'NHN페이코 앱 서명키 외부 유출'에 악성앱 유포 주의보

[한국뉴스투데이] 금융감독원이 NHN페이코(이하 페이코)의 앱 서명키가 외부에 유출됨에 따라 페이코 앱으로 가장한 악성앱이 유포될 위험이 있어 주의를 당부했다.

7일 금감원은 페이코의 앱 서명키 유출과 관련해 “구글 등 앱마켓의 정상적인 경로를 통해 다운받아 설치한 앱은 서명키 유출과 관계없이 안전하다”면서 SMS나 카톡 등을 통해 앱 설치를 유도하는 링크 등 비정상적인 경로를 통해 악성 앱을 다운로드 받지말라고 말했다.

현재까지 서명키 유출로 인한 직접적인 피해 사례는 없는 상태다. 금감원은 ▲출처가 불분명한 URL주소를 클릭하지 말고 ▲최근 문자(URL) 등을 통해 다운로드한 앱은 삭제할 것을 당부했다.

그러면서 반드시 정식 앱마켓을 통해서만 앱을 다운로드하고, 불분명한 경로로 설치한 앱은 즉시 삭제하는 동시에 백신앱으로 휴대폰을 검사할 것을 권고했다.

앞서 지난 5일 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행 등 주요 고객사 30여곳에 페이코 서명키 유출에 의한 악성앱 제작·유포 주의 공문을 발송한 바 있다. 

이날 에버스핀은 지난 8월 1일부터 11월 30일까지 유출된 서명키를 통해 제작된 악성 앱이 5144건 탐지됐다고 밝혔다. 해당 서명키는 앱 개발사들이 자사 앱의 투명성을 보장하는 수단으로 유출시 악용될 우려가 있다.

이에 페이코 입장자료를 내고 “사안의 심각성을 깊이 인식하고 있다”면서 “현재 해당 건과 관련한 직접적인 피해 사례는 없는 것으로 확인됐다”고 밝혔다. 

페이코는 “구글 플레이스토어 등 앱 마켓을 통해 정상적인 경로로 페이코 앱을 다운로드 한 경우에는 문제가 없고 문자나 메신저 등으로 앱 설치를 유도하는 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제”라고 밝혔다. 

그러면서 “악성 앱의 보안위협에 대한 불안감을 해소하고자 서비스 공지사항 및 앱 내 배너 등을 통해 기존 앱 삭제 및 재설치를 적극 권장하고 있다”면서 “보안 전문업체와 협력해 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성 앱으로 탐지하고 차단하는 방안을 추가적으로 검토하고 있다”고 덧붙였다.