(썸네일 출처: Payco)
🔎
핵심만 콕콕
- 지난 8월 페이코의 구글 서명키가 유출돼 이를 이용한 악성 앱이 퍼졌습니다.
- 악성 앱을 통한 개인정보 유출과 보이스피싱 등의 피해가 우려되는데요.
- 페이코는 사건을 인지했음에도 4개월 동안 침묵했다는 비판에 직면했습니다
- 지난 8월 페이코의 구글 서명키가 유출돼 이를 이용한 악성 앱이 퍼졌습니다.
- 악성 앱을 통한 개인정보 유출과 보이스피싱 등의 피해가 우려되는데요.
- 페이코는 사건을 인지했음에도 4개월 동안 침묵했다는 비판에 직면했습니다
왜 중요한데?
서명키는 전자 인증에서 '인감도장'으로 통할 만큼 중요한 데이터입니다. 서명키가 있으면 악성 앱이 페이코의 서비스로 위장해 각종 피해를 낳을 수 있는데요. 국내 대표 간편결제 앱인 페이코의 유출 사건인 만큼 큰 파장이 예상됩니다.
- 🕶 도난당한 '인감도장': 서명키는 특정 개발자 혹은 개발사의 앱이라는 사실을 증명하는 인감도장과 같은 장치인데요. 이번에 유출된 구글 서명키의 경우 구글 플레이에 앱을 등록할 때 사용됩니다. 향후 앱을 제작한 사람만이 앱을 업데이트할 수 있도록 검증하는 역할도 하죠.
- 🚨 악성 앱 주의보: 유출된 서명키로 만들어낸 악성 앱은 페이코의 정식 앱인 것처럼 이용자를 속일 수 있는데요. 이미 5천 건이 넘는 악성 앱이 제작돼 광범위한 피해가 예상됩니다.
- 🏦 ‘천만’ 앱이 털리다: 페이코는 카카오페이, 삼성페이 등과 함께 국내에서 가장 많이 사용되는 간편결제 앱 중 하나입니다. 구글 플레이에서 1천만 회 이상 다운로드된 앱인 만큼, 거대 금융 앱이 해킹당한 수준의 대형 사건이나 다름없습니다.
공문으로 드러난 유출
페이코의 구글 서명키가 유출됐다는 사실은 보안솔루션 기업 에버스핀이 보낸 공문으로 알려졌습니다. 금융사 30여 곳에 페이코의 서명키가 유출돼 악성 앱이 배포됐다고 밝힌 것인데요.
- 🔐 에버스핀은 어디?: 에버스핀은 금융사에 악성 앱을 탐지하는 보안 솔루션을 제공하는 회사입니다. KB국민은행·NH농협은행·현대카드·삼성생명 등 국내 주요 금융사가 에버스핀의 고객이죠.
- 📄 유출 알린 공문: 지난 5일 에버스핀은 고객사 30여 곳에 페이코의 서명키가 유출됐다는 공문을 보냈습니다. 서명키로 만들어진 악성 앱이 퍼지고 있다는 사실도 함께 전했는데요.
- 📈 5천 건 넘긴 악성 앱: 에버스핀이 지난 8월부터 11월 말까지 탐지한 악성 앱은 5,144건에 달합니다. 악성 앱을 최초로 발견한 8월과 비교해 그 숫자가 기하급수적으로 늘었다고 하죠.
- 💦 유출 경로는?: 서명키가 유출된 경로는 아직 밝혀지지 않았는데요. 에버스핀은 구글 플레이 계정의 유출, 관리자 컴퓨터 해킹, 관리자의 부주의 등을 원인으로 추정했습니다.
악성 앱의 공포
서명키만으로는 개인 정보를 특정할 수 없습니다. 다만 서명키를 활용한 악성 앱은 보안 검사를 피해 개인 정보를 가로챌 수 있는데요. 악성 앱을 통한 각종 보안 피해가 우려됩니다.
- 🔗 무심코 링크 눌렀다가…: 악성 앱은 구글 플레이나 애플 앱스토어에 등록될 수 없습니다. 문자나 카카오톡 메시지로 링크를 보내 설치를 유도하는데요. 페이코에서 만든 앱이라 생각해 링크를 눌렀다가 악성 앱이 설치될 수 있는 거죠.
- 🔓 보안 검사 프리패스: 페이코의 서명키로 인증한 앱은 모바일 기기에서 페이코가 만든 앱으로 인식됩니다. 악성 앱이 서명키를 악용해 다른 보안 앱의 검사를 피해 갈 수 있는데요.
- 💬 보이스피싱 우려: 악성 앱은 전화 및 문자 메시지 내역과 연락처 등의 개인정보를 빼낼 수 있습니다. 연락처를 통해 지인에게 피싱 문자를 보내는 등 보이스피싱에 악용될 위험이 크죠.
- 📱 파일에 원격조종까지: 악성 앱은 휴대폰의 파일에도 접근할 수 있는데요. 사진첩이나 메모장에 남긴 주민등록증, 비밀번호 등 민감한 정보에도 손댈 수 있죠. 해커가 휴대폰을 원격으로 조종할 수도 있습니다.
유출 사건, 대응은?
페이코는 일찍이 서명키의 유출과 악성 앱의 존재를 알고 있었다고 하는데요. 사건이 보도되고 나서야 뒤늦게 대응책을 내놨습니다. 논란이 커지자 금융감독원도 사태 파악에 나섰습니다.
- 🤫 4개월간 ‘쉿’: 페이코는 8월에 서명키가 유출됐다는 사실을 인지했지만, 4개월 동안 어디에도 알리지 않았는데요. 이에 심각한 사태를 방치한 것 아니냐는 비판에 휩싸였습니다.
- 😢 억울한 페이코: 페이코는 외부에 알리지 않았을 뿐 사건이 발생하자마자 서명키 변경 작업을 진행해왔다고 해명했습니다.
- ❌ 접수된 피해자 없어: 이어 회사의 서명키가 유출된 것이라 이미 페이코를 사용 중인 고객이 받는 피해는 없다고 설명했는데요. 구글 플레이와 같은 정상적인 루트로 페이코 앱을 다운 받은 경우의 피해는 확인되지 않는다고 밝혔습니다.
- 🔄 업데이트할게: 이번 주 중으로 새로운 서명키를 도입한 업데이트를 진행할 계획입니다. 악성 앱을 무효로 만드는 방법도 모색할 예정이죠.
- 🔎 점검 개시한 금감원: 지난 6일 금감원은 페이코에 대한 현장 점검에 나섰습니다. 서명키가 새어나간 원인과 소비자 피해 규모를 조사할 계획인데요. 페이코의 과실이 확인된다면 정식 검사에 들어갈 것이라 예고했습니다.
📝 함께 보면 좋은 BYTE+ 콘텐츠
- 국내 간편결제 시장은 빠르게 성장하고 있는데요. 페이코를 비롯한 주요 간편결제사들과 관련 이슈들을 한 번에 정리해봤습니다.
👉 [마켓인사이드] 급락한 카카오페이, 간편결제 시장은 어떻게? - 유출 사건의 사태 파악에 나선 금융감독원은 금융 기관들을 감시 및 감독하는 기구인데요. 금감원 외에도 다양한 경제 관련 부처에 대해서 알아볼까요?
👉 [DEEP BYTE] 기재부와 한국은행, 금융위와 금감원