NHN페이코 서명키 유출 사건을 둘러싼 각종 논란 취재해보니
기존에 알려진 내용과 상당부분 달라... 5,144개는 액성 앱 숫자 아닌 탐지횟수
보안위협 부풀려 마케팅에 활용하는 ‘공포마케팅’ 지적도 제기

[보안뉴스 원병철 기자] 지난 12월 5일 NHN의 간편결제 서비스 ‘페이코(PAYCO)’의 앱 서명키가 유출돼 큰 이슈를 불러왔다. 페이코는 앱 서명키 관련 공지를 통해 사과하는 한편, 앱 서명키는 페이코앱을 구글 스토어에 등록할 때 앱을 구분하기 위해 사용하는 것으로 회원 개개인의 개인정보 및 결제정보와는 전혀 관련이 없다고 발표했다.


금융감독원 역시 12월 6일 보도자료를 통해 페이코의 앱 서명키가 유출됨에 따라 페이코 앱으로 가장한 악성 앱이 유포될 위험이 있다며 주의를 요구했다. 앱 마켓과 같은 정상경로를 통한 다운로드는 상관없지만, SMS나 카톡 등을 통해 앱 설치를 유도하는 링크 등 비정상적인 경로를 통해 악성 앱을 다운로드 받거나 개인정보를 입력할 경우 피해가 발생할 수 있다고 경고했다.

보안기업 E사 “페이코 서명키로 제작된 악성 앱 5,144건” vs. 보안전문가 다수 “악성 앱 숫자 아닌 탐지횟수”
이번 서명키 유출사건은 보안기업 E사의 긴급공문과 보도자료로 인해 크게 불거졌다. E사는 12월 6일, 고객사에게 긴급공문을 통해 지난 8월 1일부터 11월 30일까지 유출된 페이코의 서명키로 제작된 악성 앱이 5,144건에 달하며, 이로 인해 발생할 수 있는 보이스피싱 등 각종 금융사고에 유념해야 한다고 밝혔다. 특히, 유출된 페이코 서명키로 제작된 악성 앱으로 피해를 입은 고객은 사칭된 금융사를 원인으로 오해할 수 있기 때문에 공문을 발송했다고 강조했다.

여기에 더해 12월 12일 추가 보도자료를 배포해 “악성 앱을 5,144건 탐지했다는 것은 사용자가 그만큼 악성앱을 설치했다는 의미”이며, “전화 내역과 주소록 등 개인정보 등은 탈취된 상태라고 예상할 수 있다”고 우려했다. 또한, “악성 앱으로 인해 피해가 발생할 경우 악성 앱을 다운로드 받은 사용자에게 책임이 있는지 NHN에 책임이 있는지 향후 논란이 있을 수 있다”고 말했다. 게다가 이번 사건은 단순히 페이코의 서명키가 유출된 것이 아닌 NHN 서명키가 유출된 것이며, NHN은 18개의 다른 앱에서도 해당 서명키를 사용하기에 이 앱을 사용하는 사용자들은 모두 각별한 주의가 필요하다고 강조하기도 했다.

한편, 이번 사건으로 금융보안원이 일부 보안기업과 서명키 유출에 대한 패턴을 공유했다고 밝혔는데, 이는 서명키 유출에 대한 블랙리스트 패턴을 긴급하게 등록해 확산을 방지하기 위한 적절한 긴급조치였다. 다만 E사는 이와 같은 블랙리스트 방식의 조치는 유출된 페이코 서명키로 제작된 악성 앱만 탐지가 가능하다는 한계가 있다고 지적했다. 다른 앱의 서명키가 유출돼 악성 앱이 만들어진다면 탐지할 수 없다는 설명이었다. 이 때문에 화이트리스트 방식의 자사 앱만이 페이코 외에도 유출된 다른 서명키로 만든 악성 앱을 실시간으로 탐지할 수 있다는 주장이었다.

‘악성 앱 탐지 숫자=악성 앱 숫자’ 아니야...실제 악성 앱 100여개 추정
그러나 이렇듯 E사의 연이은 보도자료 발표와 이에 대해 사실 확인이 미흡한 기사가 이어지면서 논란이 커졌다. 이에 <보안뉴스>에서 보안전문 기업 및 보안전문가들을 대상으로 취재해본 결과, E사의 주장과는 다른 부분이 많았다. 심지어 과다하게 보안위협을 부풀려 마케팅에 활용하는 ‘공포마케팅’의 일환이라는 의견도 적지 않았다. NHN페이코 서명키 유출 사건은 분명 중요한 보안이슈인 것은 분명하지만, 일부 이슈가 부풀려져 공포심을 조장할 수 있다는 지적이 제기된 것이다. 이에 본지는 취재한 내용을 바탕으로 이번 사건과 관련해 오해를 불러일으킬 수 있는 측면을 5가지로 구분해 정리해봤다.

