​에버스핀 "위조 앱 피해 막으려면 기존 앱 삭제 후 새로 설치해야"

에버스핀, 서명 키 유출로 인한 악성 앱 피해 예방 방안 소개

유출된 서명 키 18개 앱에서 사용...삭제 후 재설치가 가장 안전

공인된 출처에서 앱 설치하고, apk 파일 등 실행하지 말아야

[사진=에버스핀]

보안솔루션 기업 에버스핀이 소프트웨어 서명 키 유출로 인한 피해 예방 방안을 12일 소개했다.

보안 업계에 따르면 서명 키는 코드사인 인증서라고도 불리는 소프트웨어용 서명이다. 특정 소프트웨어가 실제 해당 개발사에서 개발한 것이 맞다는 사실을 운영체제 등에 입증하는 일종의 보증이다. 때문에 서명 키가 탈취당하면 사이버공격자는 가짜 소프트웨어를 만들고, 정상적인 개발사가 소프트웨어를 만든 것처럼 운영체제와 백신 등을 속일 수 있다.

앞서 에버스핀은 지난 6일 '페이코 서명 키 유출 주의'라는 제목의 공문을 고객사에 발송한 바 있다. 공문에는 지난 8월 1일부터 11월 30일까지 유출된 서명 키로 제작된 악성 앱이 5144건에 달하며, 이로 인한 각종 금융사고에 유념해야 한다는 내용이 담겼다.

에버스핀 관계자는 이번 사고와 관련해 "애플리케이션을 삭제하고 새로 설치하는 것이 원천적인 대처법"이라고 밝혔다. 기존 유출 서명 키가 적용된 앱의 경우 단순 업데이트만으로는 서명 키를 바꿀 수 없다는 것이 에버스핀 측의 설명이다. 또한 금융감독원, 금융보안원, 한국인터넷진흥원 등의 요청에 따라 서명 키로 제작된 악성 앱과 실제 탐지 리스트를 제공했다고 밝혔다.

그러면서 "해당 서명 키는 18개 애플리케이션에서도 동일하게 사용되기 때문에 악성 앱이 설치되지 않도록 각별한 주의가 필요하다"고 덧붙였다.

이와 함께 자회사 시큐차트가 개발한 무료 백신 앱 '캐치백신'을 통해 서명 키가 위조된 악성 앱 설치 여부를 확인할 수 있다고 설명했다. 캐치백신 앱은 구글 플레이스토어에서 내려받을 수 있다. 이밖에도 자사의 보이스피싱 방지 솔루션 '페이크파인더'가 탑재된 금융 앱을 실행해 악성 앱 설치 여부 확인이 가능하다고 덧붙였다.

한편, 보안 업계에서는 위조된 악성 앱으로 인한 피해를 예방하기 위해 △문자 메시지 등에 포함된 알 수 없는 인터넷 주소(URL) 클릭하지 않기 △출처를 알 수 없는 앱 설치하지 않기 △공인된 출처(구글 플레이스토어, 원스토어 등)에서 앱 설치하기 △백신 앱 설치 후 실시간 감시와 자동 업데이트 활성화하기 등을 권고하고 있다.