• 페이스북
  • 트위터
  • 유튜브

'페이코' 서명키 유출…고객 폰에 피싱앱 설치 유의해야

등록 2022.12.06 15:18:26수정 2022.12.06 17:10:35

  • 이메일 보내기
  • 프린터
  • PDF

2년 연속 정부 공식 전자서명인증사업자

해당 사업자 인증서=구 공인인증서 지위

공공기관, 인증수단으로 페이코 활용 중

누적다운로드수 1000만…MAU 290만명

'페이코' 서명키 유출…고객 폰에 피싱앱 설치 유의해야

[서울=뉴시스] 남정현 기자 = 대표적인 공공기관 인증 앱인 NHN페이코의 '서명키' 일부가 유출, 고객 휴대폰에 피싱앱 등이 설치됐을 가능성이 제기된다. 페이코 측은 내용을 인지하고 유출 경위를 파악 중이며 피해 내용은 보고되지 않았다고 밝혔다.

5일 금융권 등에 따르면 최근 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행 등 주요 고객사 30여곳에 '페이코 서명키 유출에 의한 악성앱 제작·유포 주의'라는 공문을 발송했다. 에버스핀은 지난 8월1일부터 11월30일까지 유출된 페이코 서명키를 통해 제작된 악성 앱이 5144건 탐지됐다고 경고했다.

구글 '서명키'는 앱 개발사들이 플레이스토어를 통해 앱을 등록·배포할 때 특정 개발사 앱이라는 점을 증명하는 역할을 하는 도구다. 다만 페이코 관계자는 "'서명키'는 페이코 고객의 개인정보와는 관계가 없다"며 "현재 페이코쪽으로 접수된 피해 사례도 확인된 바 없다"고 강조했다.

에버스핀은 KB국민은행, NH농협은행, 핀다, 삼성카드, KB국민카드, 현대카드, 롯데카드, 우리카드, NH농협카드, 삼성생명, 한화생명 등 국내 수십 여개 금융사 앱 사용자들을 대상으로 악성 앱 탐지 서비스를 제공하고 있다.

악성 앱들은 '피싱' 앱으로 활용, 고객 정보를 가로챈다. 전화 송수신 내역이나 문자 수·발신 내역 등을 통해 지인들에게 피싱 문자를 전송하는 식이다. 휴대폰 내 메모장이나 사진첩에 저장해 둔 주민등록증, 통장 사진, 비밀번호를 가져갈 수도 있다. 심한 경우엔 해커 마음대로 휴대폰을 원격조종할 수도 있다.

페이코는 악성앱이 고객의 휴대폰에 심어졌을 가능성에 대해, 현재 비정상적 경로를 통한 강제 설치 외에 앱스토어 등을 통한 정상적인 페이코앱 다운로드를 통해선 문제가 없다는 입장이다. 페이코는 "피싱문자 내 다운로드 링크 등 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제"라며 "스토어를 통해 정상적으로 페이코 앱을 다운받는 경우에는 문제가 없는 상황"이라고 해명했다.

페이코는 지난 8월 페이코의 서명키가 유출된 것을 인지한 후 장애요인을 비롯한 서비스 영향도 등을 파악하며 서명키 변경 작업을 진행해 왔다. 페이코는 이번주 중 신규 서명키를 활용한 앱 업데이트를 실행한다는 계획이다. 페이코는 "현재 기존 서명키로 제작된 악성앱의 작동을 무효화할 수 있는 방안을 보안 협력업체와 논의 중"이라며 "이른 시일 내에 해결책을 마련해 적용할 계획"이라고 밝혔다.

앞서 페이코는 지난해 국내 민간인증서 사업자 최초로 과학기술정보통신부로부터 전자서명인증사업자로 선정, 직접 인증서를 발급할 수 있게 됐다. 전자서명인증사업자가 발급한 인증서는 공동인증서(구 공인인증서)와 동등한 법적 지위가 부여된다. 민간인증서 사업자론 이동통신 3사의 'PASS'를 비롯해 카카오, 네이버, 토스, KB국민은행 등이 있다.

이어 페이코는 올해 2년 연속 전자서명인증사업자에 선정됐는데, 당시 보도자료를 통해 "2년 연속 정부 공식 전자서명 인증사업자에 선정됨으로써 페이코 인증서의 수준 높은 보안체계와 기술력, 서비스 운영 역량을 다시 한번 입증하게 됐다"며 "앞으로도 꾸준한 서비스 개선을 통해 더욱 다양한 기관과 국민들이 선택하는 국내 대표 인증 서비스로 발전해 나갈 것"이라고 밝힌 바 있다.

페이코는 2020년 말 '공공분야 전자서명 시범사업자'로 선정됐고, 국세청 홈택스와 정부24 등을 비롯해 국민건강보험, 국민비서, 국민신문고, 개인통관고유번호, 위택스 등 주요 공공서비스엔 페이코 인증서가 적용돼 왔다. 페이코는 구글 플레이스토어 기준 누적다운로드수가 1000만이 넘고 월활성사용자수(MAU)만 290만명에 달한다.


◎공감언론 뉴시스 [email protected]

많이 본 기사