키를 적용한 최신 버전의 페이코 앱을 금주 중 업데이트할 예정이고 보안 업체와 협력해 악성앱의 작동을 무효화할 수 있는 방안을 적극적으로 강구할 계획이다”라고 덧붙였다.

김경찬 기자 kkch@fntimes.com