페이코 서명키 유출에…NHN "심려 끼쳐 죄송…직접적 피해 사례는 없어"
2022-12-07 16:09
"구글 플레이 등 앱 마켓 통해 정상적 경로로 다운받을 경우 문제 없어"
[사진=NHN]
NHN의 간편결제 서비스 '페이코' 앱의 서명키가 유출돼 이를 활용한 악성 앱이 제작·유포됐다는 논란이 일자 회사 측이 공식 사과했다.
NHN은 7일 입장문에서 "많은 페이코 이용자들께 심려를 끼쳐 드린 점 진심으로 죄송하다"며 "회사는 사안의 심각성을 깊이 인식하고 있으며, 신속하게 대응해 그간 보내주신 고객 여러분의 신뢰에 보답하고자 노력 중에 있다"라고 말했다.
앞서 보안업체인 에버스핀은 최근 금융권 고객사에 '페이코 서명키가 유출돼 악성 앱이 유통됐다'는 내용의 공문을 보냈다.
이와 관련해 회사 측은 "논란이 되고 있는 구글 서명키는 앱 개발사들이 구글 플레이에 앱을 등록·배포할 때 특정 개발사 앱임을 증명하는 도구로, 앱 이용자의 개인정보와는 관련이 없다"라며 "또 현재 해당 건과 관련한 직접적인 피해 사례는 없는 것으로 확인된다"고 설명했다.
회사 측은 또 "악성 앱 관련 피해는 문자나 메신저 등으로 앱 설치를 유도하는 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제이며, 구글 플레이 등 앱 마켓을 통해 정상적인 경로로 페이코 앱을 다운받는 경우에는 문제가 없다"라고 덧붙였다.
그러면서 "지난 8월 구글 서명키 유출을 인지한 직후부터 페이코의 협력 보안업체는 유출된 서명키로 생성되는 앱의 악성 행위 여부를 탐지할 수 있게 조치하고 있었다"고 강조했다. NHN은 지난 8월부터 서비스 장애요인과 영향도를 파악하는 과정을 거치며 서명키 변경 작업을 진행해 왔고, 지난 6일 저녁 신규 서명키가 적용된 페이코 앱의 업데이트가 완료됐다고 밝혔다.
NHN은 "기존에 스토어를 통해 정상적인 경로로 다운받아 설치한 앱은 이번 서명키 유출과 관계없이 안전하다"라면서도 "페이코는 악성 앱의 보안 위협에 대한 고객 여러분들의 불안감을 해소하고자 서비스 공지사항과 앱 내 배너 등을 통해 기존 앱 삭제와 재설치를 적극 권장하고 있다"고 강조했다.
아울러 "보안 전문업체와 협력해 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성앱으로 탐지하고 차단하는 방안까지 추가적으로 검토하고 있다"며 "금융당국에 관련 사항을 상세히 소명하고 긴밀히 소통하며 현재 상황을 빠르게 해결해 나가는 한편, 향후 재발 방지를 위해서도 만전을 기할 것"이라고 덧붙였다.
NHN은 7일 입장문에서 "많은 페이코 이용자들께 심려를 끼쳐 드린 점 진심으로 죄송하다"며 "회사는 사안의 심각성을 깊이 인식하고 있으며, 신속하게 대응해 그간 보내주신 고객 여러분의 신뢰에 보답하고자 노력 중에 있다"라고 말했다.
앞서 보안업체인 에버스핀은 최근 금융권 고객사에 '페이코 서명키가 유출돼 악성 앱이 유통됐다'는 내용의 공문을 보냈다.
이와 관련해 회사 측은 "논란이 되고 있는 구글 서명키는 앱 개발사들이 구글 플레이에 앱을 등록·배포할 때 특정 개발사 앱임을 증명하는 도구로, 앱 이용자의 개인정보와는 관련이 없다"라며 "또 현재 해당 건과 관련한 직접적인 피해 사례는 없는 것으로 확인된다"고 설명했다.
회사 측은 또 "악성 앱 관련 피해는 문자나 메신저 등으로 앱 설치를 유도하는 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제이며, 구글 플레이 등 앱 마켓을 통해 정상적인 경로로 페이코 앱을 다운받는 경우에는 문제가 없다"라고 덧붙였다.
그러면서 "지난 8월 구글 서명키 유출을 인지한 직후부터 페이코의 협력 보안업체는 유출된 서명키로 생성되는 앱의 악성 행위 여부를 탐지할 수 있게 조치하고 있었다"고 강조했다. NHN은 지난 8월부터 서비스 장애요인과 영향도를 파악하는 과정을 거치며 서명키 변경 작업을 진행해 왔고, 지난 6일 저녁 신규 서명키가 적용된 페이코 앱의 업데이트가 완료됐다고 밝혔다.
NHN은 "기존에 스토어를 통해 정상적인 경로로 다운받아 설치한 앱은 이번 서명키 유출과 관계없이 안전하다"라면서도 "페이코는 악성 앱의 보안 위협에 대한 고객 여러분들의 불안감을 해소하고자 서비스 공지사항과 앱 내 배너 등을 통해 기존 앱 삭제와 재설치를 적극 권장하고 있다"고 강조했다.
아울러 "보안 전문업체와 협력해 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성앱으로 탐지하고 차단하는 방안까지 추가적으로 검토하고 있다"며 "금융당국에 관련 사항을 상세히 소명하고 긴밀히 소통하며 현재 상황을 빠르게 해결해 나가는 한편, 향후 재발 방지를 위해서도 만전을 기할 것"이라고 덧붙였다.