| 요약 | - 2022.12.05 페이코(PAYCO)에서 서명키가 유출 및 2022.12.06 저녁 신규 서명키가 적용된 페이코 앱의 업데이트를 완료 ※ NHN에서 결제수단을 사전에 등록해두고 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스 ※ 서명키: 안드로이드 앱을 제공하는 구글 플레이(Google Play)에서 사용자 기기로 전달되는 APK 서명에 사용하는 키 |
| 내용 | - NHN페이코는 2022.12.05일 홈페이지에 공지 게시 > ‘구글 서명키 관련 보도에 대해 안내 드립니다’ > 구글 플랫폼에서 운영되는 페이코 서명키가 외부로 유출 > 스토어를 통해 정상적으로 페이코 앱을 다운받은 회원의 개인정보 및 결제정보 유출은 전혀 없음 > 현재까지 해당 사안과 관련된 피해 사례도 확인된 바 없음 > 사안 인지 후 서명키 변경 작업 및 신규 서명키를 적용한 최신 버전 업데이트를 제공할 예정_2022.12.06 완료 - 보안 솔루션 기업 에버스핀이 주요 고객사에 페이코 서명키 유출로 인한 악성 애플리케이션 제작 및 유포 주의를 당부하면서 알려짐 > 해당 서명키 유출은 지난 8월 1일부터 11월 30일까지 무려 4개월 동안 이어짐 > 이 기간에 유출된 서명키를 통해 생성된 악성코드는 5,144건 탐지 및 유출 경로는 확인되지 않음 > 해당 서명키로 제작된 악성 앱의 숫자는 100여개로 추정 - 구글 서명키는 앱 개발사들이 플레이스토어에 앱을 등록하고 배포할 때 특정 개발사 앱임을 증명하는 도구 > 앱 이용자의 개인정보와는 관련이 없음 > 서명키 유출에 따른 악성앱 관련 피해는 문자나 메신저 등 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제 > 정상적인 경로로 내려받아 설치한 앱은 이번 서명키 유출과 관계없이 안전 - NHN페이코는 8월 구글 서명키 유출을 인지한 직후부터 유출된 서명키로 생성되는 앱의 악성행위 여부를 탐지할 수 있게 조치하고 있었음 > 고객의 불안감을 해소하기 위해 서비스 공지사항과 앱 내 배너 등을 통해 기존 앱을 삭제하고 재설치 적극 권장 > 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성 앱으로 탐지 및 차단하는 방안 추가 검토 |
| 결과 | - 금융보안원이 일부 보안기업과 서명키 유출에 대한 패턴을 공유 > 이는 서명키 유출에 대한 블랙리스트 패턴을 긴급하게 등록해 확산을 방지하기 위한 적절한 긴급조치 - 금융보안원은 이번 페이코 서명키 도난사건의 경우 8월경 정보를 확인 > 해당 정보를 보안기업들에게 공유해 공격에 대비 - NHN페이코 > 8월에 서명키 탈취 사실을 인지하고 계속 교체 작업을 진행 > NHN이 서비스하는 전체 서명키를 교체 - 정식 서명키를 획득하거나 탈취하려는 해커들의 움직임은 2023년에 보다 거세질 것 > 2022.12에 알려진 NHN페이코의 서명키 유출사건과 마이크로소프트의 디지털 서명 도난사건 > 마이크로소프트의 디지털 서명 도난사건 NHN페이코 사건과는 비교되지 않을 정도로 미칠 파장이 크고, 이에 따른 보안 위협은 현재진행형 악성 드라이버 인증 > 인증을 받아 보안 솔루션들 우회 및 악성 드라이버들이 랜섬웨어 등 사이버 공격 정황 포착 > 소프트웨어에 디지털 서명을 하거나 정식 서명키를 보유 = 신뢰가능한 제품을 인증 > 운영체제(OS)가 이 서명을 보고 해당 소프트웨어의 실행을 허용할지 말지를 결정 > 때문에, 불법 소프트웨어라고 하더라도 정상 서명키만 보유하고 있으면 보안 검사 통과 > 정상 서명키를 악용한 사이버 공격이 증가할 것이라는 전망은 다크웹 시장에서도 미리 예측 가능 > 올해(2022) 중반부터 각종 소프트웨어의 정상 서명키들이 다크웹에서 활발하게 거래되는 정황을 파악 ∴ 해커들이 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 인식 > 기업 입장에서는 ‘제로트러스트(Zero Trust)’에 대한 관심과 인증 보안 강화 이슈가 더욱 커질 것 ※ 제로트러스트(Zero Trust) 2010년 포레스터 리서치 보안위협팀의 존 킨더백 수석 애널리스트가 제안한 모델 '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제 모든 유효성을 다 입증한 다음에 최소한의 권한만을 부여해 접근을 허용 > 2단계 인증을 기본으로 사용자 인증과 검증을 강화하는 인증 보안체계 확립이 보안 강화를 위한 숙제 |
보안뉴스
NHN 간편결제 앱 페이코 서명키 유출... “개인정보 유출은 없어”
NHN에서 결제수단을 사전에 등록해두고 온라인 쇼핑 때마다 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스인 페이코(PAYCO)에서 서명키가 유출됐다.
www.boannews.com
NHN페이코, “6일자로 신규 서명키 적용 페이코 앱 업데이트 완료”
간편결제 서비스를 제공하고 있는 NHN페이코는 7일 신규 서명키가 적용된 페이코 애플리케이션의 업데이트가 완료됐다고 밝혔다. 앞서 지난 5일부터 페이코 앱의 구글 서명키가 유출돼 이를 활
www.boannews.com
NHN페이코의 서명키 유출 둘러싼 오해와 진실... ‘공포마케팅’ 논란 커져
NHN페이코 서명키 유출사건과 관련한 E사의 연이은 보도자료 발표와 관련해 <보안뉴스>에서 보안전문 기업 및 보안전문가들을 대상으로 취재해본 결과, E사의 주장과는 다른 부분이 많았다. 심지
www.boannews.com
[2023 보안 핫키워드-10] NHN페이코와 MS의 서명키 탈취 사건, 2023년의 서막일 뿐?
해커들이 촘촘한 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 절실히 인식하게 된 셈이다. 이 때문에 정식 서명키를 획득하거나 탈취하려는
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| LG유플러스, 디도스 공격으로 또 인터넷 장애... 11만명 개인정보 유출도 추가 확인 외 3건 (3) | 2023.02.05 |
|---|---|
| 하이브 랜섬웨어 일망타진한 국제 수사기관들, 피해자들도 구제 (1) | 2023.02.04 |
| [긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포 외 10건 (0) | 2023.01.27 |
| 노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다 (0) | 2023.01.16 |
| PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져 (0) | 2023.01.04 |