• 페이스북
  • 트위터
  • 유튜브

금감원, '서명키 유출' 페이코에 소비자 주의보…현장점검도 착수

등록 2022.12.06 17:44:32수정 2022.12.06 17:49:42

  • 이메일 보내기
  • 프린터
  • PDF

"페이코로 가장한 악성앱 유포 위험 있어 주의 요망"

"수상한 URL 클릭 금지"…피해 사례 아직 없는 것으로 파악

금감원, 페이코의 서명키 관리 부실 여부 등 현장점검

[서울=뉴시스]NHN페이코 로고. *재판매 및 DB 금지

[서울=뉴시스]NHN페이코 로고. *재판매 및 DB 금지

[서울=뉴시스] 김형섭 기자 = 금융감독원이 대표적인 공공기관 인증 앱인 NHN페이코의 '서명키' 유출 사고와 관련해 소비자 주의보를 발령하고 현장점검에도 착수했다.

금감원은 6일 "페이코의 앱 서명키가 외부에 유출됨에 따라 페이코 앱으로 가장한 악성앱이 유포될 위험이 있어 주의가 요망된다"며 소비자경보 '주의'를 발령했다.

금감원에 따르면 페이코에서는 유출된 서명키를 즉각 폐기하고 새로운 서명키를 이용한 앱을 이날 중 구글플레이 등의 앱마켓에 재배포할 예정이다.

구글 '서명키'는 앱 개발사들이 플레이스토어를 통해 앱을 등록·배포할 때 특정 개발사 앱이라는 점을 증명하는 역할을 하는 도구다. 이에 따라 유출된 서명키를 통해 고객 휴대폰에 피싱앱 등이 설치됐을 가능성이 제기된다

페이코는 지난 8월 서명키 유출을 인지했지만 외부로 알리지 않았다가 최근 보안솔루션 기업 에버스핀이 KB국민은행, NH농협은행 등 주요 고객사 30여곳에 '페이코 서명키 유출에 의한 악성앱 제작·유포 주의'라는 공문을 발송함으로써 유출 사고가 드러났다.

에버스핀은 지난 8월1일부터 11월30일까지 유출된 페이코 서명키를 통해 제작된 악성 앱이 5144건 탐지됐다고 경고했다.

금감원은 페이코의 서명키 유출과 관련해 "앱마켓과 같이 정상적인 경로를 통해 다운받아 설치한 앱은 서명키 유출과 관련 없이 안전하다"며 "반드시 정식 앱마켓을 통해서만 앱을 다운로드하고 SNS 등을 통해 전달되는 확인되지 않은 앱 설치 요구에 응하거나 출처가 불분명한 URL 주소는 클릭해서는 안 된다"고 당부했다.

또 "앱마켓이 아닌 비공식 경로를 통해 설치한 앱이라 판단되는 경우 즉시 삭제해야 한다"며 "설치된 앱이 의심되는 경우 백신앱을 통한 검사를 실시하거나 악성코드 유·무 점검을 권고한다"고 전했다.

[서울=뉴시스] 서울 여의도 금융감독원 전경. (사진=뉴시스 DB) 2021.02.05. photo@newsis.com

[서울=뉴시스] 서울 여의도 금융감독원 전경. (사진=뉴시스 DB) 2021.02.05. [email protected]

금감원은 일단 현재까지 서명키 유출로 인한 직접적인 피해 사례는 없는 것으로 파악했다.

금감원은 "SMS나 카카오톡 등을 통해 앱 설치를 유도하는 링크 등 비정상적인 경로를 통해 악성앱을 다운로드 받지 않았거나 악성앱에 개인정보를 입력한 적이 없다면 소비자 피해는 발생하지 않는다"고 설명했다.

금감원은 페이코에 대한 현장점검에도 착수했다. 페이코의 서명키 관리에 부실한 점은 없었는지가 쟁점이다. 만일 페이코 측에 과실이 있는 것으로 판단된다면 검사로 이어질 가능성도 있다.

앞서 금감원은 지난 3월 페이코에 대해 망분리 이행 위반으로 과태료 2270만원과 임직원 2명 주의 등의 제재 조치를 내린 바 있다.

당시 페이코는 내부통신망에 연결된 임직원의 업무 단말기를 외부통신망과 차단하지 않고 접속한 상태로 운영했으며 개인정보 저장 서버를 외부통신망과 분리하지 않아 전자금융거래법을 위반했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사