▲ 간편결제 앱 페이코의 보안키가 외부로 유출돼 이를 악용한 보이스피싱 등 악성 앱이 5000건 이상 유포됐다. ⓒ 세이프타임즈

다운로드 수 1000만건을 돌파한 간편결제 앱 '페이코'의 보안키(서명키)가 외부로 유출돼 이를 악용한 보이스피싱 등 악성 앱이 5000건 이상 유포됐다.

페이코는 이 사실을 지난 8월 알게 됐지만 협력사와 이용자들에겐 아무런 공지를 하지 않은 것으로 확인됐다.

6일 금융업계에 따르면 보안솔루션 기업인 에버스핀은 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여곳에 '페이코 서명키가 유출됐고 이를 악용해 악성 앱이 제작, 유포됐다'며 주의하라는 긴급 공문을 보냈다.

에버스핀은 "지난 8월 1일부터 지난달 말까지 유출된 서명키를 통해 제작된 악성 앱 5144건이 탐지됐다"며 "서명키 관리와 보이스피싱 등 각종 금융사고 대응에 유념하라"고 경고했다.

페이코 제작사인 NHN페이코는 지난 8월 '디지털 서명키'를 유출당했다. 유출 사실은 최근 에버스핀이 페이코 고객사들에 경고 공문을 보내며 뒤늦게 알려졌다.

페이코의 보안키를 탈취한 해커들은 지난달 말까지 이를 활용해 악성 앱을 제작·유포했다. 해커들은 악성 앱들을 구글과 애플의 정식 앱스토어에는 올리지 않고 문자, 카카오톡 등을 통해 설치 파일 형태로 유포한 것으로 알려졌다.

앱을 내려받은 이용자들은 스마트폰 전화·문자 등 각종 활동 기록과 데이터를 탈취당할 우려가 있다.

페이코의 월 활성 사용자는 290만명가량이다. 고객 데이터 플랫폼 다이티에 따르면 페이코는 올해 상반기 20대 이하 사용자 비율이 높은 앱 1위를 차지하기도 했다.

에버스핀이 탐지한 악성 앱 유포 사례는 5144건이지만 보안솔루션 미설치로 탐지되지 못한 경우도 있어 피해는 더 클 것으로 예상된다.

페이코가 유출된 서명키를 이용한 악성 앱이 유포되고 있다는 사실을 처음 인지한 시점은 4개월가량 이전인 지난 8월 10일쯤이다.

NHN페이코 관계자는 "악성 앱과 유출된 서명키가 페이코 서비스에 미치는 영향 등을 파악하는 과정에 시간이 걸렸다"며 "이번주 내로 모든 페이코 서명키를 교체하는 업데이트를 할 계획"이라고 말했다.

저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지