NHN페이코 “신규 서명키 적용 앱 업데이트 완료…개인정보 피해사례 없어”

[한국금융신문 김경찬 기자] 간편결제 서비스 NHN페이코가 구글 서명키가 외부로 유출된 이후 서명키 변경 작업을 진행했으며 신규 서명키가 적용된 페이코 앱 업데이트를 완료했다. NHN페이코는 구글스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성앱으로 탐지하고 차단하는 방안까지 추가적으로 검토할 방침이다.

NHN페이코는 7일 서명키 외부 유출 논란과 관련해 “많은 페이코 이용자분들께 심려를 끼쳐 드린 점 진심으로 죄송하다”며 “페이코는 사안의 심각성을 깊이 인식하고 있고 신속하게 대응해 고객 여러분의 신뢰에 보답하고자 노력 중에 있다”라고 밝혔다.

최근 보안솔루션 기업 에버스핀이 주요 고객사 30여 곳에 페이코 서명키 유출로 악성 앱이 유통됐다는 공문을 발송하면서 페이코 앱의 구글 서명키가 유출돼 이를 활용한 악성앱이 제작 및 유포됐다는 사실이 밝혀졌다. 에버스핀에 따르면 유출된 서명키를 통해 제작된 악성 앱은 현재 5144건으로 알려졌다.
페이코의 서명키 외부 유출은 지난 8월 발생한 것으로 파악됐다. 서명키는 특정 개발사의 앱이라는 사실을 증명하는 장치로 페이코 서명키로 인증한 앱의 경우 서명키가 같아 보안앱이 별도 검사를 하지 않는다. 서명키를 악용한 악성앱의 경우 보안 검사를 통과할 수가 있어 스마트폰에 내장된 고객정보를 유출하는 방식 등으로 보이스피싱 피해로 확산될 수 있다는 우려가 제기된다.

이에 대해 NHN페이코는 “지난 8월 구글 서명키 유출을 인지한 직후부터 협력 보안업체는 유출된 서명키로 생성되는 앱의 악성 행위 여부를 탐지할 수 있게 조치하고 있었다”며 “서비스 장애요인 및 영향도를 파악하는 과정을 거치며 서명키 변경 작업을 진행했고 지난 6일 저녁 신규 서명키가 적용된 페이코 앱의 업데이트가 완료됐다”라고 밝혔다.

또한 NHN페이코는 논란이 되고 있는 구글 서명키 유출과 관련해 “앱 개발사들이 플레이스토어에 앱을 등록·배포할 때 특정 개발사 앱임을 증명하는 도구로 앱 이용자의 개인정보와는 관련이 없다”며 “현재 해당 건과 관련한 직접적인 피해사례는 없는 것으로 확인되고 있다”라고 설명했다.

악성앱 관련 피해에 대해서는 “문자나 메신저 등으로 앱 설치를 유도하는 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제로 구글 플레이스토어 등 앱 마켓을 통해 정상적인 경로로 페이코 앱을 다운받는 경우에는 문제가 없다”라고 설명했다.

NHN페이코는 앱 업데이트와 함께 악성앱에 대한 불안감을 해소하기 위해 재설치를 권장했다. NHN페이코는 “기존에 스토어를 통해 정상적인 경로로 다운받아 설치한 앱은 이번 서명키 유출과 관계없이 안전하다”며 “다만 악성앱의 보안위협에 대한 고객 여러분들의 불안감을 해소하고자 기존 앱 삭제 및 재설치를 적극 권장하고 있다”라고 밝혔다.
또한 NHN페이코는 보안 전문업체와 협력해 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성앱으로 탐지하고 차단하는 방안까지 추가적으로 검토할 방침이다.

금융당국은 지난 6일 서명키 외부 유출과 관련해 정상적이지 않은 경로를 통한 스마트폰 앱 설치시 주의할 것을 당부하며 소비자경보 ‘주의’를 발령했다. 또한 NHN페이코에 대한 현장점검에 착수했으며 서명키 유출 경로와 관리 실태 등을 파악해 NHN페이코의 과실이 확인될 경우 검사로 이어질 것으로 보인다.

김경찬 기자 kkch@fntimes.com