간편결제 금융 앱인 페이코 서명키가 유출돼 5100여 건에 달하는 악성 앱이 뿌려진 것으로 드러났다. 페이코 서명키를 활용하면 ‘해킹’을 위해 제작된 악성 앱도 정상적인 앱으로 인식된다. 4개월간 서명키가 바뀌지 않은 탓에 악성 앱이 지속적으로 유통돼 피해가 예상된다.

5일 금융권에 따르면 보안업체 에버스핀은 “지난 8월 1일부터 11월 30일까지 유출된 페이코 서명키로 제작된 악성 앱 5144건이 탐지됐다”며 국민은행과 농협은행, 카카오뱅크 등 금융회사 30여 곳에 공문을 보냈다. 서명키는 해당 앱의 제작사가 어디인지 인증하는 값이다. 서명키가 유출돼 악성 앱에 이 페이코 서명키가 쓰이면 페이코가 만든 앱으로 인식되기 때문에 보안검사 시에도 정상적인 앱으로 분류된다. 악성 앱 탐지 시스템으로도 페이코 서명키가 쓰인 악성 앱을 걸러낼 수 없다는 것이다. 페이코 관계자는 “지난 8월 서명키 유출을 인지한 뒤 변경 작업을 해왔으며 이번주 업데이트할 예정”이라며 “아직 접수된 피해는 없다”고 말했다.

박진우 기자 jwp@hankyung.com