다운로드 1000만 넘는 이 앱 때문에…통장비번 털리면 어떡하나

사진·문자내역까지 술술
해커가 폰 원격조종도 가능

페이코 서명키 공유는
법인 인감도장 돌려쓰는 꼴
허술한 앱 보안의식 도마 위

페이코측 “유출경로 파악 중”

[사진 = 연합뉴스]

다운로드 수가 1000만건이 넘는 간편결제 금융 앱 ‘페이코’의 서명키가 외부로 유출된 것으로 파악됐다. 전자인증에서 일종의 인감도장 역할을 하는 서명키가 도난당한 것이어서 상당한 후폭풍이 예상된다. 유출된 서명키를 악용하면 보이스피싱 앱이 정상 앱인 것처럼 위장하고 고객 개인정보를 빼갈 수 있기 때문이다. 이미 고객 휴대폰에 수천 개 악성 앱이 위장 설치된 것으로 알려지고 있고, 현재 그 수가 계속 늘어나고 있다.

5일 금융권에 따르면 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여 곳에 ‘페이코 서명키가 유출됐고, 이를 악용해 악성 앱이 제작, 유포됐다’며 주의하라는 긴급 공문을 보냈다. 공문은 이미 지난 8월 1일부터 11월 30일까지 유출된 서명키를 통해 제작된 악성 앱 5144건이 탐지됐다며 고객사들에 “서명키 관리와 보이스피싱 등 각종 금융사고 대응에 유념하라”고 경고했다. 페이코는 유출 사실을 8월 10일 경 인지했으나 본지 보도 전까지 외부에 알리지 않았다. 페이코는 “페이코 앱 자체에 대한 공격은 없어 외부 신고할 사항이 아니라고 판단했다”고 말했다.

페이코 서명키로 인증한 앱은 페이코가 만든 앱으로 인식돼 보안검사를 피할 수 있다. 에버스핀에 따르면 보이스피싱 앱들은 페이코 앱과 고윳값(시그니처값)이 동일하다. 시그니처값과 서명키는 일대일 대응하는 것인데, 시그니처값이 같다는 것은 똑같은 서명키로 서명이 됐다는 걸 의미한다.

실제로 페이코 서명키는 다른 앱 서명에도 사용되는 보안 취약점이 발견됐다. 법인 인감도장을 다른 계열사 문서에도 쓰는 것과 비슷한 격이다. 공문은 ‘한게임 OTP’ ‘운수도원 투데이’ ‘티켓링크’를 비롯한 18개 앱이 같은 서명키를 쓰고 있다고 지적했다. 김승주 고려대 정보보호대학원 교수는 “서명키가 유출되면 해커가 개발한 앱을 정상적인 앱으로 오인하게 만들 수 있기 때문에 관리를 철저하게 해야 한다”고 강조했다.

에버스핀은 유출 경로로 구글 플레이스토어 계정 유출, 관리자 PC의 해킹, 기타 관리자 부주의 등을 추정했다. 에버스핀 관계자는 “구글 계정이 유출되거나 관리자 PC가 해킹당했을 경우 해커가 구글 플레이스토어 앱을 바꿔치기 해 금융정보 유출 등 더 큰 피해가 초래될 수 있다”며 “보안상 매우 심각한 문제”라고 말했다. 페이코는 “금주 중 신규 서명키를 활용한 앱 업데이트를 진행하겠다”며 “제작된 악성 앱의 작동을 무효화할 수 있는 방안을 현재 강구 중에 있다”고 밝혔다.

페이코가 서명 키를 이용한 악성 앱이 유포되고 있다는 걸 인지한 건 8월 10일 경이다. 페이코는 “인지 후 악성 앱과 유출된 서명키가 페이코 서비스에 미치는 영향 등을 파악하는 과정에 시간이 걸렸다”며 “금주 중 신규 서명키를 활용한 앱 업데이트를 진행할 계획이었다”고 해명했다. 에버스핀은 8월 1일부터 지난달 30일까지 해당 사례로 탐지된 건수가 5144건이라고 했다. 보안솔루션이 설치되지 않아 탐지되지 못한 경우도 있어 피해는 커질 수 있다.

에버스핀은 KB국민은행, NH농협은행, 핀다, 삼성카드, KB국민카드, 현대카드, 롯데카드, 우리카드, NH농협카드, 삼성생명, 한화생명 등 국내 수십 여개 금융사 앱 사용자들을 대상으로 악성 앱 탐지 서비스를 제공하고 있다. 금융 앱에 내장된 보안 솔루션을 통해 악성 앱을 삭제할 수 있다.

악성 앱들은 보이스피싱 앱으로 고객 정보를 가로채 악용하기도 한다. 전화 송수신 내역이나 문자 수·발신 내역, 전화번호부 등을 가로채 지인들에게 피싱 문자를 보내는 등 식이다. 휴대폰 내 파일에도 접근이 가능하기 때문에 사진첩이나 메모장에 기록해 놓은 주민등록증, 통장 사진, 비밀번호를 가져갈 수도 있다. 심한 경우에는 해커 맘대로 휴대폰을 원격조종하는 것도 가능하다.

페이코 서명 키로 서명을 해두면 다른 보안 앱으로는 악성 앱 탐지가 잘 안 되는 점이 문제다. 통상 보안 앱들은 서명 키가 같으면 추가적인 검사는 하지 않는 경우가 많다. 서명 키는 대부분 회사에서 간수를 철저히 해 통상 유출되지 않기 때문에, 빠른 시간 내 탐지를 하기 위해 서명 키가 같으면 악성 앱이 아니라고 간주하고 넘어간다.

에버스핀은 ‘화이트리스트’ 방식을 활용해 이 악성 앱들을 탐지했다. 밝혀진 악성 앱 정보만을 모아 차단하는 ‘블랙리스트’ 방식과 달리, 정상 앱 정보를 수집해 여기에서 벗어난 앱을 차단하는 방법이다. 에버스핀은 이를 위해 4년 간 전 세계 애플리케이션 스토어에서 약 1900만개에 이르는 정상 앱 정보를 수집했다.

서명 키가 어떤 경로로 유출됐느냐에 따라 문제는 더 커질 수 있다. 페이코 관계자는 “현재 자세한 유출 경로와 세부 내용을 확인 중에 있다”고 했다. 에버스핀은 유출 경로로 구글 플레이 스토어 계정 유출, 관리자 컴퓨터의 해킹, 기타 관리자 부주의 등을 추정했다. 계정이 유출됐거나, 관리자 컴퓨터가 해킹됐을 경우 사태는 심각해진다. 구글 플레이 스토어에 등록된 페이코 앱이 해커가 만든 앱으로 바뀌어 배포돼 금융정보들을 가로챌 수 있기 때문이다. 페이코 관계자는 “현재까지 외부 공격에 대한 흔적은 없는 상황”이라고 말했다.

페이코는 삼성페이, 네이버페이, 카카오페이, 토스페이 등과 더불어 많이 쓰이는 간편결제 앱이다. 구글 플레이스토어 기준 누적 다운로드 수는 1000만이 넘고, 월 활성 사용자 수(MAU)는 290만명 가량이다. 고객 데이터 플랫폼 다이티에 따르면, 2022년 상반기 기준 20대 이하 유저 비율이 높은 앱 1위를 차지한 바도 있다. 감독기관도 매일경제 질의를 받고 관련 사항 조사에 착수했다. 금융보안원 관계자는 “해당 사안에 대해 파악 중에 있다”고 했다.

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]