페이코가 서명키를 이용한 악성 앱이 유포되고 있다는 걸 인지한 건 8월 10일께다. 페이코는 "인지 후 악성 앱과 유출된 서명키가 페이코 서비스에 미치는 영향 등을 파악하는 과정에 시간이 걸렸다"며 "금주 중 신규 서명키를 활용한 앱 업데이트를 진행할 계획이었다"고 해명했다. 에버스핀은 8월 1일부터 지난달 30일까지 해당 사례로 탐지된 건수가 5144건이라고 했다. 보안솔루션 미설치로 탐지되지 못한 경우도 있어 피해는 커질 수 있다.

에버스핀은 KB국민은행·NH농협은행·핀다·삼성카드·KB국민카드·현대카드·롯데카드·우리카드·NH농협카드·삼성생명·한화생명 등 국내 수십 개 금융사 앱 사용자를 대상으로 악성 앱 탐지 서비스를 제공하고 있다. 금융 앱에 내장된 보안솔루션을 통해 악성 앱을 삭제할 수 있다.

악성 앱은 보이스피싱 앱으로 고객 정보를 가로채 악용하기도 한다. 전화 송수신 내역, 문자 수신·발신 내용, 전화번호부 등을 가로채 지인에게 피싱 문자를 보내는 식이다. 휴대전화 내 파일에도 접근이 가능하기 때문에 사진첩이나 메모장에 기록해놓은 주민등록증, 통장 사진, 비밀번호를 가져갈 수도 있다. 심한 경우에는 해커 맘대로 휴대전화를 원격조종하는 것도 가능하다.

페이코 서명 키로 서명해두면 다른 보안 앱으로는 악성 앱이 잘 탐지되지 않는다는 점이 문제다. 통상 보안 앱은 서명 키가 같으면 추가 검사를 하지 않는 사례가 많다. 서명 키는 대부분 회사에서 철저하게 간수해 통상 유출되지 않기 때문에 악성 앱을 이른 시간 내에 탐지하고자 서명 키가 같으면 악성 앱이 아니라고 간주하고 넘어간다. 에버스핀은 '화이트리스트' 방식을 활용해 이 악성 앱들을 탐지했다. 밝혀진 악성 앱 정보만을 모아 차단하는 '블랙리스트' 방식과 달리, 정상 앱 정보를 수집해 여기에서 벗어난 앱을 막는 방법이다. 에버스핀은 이를 위해 4년간 전 세계 앱 스토어에서 1900만개에 이르는 정상 앱 정보를 수집했다.

서명 키가 어떤 경로로 유출됐는지에 따라 문제는 더 커질 수 있다. 페이코 관계자는 "현재 자세한 유출 경로와 세부 내용을 확인 중"이라고 전했다. 에버스핀은 유출 경로를 구글 플레이스토어 계정, 관리자 컴퓨터 해킹, 기타 관리자 부주의 등으로 추정했다. 계정이 유출됐거나 관리자 컴퓨터가 해킹됐다면 사태는 심각해진다. 구글 플레이스토어에 등록된 페이코 앱이 해커가 만든 앱으로 바뀌어 배포돼 금융 정보를 가로챌 수 있기 때문이다. 페이코 관계자는 "현재까지 외부 공격을 받은 흔적은 없다"고 말했다.

페이코는 삼성페이·네이버페이·카카오페이 등과 함께 많이 쓰이는 간편결제 앱이다. 구글 플레이스토어 기준 누적 내려받기 건수는 1000만회가 넘으며, 월 활성 사용자 수(MAU)는 290만명가량이다. 고객 데이터 플랫폼 다이티에 따르면 2022년 상반기 20대 이하 사용자 비율이 높은 앱 1위를 차지했다. 감독기관도 매일경제 질의를 받고 관련 사항 조사에 착수했다. 금융보안원 관계자는 "해당 사안에 대해 파악하고 있다"고 전했다.

[서정원 기자]