페이코에 무슨일이?
지난 12월 5일 금융앱 페이코의 ‘서명키’가 외부로 유출되었다는 기사가 나왔습니다.
서명키란 본인 인증할 때 핵심적인 기능을 하는 데이터를 의미합니다. 일반 금융거래로 생각해보면 인감도장 또는 금고 열쇠라 볼 수 있습니다.
이와 관련하여 페이코에서는 현재까지 드러난 피해 사실이 없고 자세한 유출 경위는 조사하고 있다고 이야기를 했죠.
(사진출처: 조선경제)
보안 솔루션 기업인 에버스핀에서는 KB국민은행, 카카오뱅크, 롯데카드, 우리카드, 삼성카드, NH농협은행 등 고객사 30여곳에 페이코 서명 유출 관련된 공문을 발송했습니다.
페이코는 신규 서명키를 활용한 앱 업데이트를 진행한다고 이야기했구요.
자 그러면 어떻게 해서 서명키가 유출될 수 있었을까요?
현재 페이코와 보안업체에서는 (1)구글 플레이 스토어 계정 유출 (2)관리자 PC의 해킹 (3)기타 관리자의 부주의 등으로 추정하고 있습니다.
이 중 (1), (2)인 구글 플레이스토어 계정 유출, 관리자 PC해킹의 경우 매우 심각한 문제가 될 수 있습니다.
왜냐하면 관리자 계정으로 접속한 해커가 구글 플레이스토어 앱마켓에 등록된 페이코앱을 악성앱으로 바꿔치기할 경우 페이코앱 사용자 모두가 악성앱에 깔릴 수도 있기 때문입니다.
페이코 사용자는 1천만명이 넘습니다.
페이코의 서명키는?
이번에 유출된 서명키는 ‘코드사이닝 인증서’입니다. 서명키는 다양하게 있지만 이 서명키는 해당앱이 개발된 곳이 페이코가 맞다는 것을 인증하는 용도로 활용됩니다.
그래서 해커가 코드사이닝 인증서를 활용해 보이스피싱앱을 만들어도 백신프로그램에서 ‘악성앱’으로 분류되지 않습니다.
(출처: 페이코 홈페이지)
왜냐하면 백신 프로그램은 ‘화이트리스트기법’을 써서 악성앱을 탐지하는데 악성앱이 페이코가 만든 서명키를 사용하게 될 경우 페이코가 만든 앱이라 생각해 필터링이 되는 겁니다.
그 결과 악성앱이 개인 혹은 기업 해킹에 사용되거나 금융정보를 탈취할 경우 금전적인 손실로 이어질 수 있습니다.
마케터의 시선
이와 관련하여 마케터의 시각에서 정리해보면 저는 크게 3가지 이야기를 할 수 있습니다.
[1] 금융에 있어 보안은 생명
금융앱에 있어서 무엇보다도 중요한 것은 신뢰입니다. 그리고 그 신뢰의 근간은 보안입니다.
우리가 금융거래를 할 때 우리의 정보가 온전히 보호받을 수 있는지, 우리의 계좌가 위험에 노출되지는 않는지에 대한 두려움을 갖는다면 해당 앱을 사용하지 않을 것입니다.
금융앱을 쓰면 기본적으로 이러한 문제 자체가 발생하지 않을 것이라는 믿음이 있기 때문에 이체를 하거나 돈을 맡기는 행위를 하는 것입니다.
그러나 서명키가 탈취되었다는 소식은 금융앱에 있어서 이러한 신뢰에 대한 의심을 품을 수 있게 되기 때문에 매우 중대한 이슈가 되는 겁니다.
사실 페이코 앱 외에도 그동안 국내외 몇몇 금융앱에서 개인정보 탈취 등의 사건이 있긴 했습니다.
(출처: 페이코 홈페이지)
그러나 서명키가 직접적으로 유출되는 경우는 거의 없었기 때문에 리스크가 더욱 커 보입니다.
또한 문제는 페이코가 이에 대해 정확한 피해규모, 유출 경로를 파악하지 못하고 있다는 사실입니다. 원인과 결과에 대해 명확한 정보가 없으면 이후에도 언제든 사고가 재발할 수 있습니다.
보안 솔루션 업체 에버스핀은 유출된 서명키를 통해 제작된 악성앱이 5,144건에 이른다고 밝혔습니다.
사실 페이코의 서명키가 유출된건 지난 8월이었고, 당시 악성앱수가 적었지만 4개월동안 무려 5천개 이상으로 급증한 겁니다.
