‘천만 페이코’ 꼭 써야 한다면…서명키 유출 대응 이렇게

이름이 ‘보안 인증서’ 앱 주의하세요
페이코 서명키 유출 대응 어떻게
필요하지 않으면 탈퇴하고 지우는 것도
금감원, 페이코 현장조사 착수

[사진 = 연합뉴스]

6일 간편결제 앱 ‘페이코’의 서명 키가 유출됐다는 소식이 매일경제 보도로 알려지자 금융감독원은 페이코를 운영하는 NHN페이코에 대한 현장 조사에 착수했다. 이날 NHN페이코는 일정을 앞당겨 새 서명키를 적용한 최신 버전의 페이코 앱을 금주 중 업데이트하겠다고 밝혔다.

보안전문가들은 페이코가 꼭 필요하지 않은 고객이라면 우선 페이코에서 탈퇴하고 삭제하는 것도 방법이라고 조언했다. 페이코를 꼭 써야 한다면 휴대폰에 백신을 설치하고 페이코 앱을 최신으로 업데이트해야 한다. 현재 KB국민은행, NH농협은행, 카카오뱅크, 삼성생명, 한화생명, 핀다 등 주요 금융사는 페이코로 서명한 악성 앱도 탐지할 수 있는 보안 프로그램이 탑재돼 있다. 또 금융보안원은 페이코 서명 키로 서명한 악성 앱을 분석하고 그 결과를 보안기업, 한국인터넷진흥원과 공유했다. 곧 대부분의 모바일 백신들이 이 악성 앱들도 감지할 수 있게 될 예정이다. 모바일 백신 프로그램 설치를 권장하는 이유다.

또한 구글스토어를 비롯한 공식 스토어가 아닌 곳에서 앱을 내려받지 말아야 한다. 서명키를 서명한 악성 앱이라도 구글 스토어에 등록하려면 추가적인 절차를 거쳐야 하기 때문에, 스토어에 등록된 앱은 안전하다. 반면 지인이 문자로 보낸 주소를 통해 앱을 설치할 때는 정보가 유출될 수 있다. 보안업계에 따르면 페이코 서명키로 서명한 악성 앱들은 이름을 ‘신한신청서’ ‘보안 인증서’ ‘카카오뱅크’ ‘플라이굿’처럼 정상앱으로 바꿔 고객을 현혹한다. 이름만 공식 앱과 똑같을 뿐 플레이 스토어에 등록된 앱이 아니다. 플레이 스토어에 등록된 공식 앱은 안전하다.

한 보안업계 관계자는 “서로 다른 법인이 서명 키를 공유하고, 그러한 서명 키가 유출됐다면 그 곳은 보안 수준이 높다고 보기 힘들다”고 말했다. 페이코는 “2013년 창립 초 여러 법인들이 분할되기 전에 앱 개발 조직이 하나로 돼 있어 각 서비스가 동일 서명키를 사용해왔다”며 “현재 여러 법인이 분할된 상황을 감안해 각 법인마다 다른 서명키를 사용하는 작업을 진행 중”이라고 해명했다.

현재 서명키가 빠져나간 경로로는 구글 플레이스토어 계정 유출, 관리자 컴퓨터 해킹, 관리자 부주의 등이 거론된다. 특히 구글 플레이스토어 계정이 유출되거나 관리자 컴퓨터가 해킹됐을 경우 서명 키를 바꾸는 것만으로 문제가 해결되지 않는다. 페이코 관계자는 “유출 경로를 조사 중에 있다”고 했다.

다만 페이코 서명 키로 위장한 악성 앱에 당했지만 고객이 모르는 경우도 많을 수 있다. 피해를 입으면 한국인터넷진흥원을 비롯한 유관기관에 적극 신고해야 한다. 페이코 서명 키 유출로 인한 직접적 피해가 확인될 경우 페이코에 보상을 요구할 수 있다.