"제2의 페이코 앱 서명키 유출 막자"…양정숙 의원, 개정안 발의

오정인 기자 입력 2023. 2. 7. 15:21 수정 2023. 2. 7. 15:24
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[국회 정무위원회 소속 양정숙 의원이 전자금융거래법 일부개정법률안을 대표 발의했다. (자료=양정숙 의원실)]

애플리케이션 서명키 유출도 전자적 침해행위에 포함시키는 내용을 담은 법안이 국회에 발의됐습니다. 지난해 발생한 간편결제서비스 페이코의 앱 서명키 유출 문제에 따른 후속조치입니다.

7일 국회 정무위원회 소속 양정숙 무소속 의원은 전자적 침해행위로 인한 침해사고와 소비자 피해 예방을 위한 '전자금융거래법' 일부개정법률안을 대표 발의했다고 밝혔습니다.

이번에 발의된 개정안은 지난해 발생한 간편결제서비스 페이코의 앱 서명키 유출과 같은 문제를 방지하고 소비자 피해를 막기 위해 마련됐습니다.

앱 서명키는 앱 개발자를 인증하기 위한 수단입니다. 특정 개발자가 만든 앱이 다른 개발자가 만든 유사 앱으로 오인되는 것을 방지하는 역할을 합니다. 따라서 앱 서명키가 유출될 경우 해당 앱과 유사한 악성 앱이 만들어져 유포될 가능성이 있습니다.

앞서 지난해 12월 6일 페이코가 앱 서명키 유출 사실을 발표한 이후 금융감독원은 "서명키 유출로 인한 직접적 피해 사례는 없다"고 밝힌 바 있습니다. 하지만 악성 앱이 만들어진 경우 소비자 피해가 발생할 우려를 배제할 수 없다는 것이 문제입니다.

양 의원은 "앱 설치를 유도하는 링크 등 비정상적인 경로로 악성 앱을 내려받고 해당 앱에 개인정보를 입력할 가능성이 있다"고 지적했습니다.

페이코의 앱 서명키 유출에 앞서 지난해 9월 말 외국 해커가 마이크로소프트의 드라이버 서명을 탈취한 사례도 있었습니다. 사고 발생 직후인 10월 초 마이크로소프트는 탈취된 드라이버 서명을 철회하고 보안 업데이트를 실시하는 등 조치를 완료했습니다.

조치가 이뤄진 뒤 탈취된 드라이버 서명이 활용될 가능성이 없고 추가적인 피해 발생 가능성도 낮아 실제 금융 피해로까지 이어지진 않았습니다. 하지만 디지털 서명 탈취 같은 보안 공격은 앞으로도 지속 발생 가능성이 있어 이에 대한 대응이 더 강화될 필요가 있다는 분석입니다.

전자금융거래법은 금융사 및 전자금융업자가 전자적 침해행위로 인해 전자금융기반 시설 교란·마비 등 사고가 발생하면 이를 금융위원회에 통지하고 피해 확산 방지를 위한 조치를 취하도록 규정하고 있습니다. 하지만 페이코의 앱 서명키 유출 때는 사고가 발생하지 않았다는 이유로 금융위에 통지가 빠르게 되지 않았습니다.

양 의원은 "현행법상 앱 서명키가 유출되는 경우 전자적 침해해위에 포함되는지 명확하지 않다"며 "또 침해사고 발생 우려가 있어도 예방조치 의무규정이 없어 전자적 침해행위로 인한 피해 예방 장치가 미흡한 상황"이라고 설명했습니다. 

이에 전자적 침해행위에 앱 서명키 유출 행위를 포함하고, 금융사 및 전자금융업자가 전자적 침해행위를 발견하면 침해사고 방지를 위한 사전조치를 하도록 의무화함으로써 침해사고 및 소비자 피해 예방을 위한 제도적 장치를 마련한다는 것이 이번 개정안의 핵심입니다. 

양 의원은 "지금같은 디지털 시대에 앱 서명키 유출과 같은 사건은 앞으로 더 증가할 것"이라며 "법 개정뿐만 아니라 신뢰와 책임감 있는 기업의 자세도 필요하다"고 강조했습니다.

SBS Biz 기자들의 명료하게 정리한 경제 기사 [뉴스'까'페]

네이버에서 SBS Biz 뉴스 구독하기!

저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지

Copyright © SBS Biz. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?