간편결제 금융 애플리케이션 페이코의 서명키가 외부로 유출됐다. 서명키는 본인 여부를 인증할 때 핵심적인 기능을 하는 데이터다. 인감 도장 내지는 열쇠인 셈이다. 탈취한 서명키는 페이코 서비스로 위장해 제3의 개인이나 기업을 해킹하는 데 쓰일 수 있다.

보안이 생명인 금융 앱이 해킹을 당한 셈이어서 상당한 파장이 예상된다. 더구나 페이코는 정확한 피해 규모나 유출 경로를 파악하지 못한 상태다. 페이코는 현재까지 드러난 피해 사실이 없다며 자세한 유출 경위를 파악 중이라고 밝혔다.

/페이코 제공

5일 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행 등 고객사 30여 곳에 페이코 서명키가 유출됐다는 공문을 보냈다. 에버스핀에 따르면 유출된 서명키를 통해 제작된 악성 앱은 현재 5144건이다.

에버스핀 관계자는 “지난 8월 최초 발견 시 유출된 서명키로 제작된 악성 앱 수가 적었는데 현재는 기하급수적으로 늘어나 5000여 건이 탐지됐다”며 “한 고객이 여러 악성 앱을 설치한 경우도 있어 피해 규모가 더 커질 수도 있다”고 말했다.

페이코 서명키로 인증한 앱은 페이코가 만든 앱으로 인식돼 별도의 보안검사를 피할 수 있다는 점이 문제다. 통상 보안 앱들은 서명 키가 같으면 추가적인 검사는 하지 않는다. 이에 해커가 만든 악성 앱이 정상 앱으로 위장된다. 악성 앱은 고객의 휴대전화 내 파일에 접근하거나 보이스피싱 앱으로 악용돼 개인정보 유출 등 피해를 일으킨다.

에버스핀 측은 유출 경로로 구글 플레이스토어 계정 유출, 관리자 PC의 해킹, 기타 관리자 부주의 등을 추정했다. 만약 구글 플레이스토어 계정이 유출됐거나, 관리자 컴퓨터가 해킹됐을 경우 해커가 앱마켓에 등록된 페이코 앱을 악성 앱으로 바꿔치기해 문제가 더욱 심각해질 것으로 보인다.

염흥열 순천향대 정보보호학과 교수는 “서명키가 유출되면 고객이 악성앱을 정상적인 앱으로 오인해 개인정보 유출 등 피해가 일어나기에 심각한 사안으로 보인다”며 “자세한 경위를 파악해야 하지만 보통 서명키는 유출되지 않도록 특별히 접근 관리에 신경써야 하는데, 최근 간편결제 앱들이 편리성을 지나치게 강조한 나머지 그 과정에서 보안 허점이 발생한 것 같다”고 말했다.

페이코 측은 “외부 공격에 대한 흔적이 없으며 현재 자세한 유출 경로 및 세부 내용을 확인 중에 있다”고 말했다. 이어 “현재까지 페이코 측에 접수된 피해 사례는 없는 상황”이라며 “이번 주 중 신규 서명키를 활용한 앱 업데이트를 진행할 것”이라고 말했다.