간편결제 애플리케이션(앱) 페이코(PAYCO)의 서명키가 넉 달 전 유출돼 보이스피싱 앱 등 악성 앱이 유포됐지만, 운영사 측은 이와 관련한 피해 사례가 없었다는 반응이다. 금융감독원은 페이코 서명키 유출 관련 현장점검에 나섰다.

6일 보안업계에 따르면 서명키 유출 사실은 보안솔루션 기업 에버스핀이 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30곳쯤에 ‘페이코 서명키가 유출됐고, 이를 악용해 악성 앱이 제작, 유포됐다’며 주의하라는 긴급 공문을 보내면서 알려졌다.

페이코 앱은 구글플레이에서 앱 다운로드 수가 1000만 건이 넘는 인기 앱이다. 페이코 서명키가 유출되면서 이를 악용한 5144개의 악성 앱이 제작되고 유포된 것으로 드러났다. 서명키는 특정 개발사의 앱이라는 사실을 증명하는 장치로 페이코 서명키로 인증한 앱은 페이코 정식 앱으로 인식돼 별도의 보안검사를 거치지 않을 수 있다. 해커들은 페이코 서명키를 활용한 악성 앱을 정식 앱스토어가 아닌 문자, 카카오톡 등으로 유포했다.

페이코는 서명키 유출 사실을 8월 10일쯤 인지했으나 넉달이 지난 시점까지 외부에 알리지 않은 것으로 확인됐다.

페이코 운영사 NHN은 "8월 구글 서명키가 유출된 사실을 인지하고, 서비스 장애요인이나 영향도를 파악하는 직업을 거치면서 동시에 서명키 변경 작업을 진행했었다"며 "이번 주 내로 새 서명키를 활용한 앱 업데이트를 진행할 계획이었다"고 설명했다.

페이코 관계자는 "현재 자세한 유출 경로와 세부 내용을 확인 중에 있다"고 전했다.

NHN은 현재까지 확인된 피해 사례는 없다고 입장을 밝혔다.

NHN은 "문자 내 다운로드 링크 등 비정상적 경로를 통한 강제 설치 외에 구글플레이, 앱스토어로 페이코 앱을 다운받은 경우는이로 인한 문제가 없는 것으로 확인됐다"며 "페이코 쪽으로 접수된 피해 사례도 현재 확인된 바 없다"고 말했다.

금융감독원은 6일 페이코 서명키 유출과 관련한 현장점검에 나섰다. 점검 결과 페이코측 잘못이 드러날 경우 정식 검사를 진행할 예정이다.

이유정 기자 uzzoni@chosunbiz.com