몇일 전 간편결제 앱인 페이코에 사용되는 서명키가 유출되었다는 내용을 전해드린적이 있었죠. 서명키는 저희가 물건을 사고 내가 이 물건을 결제했다라고 싸인을 하는 것과 마찬가지로, 앱을 만든 개발사가 내가 이 앱을 만들었다라고 증명하는 인감도장과 같다고 설명드렸습니다. 그런데 이 서명키가 유출되어 해커의 손에 들어가면 악성코드를 만들고, 해당 서명을 이용함으로써 정상적인 앱처럼 위장하는 것이 가능하겠죠. 그래서 페이코는 새로운 서명키를 이용하여 앱을 업데이트 했다고 밝혔는데 오늘은 이 부분에 대해 설명드리겠습니다.
페이코 간편결제 앱 서명키 유출 사례
언젠가부터 삼성페이와 네이버페이 같은 간편결제가 활성화되면서 지갑을 굳이 들고 다니지 않아도 되는 시대가 왔는데요. 저는 아직까진 지갑을 들고 다니면서 실물 카드를 쓰고 있지만, 이미
jaysecurity.tistory.com
이전 글에서 페이코의 서명키가 유출되었음에도 회사에서는 개인정보와 같은 침해사고가 아니라고 판단하여 KISA나 개인정보보호위원회에 별도의 신고를 하지 않았다고 말씀드렸는데요. 하지만 한 보안 업체에서 기본적으로 페이코 앱의 서명키를 이용한 악성코드가 5천 건 이상이 탐지되었다는 것을 생각하면, 다른 사용자들이 충분히 해당 악성코드를 다운로드 받아서 개인정보 유출과 같은 피해를 입었을 가능성이 있을거라 판단합니다. 그럼 이것으로 인한 피해가 페이코와 전혀 무관하다고 단정지을 수 없다고 보이죠.
이번 서명키 유출에 따른 악성앱 관련 피해는 문자나 메신저 등으로 앱 설치를 유도하는 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제이며, 구글 플레이스토어 등 애플리케이션 마켓을 통해 정상적인 경로로 페이코 앱을 다운받는 경우에는 문제가 없다는 게 NHN페이코 측의 설명이다.
보안뉴스(boannews.co.kr), 2022-12-07
해당 기사의 원문을 인용하면, 페이코 측에서 해당 서명키 유출로 인해 발생한 부분은 정상적인 경로로 페이코 앱을 다운로드 받는 경우 전혀 문제될 것이 없다고 설명하고 있는데요. 직접적인 개인정보 유출도 아니고 스미싱이나 외부 링크를 통해 비정상적인 경로로 악성코드를 설치할 때만 문제가 된다고 언급하고 있죠. 하지만 해당 서명키를 적용하는 경우 악성코드를 앱 스토어에 등록할 때 정상적인 앱으로 간주될 수 있기 때문에, 앱 스토어에서 다운로드 받아 발생하는 피해가 생기면 페이코도 이 책임에서 자유로울 수는 없으리라 생각됩니다.
NHN페이코, “6일자로 신규 서명키 적용 페이코 앱 업데이트 완료”
간편결제 서비스를 제공하고 있는 NHN페이코는 7일 신규 서명키가 적용된 페이코 애플리케이션의 업데이트가 완료됐다고 밝혔다. 앞서 지난 5일부터 페이코 앱의 구글 서명키가 유출돼 이를 활
www.boannews.com
페이코가 계속 자신들은 해당 서명키를 이용한 악성코드로 발생한 피해와 관련이 없다라고 주장하는 이유 자체가 추후 금융당국에 감사를 받을 때 과태료를 피하기 위한 것이 아닐까라고 생각되는데요. 기사에서는 보안 업체와 협력하여 기존에 유출된 서명키로 제작된 모든 앱을 악성코드로 간주하여 차단하는 방안까지 검토하고 있다고 하니, 회사에서도 이에 대한 심각성을 인지한 것으로 보입니다. 아무쪼록 이것으로 인해 발생하는 피해가 없길 바라며, 이번 글은 여기서 줄이도록 하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 경북대 개인정보 유출 사건 (0) | 2022.12.25 |
|---|---|
| 카카오 계정 병합을 사칭한 피싱 메일 (0) | 2022.12.20 |
| 로우코드/노코드 플랫폼의 현실과 가치 (0) | 2022.12.12 |
| 악성 메일 모의훈련 보안 교육 서비스 사례 (0) | 2022.12.10 |
| 코인 채굴 악성코드에 감염된 정부 시스템 (1) | 2022.12.08 |
댓글