페이코(Payco) 서명키 유출 사실 숨김

 

2022.12.05일 금융권에 따르면 보안솔루션 기업 에버스핀은, 간편결제 금융 앱 ‘페이코’의 서명키가 외부로 유출된 것으로 파악했다.

에버스핀은 KB국민은행, NH농협은행, 핀다, 삼성카드, KB국민카드, 현대카드, 롯데카드, 우리카드, NH농협카드, 삼성생명, 한화생명 등 국내 수십 여개 금융사 앱 사용자들을 대상으로 악성 앱 탐지 서비스를 제공하고 있다.

 ‘페이코 서명키가 유출됐고, 이를 악용해 악성 앱이 제작, 유포됐다’며 주의하라는 긴급 공문을 KB국민은행, NH농협은행, 카카오뱅크를 비롯한 고객사 30여 곳에 보냈다. 공문은 이미 지난 8월 1일부터 11월 30일까지 유출된 서명키를 통해 제작된 악성 앱 5144건이 탐지됐다며 고객사들에 “서명키 관리와 보이스피싱 등 각종 금융사고 대응에 유념하라”고 경고했다.  ‘한게임 OTP’ ‘운수도원 투데이’ ‘티켓링크’를 비롯한 18개 앱이 같은 서명키를 쓰고 있다고 지적했다. 페이코는 유출 사실을 8월 10일 경 인지한 것으로 알고 있다. 페이코는 “페이코 앱 자체에 대한 공격은 없어 외부 신고할 사항이 아니라고 판단했다”고 주장했다.

NHN측은 "문자 내 다운로드 링크 등 비정상적 경로를 통한 강제 설치 외에 구글플레이, 앱스토어로 페이코 앱을 다운받은 경우는 문제가 없는 것으로 확인됐다"며 "페이코 쪽으로 접수된 피해 사례도 현재 확인된 바 없다"고 주장했다.

에버스핀에 따르면 보이스피싱 앱들은 페이코 앱과 고윳값(시그니처값)이 동일하다. 시그니처값과 서명키는 일대일 대응하는 것인데, 시그니처값이 같다는 것은 똑같은 서명키로 서명이 됐다는 걸 의미한다.

통상 보안 앱들의 작동 방식.
‘화이트리스트’ 방식: 정상 앱 정보를 수집해 여기에서 벗어난 앱을 차단하는 방법.
‘블랙리스트’ 방식: 밝혀진 악성 앱 정보만을 모아 차단하는 방법.
서명 키는 비공개 키로 유출하지 않기 때문에, 빠른 시간 내 탐지를 하기 위해 서명 키가 같으면 악성 앱이 아니라고 간주하고 넘어간다.

통상 보안 앱들은 서명 키가 같으면 추가적인 검사는 하지 않는 경우가 많다.  이로인해 서명키가 유출되면 해커가 개발한 앱을 정상적인 앱으로 위장하기 유리하다.

참고
https://n.news.naver.com/article/009/0005055748;
https://n.news.naver.com/mnews/article/469/0000711320;