간편결제 애플리케이션 ‘페이코’, 서명키 유출…“변경 작업중”
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
누적 다운로드 횟수가 1000만 회에 이르는 국내의 대표적인 간편결제 애플리케이션(앱) '페이코'의 서명키가 외부로 유출된 것으로 드러났다.
페이코 관계자는 "올 8월에 서명키가 유출된 사실을 확인하고 페이코 앱의 서명키 변경 작업을 이번 주까지 마무리 지을 예정"이라며 "앱 장터에 앱을 등록하기 위해서는 회사의 승인 절차 등을 거쳐야 해서 악성 앱이 실제 등록되지는 못 했다"고 말했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
누적 다운로드 횟수가 1000만 회에 이르는 국내의 대표적인 간편결제 애플리케이션(앱) ‘페이코’의 서명키가 외부로 유출된 것으로 드러났다. 유출된 서명키를 악용해서 만들어진 악성 앱이 앱 장터에까지 등록되지는 못했지만 악성 링크 등을 통해서는 실제 배포된 것으로 파악되면서 개인정보 유출에 대한 우려가 나온다.
5일 금융권에 따르면 보안 솔루션 기업 에버스핀은 최근 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여 곳에 “페이코의 서명키가 유출됐고 이를 악용해 악성 앱이 제작, 유포됐다”며 주의하라는 내용의 공문을 보냈다.
유출된 서명키는 앱 개발사들이 앱 장터인 구글 플레이스토어를 통해 앱을 등록·배포할 때 페이코의 앱이라는 점을 증명하는 역할을 하는 장치다. 유출된 서명키를 이용할 경우 악성 앱을 페이코가 제작한 앱인 것처럼 속일 수 있는 것이다.
실제로 에버스핀 측은 올 8월 1일부터 지난달 30일까지 유출된 서명키를 통해 제작된 악성 앱 5144건을 탐지했다고 밝혔다. 이용자들이 에버스핀의 금융 고객사 앱에 접속할 때 스마트폰에 악성 앱이 설치됐는지 탐지해본 결과 페이코 서명키를 악용한 앱이 이 기간 동안 누적 5000회 이상 감지됐다는 것이다.
이와 관련해 금융권 관계자는 “페이코 서명키를 이용한다고 해서 다른 금융 앱의 개인정보를 직접 빼돌릴 수는 없다”면서도 “악성 앱을 통해 스마트폰의 개인정보가 유출될 가능성은 충분히 있다”고 지적했다. 이용자들이 악성 앱을 정상적인 다른 앱으로 오인해 개인정보를 입력할 경우 이를 해커들이 가로챌 가능성이 있다는 것이다. 페이코의 서명키를 악용한 앱의 경우 스마트폰 보안 프로그램 등으로 걸러내기가 쉽지 않다.
페이코 측은 “서명키 유출 사실을 확인해 변경 작업을 진행 중”이라며 “악성 앱이 앱 장터에 등록되지는 않았다”고 해명했다. 페이코 관계자는 “올 8월에 서명키가 유출된 사실을 확인하고 페이코 앱의 서명키 변경 작업을 이번 주까지 마무리 지을 예정”이라며 “앱 장터에 앱을 등록하기 위해서는 회사의 승인 절차 등을 거쳐야 해서 악성 앱이 실제 등록되지는 못 했다”고 말했다.
유출된 페이코 서명키를 악용한 앱은 악성 링크를 통해 개인 간에 유포됐을 것으로 추정된다. 페이코는 서명키 변경을 통해 악성 앱 추가 제작을 막으면서 기존 서명키를 악용한 악성 앱을 무력화시키는 방안도 찾을 계획이다.
김도형 기자 dodo@donga.com
Copyright © 동아일보. 무단전재 및 재배포 금지.
- 멍든 채 모텔서 숨진 20대女…“의식 없다” 신고한 직장동료 체포
- 北, 동·서해 완충구역에 130여발 포사격…9·19 합의 또 위반
- 남욱 “‘이재명, 씨알도 안먹혀’ 발언? 아랫사람이 다 했다는 뜻”
- “보고 계시죠?”…이강인 맹활약에 소환된 故유상철의 소원
- “한동훈 집 주소 담긴 문서, 수사관이 휴대폰으로 찍어 더탐사 전송”
- 학생이 교사에 “기쁨조나 해라”…교원평가 폐지론 고개
- 네이마르 등 3명 감기증세에도…코로나 검사 안받아
- 브라질 상대 ‘첫승’ 도전하는 벤투…한준희 “부담은 브라질이 더 커”
- 英 BBC “손흥민, 축구 초월한 선수”…가디언 “위험한 공격수”
- 심판에 욕하고 모니터 치고…우루과이 선수들 ‘징계’ 가능성(영상)