첫 번째, ‘악성 앱이 5,144건’이라는 설명은 틀리다는 게 보안전문가들의 공통된 지적이다. 정확히 말하자면 악성 앱이 ‘탐지’된 숫자가 5,144건이다. 즉, 도난된 페이코 서명키를 악용해 만들어진 악성 앱이 5,144건이 아니며, 탐지된 숫자가 5,144건이라는 것. 탐지된 숫자는 1개의 단말에서도 수십 건이 중복되어 올라올 수 있기 때문에 ‘탐지된 숫자=악성 앱 숫자’가 될 수 없다는 말이다. 실제로 E사는 보도자료에서 처음에는 탈취된 서명키로 만든 ‘악성 앱이 5,144건’이라고 썼다가, 나중에는 ‘악성 앱을 5,144건 탐지했다’고 적었다. 본지가 실제 보안기업들에게 확인해본 결과 해당 서명키로 제작된 악성 앱의 숫자는 100여개로 추정되고 있다.

두 번째는 ‘악성 앱을 5,144건 탐지했다는 건 사용자가 그만큼 악성 앱을 설치했다는 의미’라는 말도 어폐가 있다는 지적이다. 악성 앱이 탐지됐다고 해서, 그게 다 감염된 숫자는 아니라는 말이다. 즉, 앞에서 지적한 것처럼 ‘탐지된 숫자=악성 앱 감염 숫자’가 아니기 때문. 예를 들면 감염된 단말이 해당 앱을 지우지 않는다면 탐지 숫자는 수십 건이 중복 탐지되어 올라올 수 있다는 얘기다.

세 번째 ‘유출된 서명키를 NHN의 18개 앱에서도 사용하니 위험하다’는 점 역시 사실과 다르다는 설명이다. 유출된 서명키는 단순히 페이코가 해당 앱을 만들었다고 확인해주는 용도이기 때문에 정상적인 경로(앱마켓 등)를 통해 다운 받은 앱은 전혀 문제가 없다. 실제 금융감독원 역시 보도자료에서 SMS나 카톡과 같은 정상적인 경로가 아닌 다른 경로를 통해 앱을 다운로드 받을 경우 위험하다고 밝힌 바 있다.

네 번째는 ‘악성 앱은 블랙리스트 방식으로는 못 잡고 화이트리스트 방식으로만 잡을 수 있다’는 주장이다. 우선, 블랙리스트와 화이트리스트는 각각 만들어진 리스트를 통해 악성 앱(악성코드)를 탐지하는 기술로 대부분의 보안기업이 사용하지만, 1개 방식만으로는 완벽하게 악성 앱을 탐지할 수 없기 때문에 다양한 방법을 추가로 적용하고 있다. 즉, 금융보안원이 블랙리스트를 만들어 공유한 것은 여러 방법 중 1개를 시도한 것일 뿐이며, E사를 제외한 다른 보안기업들이 블랙리스트만 사용하는 것도 아니라는 지적이다.

다섯 번째는 ‘도난당한 서명키를 사용한 악성 앱은 안티 바이러스에서 잡지 못하느냐’의 여부다. 도난당한 서명키를 악용한 공격방식은 오래전부터 있어 왔으며, 이에 대한 보안기업의 대응 역시 계속 발전해 왔다. 이 때문에 앞서 설명한 것처럼 보안기업들은 블랙리스트와 화이트리스트는 물론 시그니처 방식 등 다양한 방법을 사용하며, 이를 통해 서명키가 있다 하더라도 다른 방식으로 악성 행위를 감시해 악성 앱으로 잡아낼 수 있다는 설명이다.

한편, 금융보안원은 이번 페이코 서명키 도난사건의 경우 8월경 정보를 확인했으며, 해당 정보를 보안기업들에게 공유해 공격에 대비했다. 실제 보안기업들 역시 보안위협이나 취약점을 발견할 경우 해당 기업에 정보를 제공해 조치를 취할 수 있게 한 후 대책이 마련되면 이를 공개한다. 보안대책이나 패치가 나오기 전에 정보를 공개할 경우 이를 노리는 공격이 발생할 수 있기 때문이다.

NHN페이코 역시 8월에 서명키 탈취 사실을 인지하고 계속 교체 작업을 진행해 왔으며, 12월 6일 새로운 서명키가 적용된 앱을 발표했다. 이와 관련 NHN페이코 담당자는 “이번 서명키 유출과 관련해 책임을 통감하며, 혹시라도 발생할 수 있는 문제에 대비하기 위해 페이코 뿐만 아니라 NHN이 서비스하는 전체 서명키를 교체했다”고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>