언젠가부터 삼성페이와 네이버페이 같은 간편결제가 활성화되면서 지갑을 굳이 들고 다니지 않아도 되는 시대가 왔는데요. 저는 아직까진 지갑을 들고 다니면서 실물 카드를 쓰고 있지만, 이미 많은 분들이 스마트폰으로 모든 것을 해결하는 것 같습니다. 특히 여러 간편결제 중 NHN에서 만든 페이코는 앱 스토어에서 다운로드 수가 천만을 넘은 만큼 해당 앱으로 위장한 악성코드도 굉장히 많죠. 그런데 최근 페이코에서 서명키가 유출되어 문제가 되고 있다고 하는데, 오늘은 이 부분에 대해 말씀드려보도록 하겠습니다.
보통 안드로이드 앱을 개발하고 나서 앱 스토어에 등록하기 전에, 내가 이 앱을 만들었다라고 증명하는 서명을 하게 됩니다. 마치 물건을 사고 카드 결제 후에 싸인을 하는 것과 비슷하다고 보시면 되는데요. 해당 서명을 통해서 누가 해당 앱을 만들었는지 알 수 있고, 이후 앱을 업데이트할 때도 이 서명키가 동일한지 확인 후 진행하게 됩니다. 일종의 인감 도장 역할을 하는 것이 앱의 서명키라고 생각하시면 되는데, 페이코에서 이 서명키가 유출되었다는 거죠. 해킹으로 인한 유출인지는 명확하게 나오진 않았지만 관리 소홀이라는 것 만큼은 부정할 수 없을 것 같습니다.
문제는 해커가 악성코드를 만들고 이 서명키를 이용해서 앱 스토어에 올리면, 실제 페이코를 개발한 NHN에서 만든 앱처럼 동일하게 인식된다는 점입니다. 즉, 보이스피싱 앱이나 정보 유출 악성 앱이 정상적인 앱으로 앱 스토어에 등록되어 사용자들이 다운로드 받을 수 있다는 점이죠. 이 서명키를 이용해 만들어진 악성코드는 5천 건 이상이 된다고 하는데, 이미 많은 사람들이 다운로드 받은 만큼 피해가 클 것으로 보이는데요. 그런데 페이코 측에서는 페이코 앱 자체를 다운로드 받아서 생긴 개인정보 유출 사고가 없기 때문에 문제가 없다는 입장을 보이고 있습니다.
NHN 간편결제 앱 페이코 서명키 유출... “개인정보 유출은 없어”
NHN에서 결제수단을 사전에 등록해두고 온라인 쇼핑 때마다 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스인 페이코(PAYCO)에서 서명키가 유출됐다.
www.boannews.com
여기서 괘씸한 것은 페이코가 이미 지난 8월에 서명키가 유출된 사실을 인지했으나, 개인정보 유출 사건이 아니라는 이유만으로 KISA와 같은 침해사고 대응기관에 신고조차 하지 않았다는 점인데요. 해당 앱의 서명키 유출로 인해 엄청난 악성코드가 생성됨에도 불구하고, 이후 생길 개인정보 유출과 무관하다는 식으로 대응하고 있으니 개인적으로 참 답답한 마음입니다. 당분간은 앱 스토어에서 앱을 다운 받으실 때 조심하시기 바라며, 이로 인해 발생한 사고가 있으면 말씀드리도록 하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 악성 메일 모의훈련 보안 교육 서비스 사례 (0) | 2022.12.10 |
|---|---|
| 코인 채굴 악성코드에 감염된 정부 시스템 (1) | 2022.12.08 |
| 안전조치 의무사항 위반 개인정보 유출 사례 (0) | 2022.12.05 |
| 보호구역, 제한구역, 통제구역 정의 (0) | 2022.12.03 |
| SSH 로그인 무작위 대입 공격 사례 (0) | 2022.11.25 |
댓글