간편결제 '페이코' 서명키 유출... "확인된 피해 사례 없어"

"8월 인지, 서명키 변경 진행 중"

간편결제 애플리케이션(앱) 페이코의 서명키가 8월 유출된 것으로 나타났다.

간편결제 애플리케이션(앱) 페이코(PAYCO)의 서명키가 넉 달 전 유출된 것으로 밝혀졌다. 유출된 서명키는 보이스피싱 앱 등 범죄에 악용될 수 있다.

페이코 운영사 NHN은 "8월 서명키가 유출된 사실을 인지하고, 서명키 변경 작업을 진행해 왔다"고 5일 밝혔다. NHN은 "이번 주 내로 새 서명키를 활용한 앱 업데이트를 진행할 계획이었다"고 부연했다.

서명키 유출 사실은 최근 보안업체 에버스핀이 시중은행 등 금융권 고객사에 관련 내용을 담은 공문을 보내면서 뒤늦게 드러났다. '페이코 서명키가 유출됐고 이를 악용해 5,144개의 악성 앱이 제작, 유포됐다'며 고객사에 주의를 당부하는 내용이다.

서명키는 특정 개발사의 앱이라는 사실을 증명하는 장치다. 따라서 페이코 서명키로 인증한 앱은 페이코 정식 앱으로 인식돼 별도의 보안검사를 피할 수 있다. 해커가 만든 악성 앱도 정상 앱으로 잘못 인식될 수 있다는 얘기다. 설치된 악성 앱을 통해 해커는 타인의 휴대폰에 저장된 개인정보에 접근할 수 있다.

현재까지 확인된 피해 사례는 없다는 게 NHN 측 설명이다. NHN은 "문자 내 다운로드 링크 등 비정상적 경로를 통한 강제 설치 외에 구글플레이, 앱스토어로 페이코 앱을 다운받은 경우는 문제가 없는 것으로 확인됐다"며 "페이코 쪽으로 접수된 피해 사례도 현재 확인된 바 없다"고 알렸다.

또 "제작된 악성 앱의 작동을 무효화할 수 있는 방안도 강구 중"이라고 덧붙였다. 구글플레이에서 페이코 앱 다운로드 수는 현재 1,000만 건이 넘는다.

윤주영 기자 roza@hankookilbo.com