카카오페이, 토스페이 등과 함께 국내 주요 간편결제 애플리케이션(앱)으로 꼽히는 ‘페이코’의 서명키가 외부로 유출된 것으로 확인됐다. 페이코 서명키로 인증한 앱은 페이코가 만든 앱으로 인식돼 별도의 보안검사를 피할 수 있다. 해커가 만든 악성 앱이 자칫 정상 앱으로 위장해 이용자 정보를 가로챌 수 있어 주의가 요망된다.
5일 보안솔루션 기업 에버스핀은 “고객사에 페이코 서명키가 유출됐으니 서명키 관리, 보이스피싱 등 각종 금융사고 대응에 유념하라는 내용의 긴급 공문을 보냈다”고 밝혔다. 공문에 따르면 지난 8월 1일부터 11월 30일까지 유출된 서명키를 통해 앱 5144건이 제작됐다. 한 고객이 여러 악성 앱을 설치한 경우도 있어 피해 규모가 더 커질 수도 있다는 분석이다.
아직까지 유출 경로는 확인되지 않았다. 만약 구글 플레이스토어 계정이 유출됐거나, 관리자 컴퓨터가 해킹됐을 경우 해커가 앱마켓에 등록된 페이코 앱을 악성 앱으로 바꿔치기 해 금융 정보를 가로챌 수 있어 문제가 더욱 심각해질 것으로 보인다.
NHN페이코 측은 “8월에 유출 사실을 인지하고 장애요인·서비스 영향 등을 파악해 서명키 변경 작업을 진행했다”며 “현재까지 페이코 측에 접수된 피해 사례는 없는 상황”이라고 밝혔다. 이어 “유출 경로는 현재 확인 중”이라며 “악성 앱 작동을 무효화할 수 있는 방안을 빠르게 강구중”이라고 덧붙였다.
