[디지털데일리 이종현기자] 최근 NHN의 간편결제 서비스 ‘페이코’가 구설수에 휘말렸다. 구글 플레이스토어에 애플리케이션(앱)을 등록·배포할 때 사용하는 서명키가 유출된 건이다. 서명키는 NHN의 인감도장 역할을 한다. 이를 이용해 진짜처럼 속인 가짜 앱이 유포될 수 있는 만큼 사용자들은 자신이 정상 앱을 이용 중인지 주의해야 한다.

페이코는 구글 플레이스토어 기준 누적 다운로드가 1000만회 이상인 인기 앱이다. 이와 같은 앱에서 문제가 발생한 것은 명백한 잘못이다. NHN이 질타받고 사과하는 것 역시 자연스러운 흐름이다.

다만 이번 사건에서 눈길을 끄는 것은 유출 여부보다는 해당 사실이 알려지게 된 과정이다.

페이코의 서명키가 유출됐음을 알린 것은 설립 9년차인 사이버보안 기업 에버스핀이다. 12월 5일 에버스핀은 페이코의 서명키가 유출됐고 이를 악용해 앱이 제작·유포됐다는 내용의 ‘긴급 공문’을 자사 금융 고객사들에게 발송한 것이 기점이다. 서명키를 악용한 악성 앱의 설치가 5144건이나 탐지된 만큼 금융사고에 유념해야 한다는 내용을 담았다.

그리고 긴급 공문 발송 후 1주일 뒤인 12월 12일, 에버스핀은 ‘페이코 서명키 유출 발견한 에버스핀, 대응방법 제시’라는 제목의 보도자료를 재차 배포했다. 서명키 유출과 관련한 질문·답변도 함께 담았는데, 이에 따르면 에버스핀을 8월 1일 최초로 사태를 인지했으며 이후 악성 앱이 크게 늘자 고객사 보호를 위해 12월 5일 공문을 발송했다고 입장을 밝혔다.

일견 사이버보안 기업이 제 할 일을 한 것처럼 비춰지나, 한 가지 특이한 사항이 있다. 에버스핀이 서명키 유출 사실을 인지한 뒤 이를 NHN에 공유하지 않은 것이다. 사이버보안 업계 관계자 다수도 이 부분을 두고 에버스핀을 비판하고 있다. 이 경우 최초 인지라는 것의 신빙성 논란도 생기고, 근본적인 대책 마련도 어렵기 때문이다.

통상 정보가 유출됐거나 취약점이 발견됐다면 해당 기업에 이를 알린다. 그 기업이 조치를 취하지 않는다면 원천적인 대응이 불가능한 탓이다. 에버스핀이 정말로 피해를 막고자 했다면 NHN이나 금융당국 등에 유출 사실을 전달하는 것이 먼저였어야 한다는 것이 업계의 중론이다.

에버스핀은 자사 기술을 통해 5144건의 악성 앱을 탐지하는 동안 금융당국의 시스템에서는 몇건 되지 않는 건수만 감지됐고, 이를 안랩에 역으로 알려줬다고 밝혔다. 금융당국과 안랩이 확인하지 못한 것을 에버스핀의 특출난 기술력으로 대응했다는 주장이다.

그러나 NHN의 주장은 에버스핀과 상반된다. NHN 페이코는 안랩의 모바일 백신 솔루션을 사용 중이다. 구글 서명키 유출도 안랩이 8월 10일 최초로 인지했다. 안랩이 NHN에 이를 알렸고, NHN은 8월부터 자체 TF를 꾸려 신규 서명키 도입 및 서비스 장애요인, 영향도 등 파악에 착수했다는 것이 NHN의 입장이다.

실제 에버스핀이 12월 5일 배포한 공문에는 ‘금융보안원이 8월 22일자에 안랩, NSHC, 이스트시큐리티와 페이코 서명키 유출에 대한 패턴을 공유했다’는 내용이 담겼다. 이 말인즉슨 금융보안원을 비롯해 3개 사이버보안 기업은 최소한 8월 22일에는 페이코의 서명키 유출을 이미 인지하고 있다는 의미다.

5144건 이라는 숫자에도 의문부호가 달린다. 에버스핀은 유출된 서명키를 이용해 악성 앱이 5144개 만들어졌다는 취지로 자료를 배포했으나 업계 관계자들은 “에버스핀이 말한 5144건은 ‘탐지’이지 실제 5144개의 앱이 만들어진 것은 아니다”라고 강조했다.

