[종합] 페이코 서명키 유출로 악성 앱 활개…보안업계 “수상한 문자·메일 열람 금지”

NHN 간편결제 ‘페이코’ 서명키 일부 유출
서명키 유출해 제작된 악성코드 5144건 탐지
페이코 “접수된 피해 없어…앱 무효화 방안 강구”
보안업계선 문자·메일 통한 앱 설치 자제해야

▲NHN 페이코 CI. (사진제공=NHN)

NHN의 간편결제 서비스 ‘페이코’에서 서명키 일부가 유출됐다. 이에 대해 페이코 측은 접수된 피해사례는 아직 없어 문제가 없는 것으로 파악하면서도, 악성앱의 작동을 무효화 할 수 있는 방안을 강구하고 있다고 설명했다. 보안업계에서는 정상적인 방법으로 앱을 다운받아 설치할 것을 당부했다.

5일 IT업계에 따르면 최근 보안솔루션 기업 에버스핀이 주요 고객사에 페이코 서명키 유출로 인한 악성앱 제작·유포 주의를 당부했다.

서명키란 앱 개발사들이 구글 플레이스토어를 통해 앱을 등록·배포할 때 특정 개발사 앱이라는 점을 증명하는 역할을 하는 장치다. 에버스핀은 지난 8월부터 현재까지 서명키 유출을 통해 제작된 악성코드가 5144건 탐지됐다고 설명했다.

서명키 유출을 통해 만들어진 악성 앱은 구글플레이스토어나 애플 앱스토어에 등록할 수는 없다. 다만 문자메시지나 이메일 등을 통해 링크를 전송하고 이용자가 이를 클릭하면 스마트폰에 새로운 앱이 설치되는 방식으로 악성코드를 심을 수 있다. 이용자들은 문자 메시지를 통해 전송된 파일이 NHN에서 만든 앱이라고 착각해 무심코 설치할 수 있어 주의가 요구된다.

이에 대해 NHN 측은 8월 서명키 유출 인지 후 서명키 변경작업을 진행해오고 있다고 설명했다. 특히 금주 중 신규 서명키를 활용한 앱 업데이트를 진행할 방침이라고 강조했다.

NHN 관계자는 “현재 문자 내 다운로드 링크 등 비정상적 경로를 통한 강제 설치 외에 스토어를 통해 정상적으로 페이코 앱을 다운받은 경우는 문제가 없는 것으로 확인됐으며, 페이코쪽으로 접수된 피해 사례가 확인된 바 없다”며 “제작된 악성앱의 작동을 무효화할 수 있는 방안을 현재 강구 중”이라고 말했다.

보안업계에서는 서명키 유출만으로는 개인정보를 특정할 수 없다고 설명한다. 다만 서명키를 악용해 스미싱 앱을 정상적인 앱으로 위장하고, 이를 통해 개인정보를 빼낼 수 있다는 것은 가능하다는 설명이다. 이로 인한 피해를 막기 위해선 출처를 알 수 없는 메일이나 문자메시지 등은 즉시 삭제하고, 첨부파일의 exe·scr 등 수상한 압축파일이면 열람을 금지해야 한다고 강조한다.

보안업계 한 관계자는 “서명키를 악용하면 악성 앱을 제작해 정상적인 앱처럼 속여 고객들의 피해가 커질 수 있다”며 “서명키 자체만으로는 개인정보를 열람할 수 없지만 앱을 통한 스미싱 피해가 발생할 수 있다”고 경고했다. 그러면서 “페이코와 같은 금융정보를 다루는 곳에서 유출 피해가 발생했다는 점은 큰 문제”라며 “페이코 측은 앱 업데이트를 통해 추가 피해를 막고, 이용자들은 앱스토어 외의 경로로 앱 설치를 자제해야 한다”고 당부했다.