간편결제 애플리케이션 ‘페이코’, 서명키 유출…“변경 작업중”

누적 다운로드 횟수가 1000만 회에 이르는 국내의 대표적인 간편결제 애플리케이션(앱) ‘페이코’의 서명키가 외부로 유출된 것으로 드러났다. 유출된 서명키를 악용해서 만들어진 악성 앱이 앱 장터에까지 등록되지는 못했지만 악성 링크 등을 통해서는 실제 배포된 것으로 파악되면서 개인정보 유출에 대한 우려가 나온다.

5일 금융권에 따르면 보안 솔루션 기업 에버스핀은 최근 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여 곳에 “페이코의 서명키가 유출됐고 이를 악용해 악성 앱이 제작, 유포됐다”며 주의하라는 내용의 공문을 보냈다.

유출된 서명키는 앱 개발사들이 앱 장터인 구글 플레이스토어를 통해 앱을 등록·배포할 때 페이코의 앱이라는 점을 증명하는 역할을 하는 장치다. 유출된 서명키를 이용할 경우 악성 앱을 페이코가 제작한 앱인 것처럼 속일 수 있는 것이다.

실제로 에버스핀 측은 올 8월 1일부터 지난달 30일까지 유출된 서명키를 통해 제작된 악성 앱 5144건을 탐지했다고 밝혔다. 이용자들이 에버스핀의 금융 고객사 앱에 접속할 때 스마트폰에 악성 앱이 설치됐는지 탐지해본 결과 페이코 서명키를 악용한 앱이 이 기간 동안 누적 5000회 이상 감지됐다는 것이다.

이와 관련해 금융권 관계자는 “페이코 서명키를 이용한다고 해서 다른 금융 앱의 개인정보를 직접 빼돌릴 수는 없다”면서도 “악성 앱을 통해 스마트폰의 개인정보가 유출될 가능성은 충분히 있다”고 지적했다. 이용자들이 악성 앱을 정상적인 다른 앱으로 오인해 개인정보를 입력할 경우 이를 해커들이 가로챌 가능성이 있다는 것이다. 페이코의 서명키를 악용한 앱의 경우 스마트폰 보안 프로그램 등으로 걸러내기가 쉽지 않다.

페이코 측은 “서명키 유출 사실을 확인해 변경 작업을 진행 중”이라며 “악성 앱이 앱 장터에 등록되지는 않았다”고 해명했다. 페이코 관계자는 “올 8월에 서명키가 유출된 사실을 확인하고 페이코 앱의 서명키 변경 작업을 이번 주까지 마무리 지을 예정”이라며 “앱 장터에 앱을 등록하기 위해서는 회사의 승인 절차 등을 거쳐야 해서 악성 앱이 실제 등록되지는 못 했다”고 말했다.

유출된 페이코 서명키를 악용한 앱은 악성 링크를 통해 개인 간에 유포됐을 것으로 추정된다. 페이코는 서명키 변경을 통해 악성 앱 추가 제작을 막으면서 기존 서명키를 악용한 악성 앱을 무력화시키는 방안도 찾을 계획이다.

김도형 기자 dodo@donga.com