이번 포스팅은 간편결제 앱으로 유명한 페이코(PAYCO)에서 사용자들의 서명키가 유출되었다는 소식에 대한 것인데요. 이 서명키로 인해 이미 실제 보이스피싱으로 보이는 악성앱으로 악용되고 있다고 합니다. 자세한 내용을 알아보도록 하겠습니다.
간편결재 앱 페이코(PAYCO)는?
페이코는 삼성페이·네이버페이·카카오페이 등과 함께 많이 쓰이는 간편결제 앱입니다. 구글 플레이스토어 기준 누적 내려받기 건수는 1000만회가 넘으며, 월 활성 사용자 수(MAU)는 290만명가량으로써, 고객 데이터 플랫폼 다이티에 따르면 2022년 상반기 20대 이하 사용자 비율이 높은 앱 1위를 차지한 바 있을 정도로 간편결제 앱으로 인지도가 높은 서비스입니다.
페이코의 서명키는?
일반적으로 보안 앱은 서명 키가 같으면 추가 검사를 하지 않는데요. 전자인감 역할을 하는 서명키는 대부분 회사에서 안전하게 보관하기 때문에 악성 앱을 이른 시간 내에 탐지하고자 서명 키가 같으면 악성 앱이 아니라고 간주하고 넘어가게 됩니다.
페이코 서명키 유출이 문제가 되는 점은 만약 페이코 서명 키로 서명해두면 페이코가 만든 앱으로 인식돼 보안검사를 피할 수 있게 되어 악성 앱으로써 탐지가 되지 않게 됩니다. 즉, 임의로 이 서명키를 이용해서 어떤 악성앱이라도 만들어서 페이코를 위장해서 배포할 수 있게 되는 셈이죠.
페이코의 서명키 유출 경위
금융권에 따르면 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여 곳에 '페이코 서명키가 유출됐고, 이를 악용해 악성 앱이 제작, 유포됐다'며 주의하라는 긴급 공문을 보냈는데요. 공문은 이미 지난 8월 1일부터 11월 30일까지 유출된 서명키를 통해 제작된 악성 앱 5144건이 탐지됐다며 고객사들에 "서명키 관리와 보이스피싱 등 각종 금융사고 대응에 유념하라"고 경고하는 내용이 포함되어 있습니다.
실제로 페이코 서명키는 다른 앱 서명에도 사용되는 보안 취약점이 발견됐습니다. 법인 인감도장을 다른 계열사 문서에도 쓰는 것과 비슷한 격으로 볼 수 있는데요. 공문은 '한게임 OTP' '운수도원 투데이' '티켓링크'를 비롯한 18개 앱이 같은 서명키를 쓰고 있다고 지적하고 있습니다.
보고된 악성 앱의 건수는 보안솔루션이 설치되었을 경우만 탐지된 것이기 때문에 탐지되지 않은 것까지 감안하면 피해 건수는 더 커질 것으로 예상됩니다.
에버스핀은 KB국민은행·NH농협은행·핀다·삼성카드·KB국민카드·현대카드·롯데카드·우리카드·NH농협카드·삼성생명·한화생명 등 국내 수십 개 금융사 앱 사용자를 대상으로 악성 앱 탐지 서비스를 제공하고 있습니다. 금융 앱에 내장된 보안솔루션을 통해 악성 앱을 삭제할 수 있다고 합니다.
페이코 서명키가 유출된 사건이 최근이 아니라는게 더 문제인 것으로 보이는데요. 페이코가 서명키를 이용한 악성 앱이 유포되고 있다는 걸 인지한 건 8월초로 추정되고 있습니다. 이처럼 페이코는 유출 사실을 8월 10일쯤에 인지했음에도 불구하고 외부에 알리지 않았다고 합니다. 여기에 대해 페이코는 "페이코 앱 자체에 대한 공격은 없어 외부에 신고할 사항이 아니라고 판단했다"고 합니다. 또한, 이 사안에 대해 페이코는 "인지 후 악성 앱과 유출된 서명키가 페이코 서비스에 미치는 영향 등을 파악하는 과정에 시간이 걸렸다"며 "금주 중 신규 서명키를 활용한 앱 업데이트를 진행할 계획이었다"라고 해명했는데요. 결과적으로 좋지 않은 판단으로 보입니다.
페이코의 서명키 유출 경로?
현재로써는 페이코(PAYCO)의 서명키가 유출된 경로는 밝혀지지 않았는데요. 다만, 보안솔루션 업체인 에버스핀은 유출 경로를 구글 플레이스토어 계정, 관리자 컴퓨터 해킹, 기타 관리자 부주의 등으로 추정하고 있습니다. 만약, 구글 플레이스토어 계정이 유출됐거나 관리자 컴퓨터가 해킹되는 등의 경로라면 사태는 심각하게 봐야 하는데요. 구글 플레이스토어에 등록된 페이코 앱이 해커가 만든 앱으로 바뀌어 배포돼 금융 정보를 가로챌 수 있기 때문입니다.