서명키 유출에 대한 피해를 부풀렸다는 지적도 있다. 실제 서명키가 유출되더라도 기존에 페이코 앱을 설치한 이들은 피해를 입지 않는다. 또 구글 플레이스토어와 같은 정식 앱 마켓을 이용할 경우 가짜 앱에 의한 피해를 예방할 수 있다. 15일 현재까지 유출된 서명키로 인한 피해사실은 확인된 바가 없다.

또 검출 이후 자사 기술력을 강조하며 타사 제품을 깍아내리는 것 역시 업계 관계자들의 공분을 샀다. 직접 ‘저격’ 당한 기업들이 아닌 다른 기업들도 “상식적이지 않다”고 피력했다.

에버스핀은 전통적인 안티바이러스(백신) 솔루션이 이미 악성 앱으로 판명난 것을 차단하는, ‘블랙리스트’에 의존해 패턴을 만들고 있어 이와 같은 위협을 제대로 감지하지도, 차단하지도 못했다고 주장한다. 그리고 자사의 솔루션은 정상 앱을 리스트화한 ‘화이트리스트’ 방식으로 구동되기에 더 유리하다고 강조했다.

하지만 사이버보안 전문가들은 에버스핀의 주장에 허점이 많다고 꼬집었다. 우선 화이트리스트가 좋은 보안 방법론이기는 하나 만능은 아니라는 것이 첫 번째다. 그리고 블랙리스트 방식이 무조건 나쁘다고 할 수도 없으며, 최근 안티바이러스 솔루션의 경우 대부분은 어느 하나의 방식에 의존하는 것이 아니라 여러 방식을 혼합하는 것이 트렌드라는 설명이다.

업계 관계자는 “블랙리스트 방식이든, 화이트리스트 방식이든 탐지를 위한 하나의 방법론이다. 많은 보안 전문가들은 하나의 방식만으로는 고도화되고 있는 보안위협에 대응할 수 없기 때문에 다면적인 진단 기준이 필요하다는 데 의견을 모으고 있다”며 “전반적으로 에버스핀이 지나친 공포 분위기를 조장하고 있다고 생각한다”고 말했다.

에버스핀이 지적한 블랙리스트 방식의 문제점에 대해 안랩 측은 “안랩은 보이스피싱 등 악성 앱 탐지를 위해 시그니처(룰) 진단 방식을 활용하고 있다. 보완 목적으로 블랙리스트, 화이트리스트 방식도 함께 활용하고 있다. 이번 페이코 건만 하더라도 안랩은 8월부터 해당 인증서를 악용하는 악성 앱 정보를 모바일 백신 엔진에 반영해 진단 중”이라고 답했다.

에버스핀 하영빈 대표는 “금융당국이나 다른 기업을 비판하려는 의도는 없었다. 고객사를 보호해야 한다는 생각에 12월 5일 공문을 보냈고, 이것이 기사화되면서 정상적인 업무가 불가능할 정도로 많은 문의가 와 12월 12일 입장을 정리해 발표했다. 누군가를 저격하거나 하려는 의도가 없었다는 점 알아달라”고 입장을 전했다.

사실 에버스핀이 자사 기술력을 강조한 것을 마냥 비판할 수는 없다. 사태에 대해 설명하면서 자사 기술력을 소개하는 것은 자연스러운 흐름이다. 경쟁 기업과 신경전을 벌이는 것도 이상할 것 없다. 서명키를 잘 관리하지 못한 NHN에게 잘못이 있는 것도 명백하다. NHN은 이를 계기로 보다 엄격한 보안체계를 갖춰야 하리라 생각된다.

그럼에도 에버스핀의 폭로가 아쉬운 것은, 에버스핀이 쏘아 올린 공이 ‘피해 방지’라는 사이버보안의 궁극적인 목표 달성에 도움이 됐는가에 대한 의문 때문이다. 에버스핀은 “NHN이나 금융당국에 알릴 의무가 없다”고 선을 그었지만, 대부분의 보안 기업은 의무가 없더라도 정보공유를 통해 피해 확산 방지에 협조한다.

불현듯 3년 전의 기억이 떠오른다. 에버스핀은 모 사이버보안 기업과 한차례 분쟁을 빚은 바 있다. 보안 콘퍼런스에서 모 기업이 제품에 대해 지적하자 에버스핀은 ‘허위사실 적시에 의한 명예훼손’을 근거로 형사고발을 예고했다. 에버스핀의 제품이 작동하지 않는(Off) 상태에서의 측정이었는데, 두 기업은 사회관계망서비스(SNS)를 통해 대표간 공개 설전을 벌였고, 소송 직전에 극적으로 갈등이 봉합된 바 있다.