전체메뉴

[애플경제 김향자 기자] 간편결제 과정에서 앱 개발자의 인감도장에 비유되는 앱 서명키(앱 개발자임을 증명할 수 있는 인증 수단)가 지난해 유출되어 충격을 준 바 있다. 그러나 당시 해당 업체인 페이코가 제때에 이를 밝히지 않는 등 대응책이 미흡했다는 지적을 받았다. 이에 국회에선 이를 방지하기 위한 금융회사 및 전자금융업자의 책임을 강화한 법률안이 제출되어 입법예고 중이다.

양정숙 의원 등 10인은 이같은 내용을 골자로 제출한 ‘전자금융거래법 일부개정법률안’은 제출했으며, 동 법안은 8일 입법예고와 함께 소관상임위원회인 정무위원회에서 심의 중이다.

“현행법, 침해사고 예방조치 의무 규정없어”

양 의원 등은 입법 제안 취지를 통해 “현행법상 전자결제 앱 서명키가 유출되는 경우가 전자적 침해행위에 포함되는지 명확하지 않다”면서 “그렇다보니 침해사고 발생의 우려가 있어도 별도의 ‘침해사고 예방조치 의무 규정’이 없어, 피해 예방을 위한 제도적 장치가 미흡하다는 지적이 제기되고 있다”고 밝혔다.

양 의원 등은 “이에 ‘전자적 침해행위’에 앱 서명키 유출 행위가 포함되도록 하고, 금융회사 및 전자금융업자가 전자적 침해행위를 발견하면 침해사고 방지를 위한 사전조치를 하도록 의무화함으로써 침해사고 및 소비자 피해 예방을 위한 제도적 장치를 마련해야 한다”고 강조했다. 이에 따라 동 법률안 제21조의4 제1항 중 일부 용어를 바꾸고, 제21조의5 제1항의 일부 용어도 바꾸는 한편, 제3항을 신설하는 내용의 개정안을 제출했다.

페이코 측 뒤늦게 공개, ‘늑장 대응’ 비판

지난해 국내 3대 전자결제업체 중 하나인 페이코는 사전에 서명키 유출과 악성 앱의 존재를 알고 있었지만, 4개월 동안이나 이를 숨겼다는 지적을 받았다. 언론에 이 사실이 보도되고 나서야 뒤늦게 대응책을 내놓았고, 금융감독원도 그 무렵에야 비로소 사태를 파악한 것으로 전해졌다.

당시 페이코는 “외부에 알리지 않았을 뿐 사건이 발생하자마자 서명키 변경 작업을 진행해왔다”고 해명했고, 드러난 피해자도 없던 걸로 알려졌다. 그럼에도 이 사건은 전자결제 앱 서명키 보안의 중요성을 일깨우는 계기가 되었다. 당시 금융감독원은 “페이코에 대한 현장 점검 결과, 서명키가 새어나간 원인과 소비자 피해 규모를 조사할 계획”이라며 “만약 페이코의 과실이 확인된다면 정식 검사에 들어갈 것”이라고 예고했다.

당시 이 사건은 구글 플레이 계정의 유출, 또는 관리자 컴퓨터 해킹이나, 관리자의 부주의 등이 원인으로 추정되었다. 그럼에도 해당 업체가 4개월 간이나 사용자들에게 공개하지 않은데 대해 강력한 법적 제재나 책임을 부과하지 못했다. 이를 명시한 법적, 제도적 장치가 미흡하다는 지적이 당시에도 이어졌다.

실제로 현행법은 금융회사 및 전자금융업자가 만약 해킹이나, 컴퓨터 바이러스 공격 등을 당했을 경우, ‘금융위원회에 지체 없이 통지하고, 피해 확산 방지를 위한 사후조치’를 취하도록 의무를 부과하는 정도에 그치고 있다.

그로 인해 “간편결제서비스를 제공하는 전자금융업자의 앱 서명키가 유출되어 유사 악성앱이 유포될 수 있는 위험과 그로 인한 소비자 피해가 생길 우려가 발생하였다”는게 양 의원 등의 지적이다.

개정안, ‘침해행위’ 구체화, ‘사전 예방조치 의무’ 등

양 의원 등에 의하면 8일부터 정무위원회에서 심의 중인 해당 개정안은 기존 법률의 일부를 개정하기로 했다.

우선 현행법 제21조의4제1호 중 ‘데이터’의 개념을 크게 넓혔다. 즉, 이를 ‘데이터(해당 전자금융기반시설의 인증 수단을 포함한다)’로 바꿈으로써 서명키와 같은 인증키에 대한 관리․감독 의무를 명시했다.

또 제21조의5제1항 중 ‘침해행위’를 ‘침해행위(제21조의4 각 호의 어느 하나에 해당하는 행위를 포함한다. 이하 이 조에서 같다)’로 바꿔 좀더 구체화하고, ‘교란ㆍ마비되는’이란 표현을 ‘교란ㆍ마비되거나 이용자가 피해를 입는’으로 바꿈으로써 사용자의 피해 우려를 직설적으로 반영했다.

개정안은 또 제21조에 별도의 제3항을 신설했다. 신설된 제3항은 ‘금융회사 및 전자금융업자는 전자적 침해행위를 발견한 때에는 그 전자적 침해행위로 인한 침해사고의 발생을 방지하기 위하여 필요한 조치를 하여야 한다.’고 함으로써 좀더 명확한 사전․사후 책임과 의무를 부여한 것이다.

“개발자 인감도장과 같은 서명키 보안 매우 중요”

본래 앱 서명키는 특정 개발자 혹은 개발사의 앱이라는 사실을 증명하는 인감도장과 같은 장치다. 당시 유출된 구글 서명키의 경우 개발자가 구글 플레이에 앱을 등록할 때 사용한다. 또 앱을 제작, 개발한 사람만이 이 서명키를 통해 앱을 업데이트할 수 있는 만큼, 필수적인 검증장치인 셈이다.

이처럼 중요한 서명키가 유출됨으로써 생겨난 악성 앱이 무려 5천 건이 넘는 것으로 알려지기도 했다. 이들 악성 앱은 페이코의 정식 앱인 것처럼 이용자를 속일 수도 있어 큰 피해가 우려된다는게 전문가들의 경고다.

페이코의 개발자 서명키로 인증한 앱은 모바일 기기에서 페이코가 만든 앱으로 인식된다는제 문제다. 악성 앱이 서명키를 악용해 다른 보안 앱의 검사를 피해, 사용자의 개인정보를 빼내고, 주변 지인들에게까지 피싱 문자를 보내거나, 휴대폰 파일에 접속해 원격조종하면서 온갖 정보를 빼내갈 수도 있다.

페이코는 카카오페이, 삼성페이 등과 함께 국내에서 가장 많이 사용되는 간편결제 앱 중 하나다. 그런 만큼 이번 서명키 유출 사건의 파장 클 수 밖에 없었다. 일각에선 “구글 플레이에서 1천만 회 이상 다운로드된 앱인 만큼, 거대 금융 앱이 해킹당한 수준의 대형 사건이나 다름없다”는 우려도 나오고 있다. 그래서 이번 개정안이 이같은 사태를 예방하는 유용한 장치가 될지 관심이 모아지고 있다.