월 300만명가량이 이용하는 간편결제 앱 페이코의 보안키(서명키)가 외부로 유출돼, 이 보안키를 악용한 보이스피싱 등 악성 앱 5000건이 넘게 유포됐다. 보안키를 활용하면 스마트폰 백신 앱에 감지되는 않는 점을 해커들이 악용한 것이다. 페이코는 유출 사실을 8월에 알았지만 협력사와 이용자에게 아무런 공지를 하지 않은 것으로 확인됐다.
5일 IT·금융 업계에 따르면, 페이코 제작사인 NHN페이코는 지난 8월 보안키인 ‘디지털 서명키’를 유출당했다. 이를 탈취한 해커들은 지난달 말까지 이를 활용해 5514건의 악성 앱을 제작해 뿌렸다. 이 앱들은 NHN페이코가 제작한 것으로 간주돼, 백신이나 금융 앱의 악성 앱 탐지에 걸리지 않는다. 해커들은 이렇게 만든 악성 앱들을 구글과 애플의 정식 앱스토어에는 올리지 않고 문자, 카카오톡 등을 통해 설치 파일 형태로 유포한 것으로 알려졌다. 해커들은 이 앱을 내려받은 이용자들의 스마트폰에서 전화·문자와 같은 각종 활동 기록과 민감한 데이터를 탈취할 수 있다.
이번 유출 건은 국내 한 보안 업체가 최근 페이코와 협업하는 수십개의 금융사에 경고 공문을 보내면서 뒤늦게 알려졌다. NHN페이코 관계자는 “이용자 개개인의 보안키가 유출된 것이 아니라, 회사의 보안키가 유출된 것이라 정확한 피해 규모를 파악하기가 어렵다”며 “빠른 시일 내 협력사들과 공동 대응하고 이번 주 중 모든 페이코 서명키를 교체하는 업데이트를 할 계획”이라고 했다.