페이코 서명키 유출로 인한 해킹 우려

기사에 따르면 페이코가 서명 키를 이용한 악성 앱을 4개월 동안 전혀 감지하지 못한 것으로 드러났다고 합니다.

 

현재 피해 규모도 정확히 파악하기 힘든 것으로 알려졌습니다.

보안솔루션 기업 에버스핀에 따르면 페이코의 악성 앱이 8월 1일에 처음 발견됐고,

 

지난달 30일까지 해당 사례로 탐지된 건수만 5144건에 달한다고 밝혔습니다.

 

게다가 해당 보안 앱이 발견 못한 케이스까지 있어서 더 많은 피해가 우려가 되는 상황입니다.

에버스핀은 KB국민은행·NH농협은행·핀다·삼성카드·KB국민카드·현대카드·롯데카드·우리카드·NH농협카드·

 

삼성생명·한화생명 등 국내 수십 개 금융사 앱 사용자를 대상으로 악성 앱 탐지 서비스를 제공하고 있는 기업입니다.

 

악성앱이란?

악성 앱은 기본적으로 사용자의 정보를 모르게 빼내가는 앱인데요.

 

일반적으로 보이스피싱 앱으로 고객 정보를 가로채 악용하기도 하고, 전화 송수신 내역, 문자 수신·발신 내용,

 

전화번호부 등을 가로채 지인에게 피싱 문자를 보내는 식으로 활용되기도 합니다.

 

게다가 악성앱은 휴대전화 내 파일에도 접근이 가능하기 때문에 사진첩이나 메모장에 기록해놓은 주민등록증,

 

통장 사진, 비밀번호를 가져갈 수도 있을 우려가 있습니다.

 

일부 앱의 경우에는 해커 맘대로 휴대전화를 원격조종하는 것도 가능하다고 알려져 있습니다.

 

페이코 서명키 노출

현재 페이코 서명 키로 서명해두면 다른 보안 앱으로는 악성 앱이 잘 탐지되지 않는다는 점이 문제로 뽑힙니다.

 

통상 보안 앱은 서명 키가 같으면 추가 검사를 하지 않는 사례가 많기 때문인데요.

 

서명 키는 대부분 회사에서 철저하게 간수해 통상 유출되지 않기 때문에 악성 앱을 이른 시간 내에

 

탐지하고자 서명 키가 같으면 악성 앱이 아니라고 간주하고 바로 체크하지 않고 넘어갑니다.

 

현재 페이코는 삼성페이·네이버페이·카카오페이·토스페이 등과 함께 많이 쓰이는 간편결제 앱이어서

 

그 피해가 더 커질 것으로 우려되는데요. 페이코는 구글 플레이 스토어에서 다운로드만 1000만회가 넘으며,

 

월 활성 사용자 수(MAU)는 290만명이 넘는 앱입니다.

 

또한 최근 고객 데이터 플랫폼 다이티에 따르면 2022년 상반기 기준 20대 이하 사용자 비율이 높은 앱

 

1위를 차지한 앱이기도 합니다.

 

하지만 이번 서명키 유출 사태로 인해 많은 사용자가 빠져나갈 우려가 있습니다.

 

다만 페이코는 현재 비정상적 경로를 통한 강제 설치 외에 앱스토어 등을 통한 정상적인 페이코앱 

 

다운로드에는 문제가 없다는 입장이다. 또한 페이코로 접수된 피해 사례도 없다고 덧붙였다.