290만명 이용 페이코 서명키 유출
도용한 악성앱 5514건 유포
이미 보안솔루션에 인식 완료돼 악성앱 탐지 가능
일반 스미싱 수준…"주의만 기울이면 피해 예방 OK"
6일 금융 및 IT업계에 따르면 페이코 제작사인 NHN페이코는 지난 8월 초 자사 ‘서명키’를 악용한 악성 앱을 감지했다. 서명키를 통해 페이코가 제작한 정식 앱인 것처럼 간주해 백신이나 금융 앱의 악성 탐지에 걸리지 않도록 설계된 형태였다. 서명키는 구글과 애플 등의 앱스토어에서 특정 개발사가 만든 앱이라는 사실을 인증하는 증명장치다. 해커들은 페이코 서명키를 활용한 악성 앱을 정식 앱스토어가 아닌 문자, 카카오톡 등으로 유포했다.
이같은 사실은 국내 보안업체 에버스핀가 지난달 고객사인 수십개 금융사에 경고 공문을 보내면서 밝혀졌다. 지난 8월1일부터 지난달 30일까지 4개월간 페이코 서명키를 도용한 악성 앱이 5144건이 탐지돼 주의하라는 내용이었다.
서명키 당사자인 페이코는 악성 앱 탐지 이후에도 이 사실을 알리지 않았다는 비판에 직면하게 됐다. 다만 아무것도 하지 않은 것은 아니라고 해명했다. 서명키 교체 작업이 통상 수개월은 걸리는 만큼 곧바로 작업에 착수했다는 설명이다. NHN페이코 관계자는 “서명키 도용 악성 앱 탐지 직후부터 서명키 교체 작업에 들어갔고 동시에 고객 피해 여부를 파악했다”라며 “아직 피해 사례는 전무했으며 서명키 교체 작업도 마무리돼 다음주 중 앱 업데이트를 진행할 예정”이라고 밝혔다.
에버스핀 고객사인 은행과 카드사 등 금융사들도 난처한 모습이다. 피해가 전혀 발생하지 않았음에도 문제가 있는 것처럼 언급되는 것이 불편한 기색이다. 에버스핀 고객인 한 금융사 관계자는 “우리가 직접 페이코의 고객사인 것도 아니고 지금까지 관련 문제도 전혀 발생하지 않았는데 언급되는 것조차 불편하다”라며 “보안업체가 과도하게 홍보하는 것 아닌가 싶다”고 털어놨다.
한편 현재는 당국도 사실을 인지하고 대응에 나섰다. 금융감독원은 현재 페이코 현황 파악에 나섰고 향후 대응 방안을 논의 중이다. 금융보안원도 악성앱을 분석해 금융사와 금융사에 보안 솔루션을 공급하는 업체, 한국인터넷진흥원 등 유관기관에 관련 정보를 전파해 악성앱을 신속히 탐지하도록 돕고 있다.
다만 단순히 문자나 카카오톡을 이용한 ‘스미싱’과 큰 차이가 없는 만큼 피해는 크지 않을 것이라는 의견도 있다. 금융보안원 관계자는 “이미 페이코 서명키 활용 악성앱에 대한 정보가 공유됐고 이를 모바일 백신이나 금융사에서 탐지할 수 있다는 점이 확인된 상태”라며 “무심코 문자에 담긴 링크를 클릭해 앱을 설치하지 않는 등 일반적으로 스미싱에 조심하는 정도의 주의만 기울인다면 피해는 거의 발생하지 않을 수 있다”고 설명했다.
이민우 기자 letzwin@asiae.co.kr
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.