페이코 역시 이 사실을 알고 대응을 해왔습니다. 서명키가 유출되어서 빠르게 인지하고 새로운 서명키를 개발해 왔습니다. 그래서 금융당국은 이번 서명키 유출에 대해 처벌대상이 되지 않는다고 밝혔구요.
[2] 악성앱과 그 피해
페이코의 서명키로 제작된 악성앱수의 증가에 따른 문제는 앞서 언급을 했지만 페이코로 만든 앱이라는 인식을 하기 때문에 별도 보안 검사를 피해 깔린다는 점입니다.
그로 인해 해커가 만든 앱이 위장해 깔려 개인정보 유출, 보이스피싱앱으로 악용되는 겁니다.
문제는 서명키가 유출된지 상당히 오랜시간이 지났고, 언론에 나온게 12월이라는 겁니다.
만약 8월에 진작 해당 소식을 접했으면 관련 앱의 위험성을 알고 빠르게 대처를 할 수있지는 않았을까 하는 생각도 듭니다.
그 이유는 4개월 동안 5천개 넘는 악성앱이 생겨났고, 피해범위가 어느정도인지 추산을 할 수 없기 때문입니다.
그리고 그 사이 실제 피해를 입은 사람들은 이유도 모른채 내가 하지 않는 게임의 아이템 구매에 카드가 사용되었을텐데 만약 사전에 경고 조치와 앱마켓이 아닌 곳에서는 절대 다운로드를 하지 말라는 지침이 나왔으면 훨씬 예방을 할 수 있지 않을까 하는 아쉬움이 있습니다.
(출처: 조선경제 기사 댓글)
다행히도 페이코는 새로운 서명키를 배포한다고 했고, 신규 업데이트 이후 과정부터는 안정을 되찾을 겁니다.
그러나 기존에 이미 깔린 악성앱들의 경우에는 여전히 기승을 부리겠죠. 이에 대한 대응마련도 절실한 상황입니다.
[3] 디지털화와 보안의 중요성
마지막으로 강조하고 싶은 것은 금융앱 뿐만 아니라 다양한 산업 분야가 디지털 전환이 이루어지면서 보안에 취약한 앱들도 생겨나고 있다는 겁니다.
그리고 보안이 약한 정보앱들을 해킹해 정보를 탈취할 경우, 그러나 그 정보가 개인에 민감한 내용을 포함할 경우 피해는 더욱 커질 겁니다.
지난 2013년 해커가 국내 버스앱의 서명키를 탈취했던 사건이 있었습니다.
해당 해커는 개발자의 구글 계정을 해킹한 후 버스앱의 서명키를 탈취한 후 앱업데이트가 될 때 악성앱을 배포했습니다.
그리고 이를 활용해 해커는 각 개인의 스마트폰에 국정원, 국방, 대북, 군사 등 안보와 관련된 개인의 기록, 스마트폰 정보, 문서 등을 탈취한 적이 있습니다.
이 정보들이 어떻게 사용될지 생각해보면 무서운 상상으로 이어질 수도 있습니다.
많은 산업 분야가 디지털 전환을 통해 4차 산업혁명으로 가고 있습니다. 분야를 막론하고 개인의 정보, 데이터가 있는 곳에는 보안도 함께 따라와야 한다는 사실을 명심하고 플랫폼 사업자들은 특히 개인의 정보 관리에 신경을 써야 할 때입니다
[4] 페이코 서명키 적용 완료
글을 쓰고 난 이후 12월 7일에 기사를 찾아봤더니 다행히 페이코가 보도자료를 통해 페이코 신규 서명키 적용을 완료했다고 했습니다.
페이코에서는 서명키로 인한 직접적인 피해 사례는 없었다고도 이야기했죠. 그러나 페이코 앱 자체의 이슈가 없었던 것이지 문자나 메신저 등으로 악성앱이 깔렸을 경우에는 피해가 발생할 수 있습니다.
페이코의 이후의 과제는 기존의 페이코 서명키를 활용해 추가 피해사례가 없는지 면밀히 체크해야 할 것입니다. ‘직접적인 피해’는 없을 수 있겠지만, 실제 서명키를 활용해 5천여개 이상의 악성앱이 만들어졌고 이로 인한 간접적인 피해가 발생했을 가능성은 배제할 수 없기 때문입니다.
더불어 이러한 간접적인 피해까지 살펴봐야 하는 것은, 페이코가 인증하는 앱으로 분류되어 사용자들은 백신프로그램에 악성앱으로 분류되지 않아 믿고 설치한데 있습니다.
또한 재발 방지를 위해 보안 전문업체와도 면밀히 살피면서 추가적인 악성앱이 없는지 탐지하고 차단하는 작업을 해 나가야 할 것입니다.