서명키 유출로 인한 피해
페이코 서명키 유출이 문제가 되는 점은 만약 페이코 서명 키로 서명해두면 다른 보안 앱으로는 악성 앱이 잘 탐지되지 않는다는 것입니다. 일반적으로 보안 앱은 서명 키가 같으면 추가 검사를 하지 않는데요. 전자인감 역할을 하는 서명키는 대부분 회사에서 안전하게 보관하기 때문에 악성 앱을 이른 시간 내에 탐지하고자 서명 키가 같으면 악성 앱이 아니라고 간주하고 넘어가게 됩니다. 그런데, 이같은 페이코 서명키로 인증한 앱은 페이코가 만든 앱으로 인식돼 보안검사를 피할 수 있게 되어 악성 앱으로써 탐지가 되지 않게 됩니다. 즉, 임의로 이 서명키를 이용해서 어떤 악성앱이라도 만들어서 페이코를 위장해서 배포할 수 있게 되는 셈이죠.
이렇게 만들어진 악성 앱은 보이스피싱 앱으로써 고객 정보를 가로채 악용될 수 있습니다. 고객정보인 전화 송수신 내역, 문자 수신·발신 내용, 전화번호부 등을 가로채서 지인에게 피싱 문자를 보낼 수 있게 되는데요. 이뿐만 아니라 휴대전화 내 파일에도 접근이 가능하기 때문에 사진첩이나 메모장에 기록해놓은 주민등록증, 통장 사진, 비밀번호까지도 유출될 수 있으며, 악성 앱에 따라서는 맘대로 휴대전화를 원격조종하는 것도 가능해지게 됩니다.
대책은?
사실 페이코의 서명키만으로는 아무런 위협도 되지 않습니다. 하지만, 위에서 설명한대로 악성 앱을 만들어서 악용할 경우가 문제인건데요. 그렇기 위해서는 특정 앱을 깔아야 한다는 전제 조건이 있습니다. 따라서, 우선적으로는 페이코 앱에 대한 조치가 이루어질때까지 보안솔루션을 통한 악성 앱 삭제하고, 모르는 문자나 카톡 등에 있는 링크를 누르지 말고, 확인되지 않은 앱 설치를 자제하는 것이 좋습니다.
이상으로 간편결제 앱 페이코의 서명키 유출에 관해 살펴봤는데요. 저도 가끔 사용하던 간편결제 앱이라서 제 정보가 유출되어 악용될수 있다는 생각을 하면, 조금 섬뜩한 느낌마저 듭니다.
지금까지 페이코에서는 외부로부터의 해킹과 같은 공격을 받은 흔적이 없다고 합니다. 이는 내부의 관리 소홀 문제인지, 공격을 받고도 발견못한 것인지 모르겠지만, 어찌됐건 피해는 고스란히 저를 포함한 페이코의 사용자들이 받게 되었습니다. 누구의 잘못을 따지기보다는 어떤 식으로든 잘 해결되었으면 좋겠습니다.
같이 보면 좋은 포스팅 ↓↓↓
달걀 난각번호 읽는 법과 신선도 알아보기 (달걀의 성분, 보관방법)
우리가 자주 먹는 달걀 표면에 번호가 찍혀 있는 것을 본적이 있으실텐데요. 이 번호를 난각번호라고 하는데요. 이번 포스팅에서는 달걀의 성분과 보관방법 그리고 달걀 난각번호에 대해서 알
moneyblue.tistory.com
2022.10.07 - [유용한 일상생활정보] - 궁금하셨죠? 청년월세 특별지원 궁금증을 풀어드립니다!!
궁금하셨죠? 청년월세 특별지원 궁금증을 풀어드립니다!!
사회초년생들에게 버거운 주거비용을 위해서 정부에서는 청년월세 지원사업을 운영하고 있습니다. 이번 포스팅에서는 청년 월세 지원 사업에 대해 궁금해 하는 부분을 질문·답변을 통해서 알
moneyblue.tistory.com
2022.09.27 - [유용한 일상생활정보] - 기억력과 계산 능력이 떨어지는 '디지털 치매', 증상과 예방 생활습관
기억력과 계산 능력이 떨어지는 '디지털 치매', 증상과 예방 생활습관
현대를 살아가는 사람치고 휴대폰을 손에 놓지 않는 사람은 없습니다. 폰 하나로 모든 것을 해결할 수 있을 정도로 생활이 편리해진만큼 스마트폰에 대한 의존도도 높아졌는데요. 이번 포스팅
moneyblue.tistory.com
'뉴스 스크랩' 카테고리의 다른 글
| 유류세 인하폭 축소, 내년 휘발유값 인상!! (10) | 2022.12.20 |
|---|---|
| 유명 랩퍼 도끼 세금 3억원 체납? (4) | 2022.12.16 |
| 통신사 5G 주파수 할당 취소?? 사용자 피해는? (1) | 2022.11.19 |
| 가맹점 공급 기름값 2배 인상? bhc 치킨 갑질 너무하네!! (22) | 2022.07.05 |
| 갭투자로 빌라가 500채?? 세 모녀 투기단 사건 (22) | 2022.06.27 |
댓글