페이코에서 유출된 ‘서명키’가 뭐길래
핀테크 서비스 페이코의 서명키가 유출됐다. 서명키에는 여러가지 종류가 있는데 유출된 페이코의 서명키는 앱을 개발한 곳이 페이코가 맞는지 인증을 하는 용도다. 이를 ‘코드사이닝 인증서’라고 한다. 해커는 탈취한 인증서로 악성앱을 만들어 배포할 수 있다. 해커가 이 인증서로 페이코 앱에 악성코드를 업데이트하는 등 악용할 수 있는 방법이 다양하다는 점은 심각한 문제다.
페이코의 서명키가 유출된지 오랜 시간이 지났다는 것도 문제다. 6일 보안 업계와 페이코 측에 따르면, 페이코의 서명키가 유출된 시점은 지난 8월이다. 약 4개월 간의 작업 끝에 페이코는 이번주 중으로 새로운 서명키를 활용한 업데이트를 진행할 예정이다.
그러나 이 기간 동안 해커가 페이코의 서명키를 탈취해 만든 악성앱의 수는 적지 않다. 보안기업 에버스핀에 따르면, 지난 8월 1일부터 11월 30일까지 페이코의 서명키로 만든 악성앱은 약 5144건으로 탐지됐다. 에버스핀은 고객사인 KB국민은행, NH농협은행, 카카오뱅크, 우리카드, 롯데카드, 삼성카드 등 30여 곳에 페이코의 서명키가 유출됐다고 공지하며 주의를 당부했다.
페이코의 서명키 유출로 인해 페이코 사용자가 직접적인 피해를 입는 것은 아니다. 다만, 해커가 악성코드를 만들어 배포할 경우 문제가 된다. 예를 들어, 해커가 이 서명키로 보이스피싱 앱을 만들더라도 악성앱으로 분류되지 않는다. 이렇게 되면 사용자는 해당 앱이 악성앱인지 모르고 설치하고 쓸 수 있으며, 이는 곧 금전적인 피해로 이어질 수 있다.
이런 공격이 가능한 이유는 서명키의 한 종류인 코드사이닝 인증서가 앱 개발 시 꼭 필요한 인증수단이기 때문이다. A라는 앱이 페이코가 개발했다는 것을 보장하는 역할을 인증서가 한다. 따라서 해커가 이 서명키로 악성앱을 만들더라도 안전을 검증 받은 셈이라 백신 프로그램에 걸리지 않는다. 흔히 쓰는 백신(보안 솔루션) 프로그램은 화이트리스트 기법을 써서 악성앱을 탐지하기 때문이다.
예를 들어, B 백신 기업이 페이코를 화이트리스트에 올리면 페이코가 만드는 모든 앱은 B백신의 악성앱으로 분류되지 않는다. 따라서 해커가 페이코의 서명키를 활용해 악성앱을 만들더라도 B 백신앱에서 탐지되지 않는다.
보안업계에 따르면, 서명키 탈취를 악용한 사건사고는 빈번하다. 지난 2013년 한 해커가 국내 버스앱의 서명키를 탈취한 사례가 대표적이다. 당시 해커는 개발자의 구글 계정을 해킹하고 버스앱의 서명키를 탈취한 뒤, 앱이 업데이트 될 때 악성코드를 배포했다. 이를 통해 해커는 국방, 국정원, 대북 등 군사나 안보 관련 단어 기록이 있는 개인 스마트폰의 정보와 각종 문서를 탈취한 바 있다.
페이코는 아직까지 접수된 피해 사례가 없다고 밝혔다. 페이코 관계자는 “현재 문자 내 다운로드 링크 등 비정상적 경로를 통한 강제 설치 외에 스토어를 통해 정상적으로 페이코 앱을 다운받은 경우는 문제가 없는 것으로 확인됐으며, 페이코쪽으로 접수된 피해 사례는 확인된 바 없다”고 말했다.
또 서명키 유출 경로에 대해 회사 측은 “외부 보안 공격에 대한 흔적은 없는 상황으로 자세한 유출 경로에 대해 확인 중”이라고 전했다.
페이코는 서명키 유출 사실을 지난 8월 인지해 지금까지 서명키 변경 작업을 진행해왔다. 작업기간이 길어진 점에 대해 페이코 관계자는 “서명키 변경 작업은 서비스 장애요인, 영향도를 우선적으로 고려하며 진행해야 해 작업이 오래 걸린다”고 설명했다.
보안업계는 페이코의 대응기간이 긴 것이 충분히 가능한 일이라고 봤다. 한 보안업체 실무 담당자는 “사실 빠르면 하루나 한 달 안에도 새로운 서명키를 업데이트할 수 있다”며 “그러나 페이코의 경우 사용자가 많아 테스트 등을 신중하게 하다보면 시간이 오래 걸릴 수 있다”고 전했다.
페이코가 새로운 서명키를 업데이트하면 유출된 서명키로 새롭게 만든 앱은 악성앱으로 분류된다. 다만, 기존에 이미 만들어진 악성앱의 경우 별도 대응방안이 필요하다. 페이코가 보안 솔루션을 제공하는 업체에게 자사를 화이트리스트에서 배제해줄 것을 요청하는 등 다각적인 노력이 필요하다.
페이코 관계자는 “기존 서명키가 적용된 악성앱에 대해서는 보안전문업체와 별도로 방안을 강구 중”이라고 밝혔다.
금융 당국은 이번 서명키 유출 사고는 처벌 대상에 포함되지 않는다고 밝혔다. 금융감독원의 IT검사국 관계자는 “이번 사고는 전자금융거래법의 전자금융거래 사고유형에 해당되지 않는다”며 “페이코는 4개월 동안 서명키 유출에 대해 몰랐던 것이 아니라 인지하고 관련 작업을 했다”고 말했다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network
똑같은 케이스의 더 큰 뉴스가 있는데…
https://arstechnica.com/gadgets/2022/12/samsungs-android-app-signing-key-has-leaked-is-being-used-to-sign-malware/
삼성은 2016년 부터… 인데 한국엔 기사가 없다죠…
이 서명키는 시스템 권한까지 얻을 수 있는 더 치명적인 서명키인데..