QR코드의 두 얼굴...편리함 뒤에 숨은 '큐싱' 위협[The SIGNAL]

[한스경제=전시현 기자] 스마트폰만 있으면 손쉽게 정보를 얻고 결제까지 가능한 QR코드가 개인정보 탈취의 새로운 수단으로 떠올랐다. 특히 공유 모빌리티와 해외여행 결제 과정에서 QR코드를 악용한 '큐싱(Qshing)' 사기가 급증하면서 디지털 편의성의 이면에 숨은 보안 위협이 도마 위에 올랐다. 사이버 보안 전문가들은 이러한 위협이 앞으로 더욱 심각해질 것이라고 경고하고 있다.

◆ 비접촉 시대의 그림자, 하루 수천 건 발생하는 큐싱 피해

큐싱은 QR코드와 피싱(Phishing)의 합성어로, 악성코드나 유해 웹사이트로 연결되는 QR코드를 통해 사용자의 개인정보와 금융정보를 탈취하는 수법이다.

17일 사이버보안 전문가들에 따르면, 큐싱 공격은 전통적인 피싱 공격보다 성공률이 높은 것으로 나타났다. 일반 사용자들이 QR코드 자체를 신뢰하는 경향이 있고, 코드 스캔 시 연결되는 URL을 제대로 확인하지 않는 경우가 대부분이기 때문이다.

국내 주요 사이버 범죄 대응팀의 분석에 따르면, 큐싱 공격자들은 주로 20~30대 젊은 층이면서 디지털 기기 사용에 익숙하고 새로운 서비스를 적극적으로 수용하는 이들을 목표로 한다.

◆ 스마트폰이 순식간에 악성앱 침투 통로로... 다양한 큐싱 피해 사례

QR코드를 통한 악성앱 설치 사례는 매우 다양하고 교묘하게 진화하고 있다. 국내 소비자 A씨는 서울 중심가 맛집을 찾던 중 테이블에 붙어있던 메뉴 주문용 QR코드를 스캔했다가 피해를 입었다. 그 QR코드는 원래 존재하던 메 뉴판 코드 위에 범죄자가 덧붙인 가짜였다. A씨가 QR코드를 스캔하자 "더 나은 주문 경험을 위해 앱 설치가 필요합니다"라는 메시지와 함께 앱 설치 페이지로 연결됐고, 이를 통해 설치된 앱은 A씨의 뱅킹 정보와 개인정보를 탈취했다.

또 다른 사례로, 대학생 B씨는 캠퍼스 내 게시판에 붙은 학생 동아리 홍보 포스터의 QR코드를 스캔했다. "동아리 활동 사진을 확인하세요"라는 문구와 함께 있던 이 QR코드는 실제로는 악성 파일을 다운로드하는 웹사이트로 연결됐고, B씨의 스마트폰에 키로깅(키보드 입력을 기록하는) 악성코드가 설치됐다.

기업 환경에서도 피해 사례가 속출하고 있다. C기업의 직원들은 인사팀에서 온 것처럼 위장된 이메일을 받았다. 메일에는 "연말 성과급 지급 계획을 확인하려면 QR코드를 스캔하세요"라는 내용과 함께 QR코드가 포함돼 있었다. 이를 스캔한 직원들의 기기에는 기업 내부 네트워크 접근 권한을 탈취하는 악성 소프트웨어가 설치됐다.

지방 거주 노인 D씨는 우편함에 배달된 "코로나19 추가 접종 안내"라는 공문에 포함된 QR코드를 스캔했다가 피해를 입었다. 최근에는 공유 전동킥보드 이용자인 E씨가 평소처럼 킥보드에 부착된 가짜 QR코드를 스캔했다가 계정이 해킹당했다. 

일부 피해자는 1000만원 이상의 금전적 피해를 입었으며, 탈취된 개인정보가 2차 범죄에 활용되는 사례도 증가하고 있다. 특히 젊은 층을 중심으로 한 디지털 자산 탈취 시도가 늘어나면서, 가상화폐 지갑 접근권한을 노리는 큐싱 공격도 새롭게 등장했다.

◆ 해외여행객 노리는 국경 없는 QR 범죄

큐싱 사기는 국내를 넘어 글로벌 위협으로 확대되고 있다. 특히 QR코드 결제가 보편화된 동남아시아 여행지에서 피해가 급증하고 있다. 국제신용결제 기업 비자의 조사에 따르면, 동남아 지역의 식당, 편의점, 슈퍼마켓 등에서 QR 결제가 주된 결제 수단으로 자리 잡았다.

현지 언어에 익숙하지 않은 관광객들이 QR코드의 진위를 판별하기 어려운 점을 노린 사기가 기승을 부리고 있다. 보안 서비스 기업 익스프레스VPN은 "베트남, 태국, 필리핀 등 동남아 여행지에서 젊은층 여행객을 대상으로 하는 큐싱 범죄가 늘어나고 있다"고 경고했다.

특히 현지 음식점이나 관광지에서 메뉴판이나 안내문에 부착된 QR코드를 통해 악성 앱 설치를 유도하거나, 가짜 결제 페이지로 연결해 카드 정보를 탈취하는 수법이 빈번하게 발생하고 있다. 최근에는 공항이나 기차역과 같은 교통 시설의 무료 와이파이 접속용 QR코드를 위조하는 사례도 보고되고 있다.

◆ 우편물부터 이메일까지... 전방위로 확산되는 QR 코드 위협

지난해 11월 스위스 국가 사이버 보안 센터(NCSC)는 "AlertSwiss"라는 이름의 가짜 기상앱 설치를 유도하는 QR 코드 우편물이 유럽·미국·아시아에 대량 배포된 사실을 경고했다.

보안·위협 사이트 멀웨어닷뉴스는 “사이버 범죄자들이 스위스 국립 기상청 메테오스위스(MeteoSwiss)를 사칭해 악성 QR코드가 포함된 우편물을 발송했다. 이들은 'AlertSwiss'라는 가짜 기상앱 설치를 유도하는 QR코드를 우편물에 삽입했고, 이를 통해 사용자들의 개인정보를 탈취했다”고 보도했다.

이메일을 통한 공격도 최근 크게 증가했다. 지난 3일 사이버보안 기업인 몰웨어바이츠가 공개한 보고서에 따르면, 이메일 첨부파일에 포함된 QR 코드를 스캔하면 피싱 사이트로 즉시 연결되는 공격이 크게 늘었다. 공격자는 카메라 앱으로 스캔만 하면 바로 로그인 페이지로 이동하는 QR 코드를 문서나 이미지에 숨겨, 스팸 필터를 우회해 다수의 기업·기관을 노렸다.

◆ 디지털 보안의 새로운 과제, 예방과 대응책 마련 시급

사이버보안 전문가들은 'QR코드 스캔 전 3초 멈춤 룰'을 강조한다. QR코드의 출처를 확인하고, 연결되는 URL을 미리 점검하며, 스마트폰의 보안을 강화하는 등 기본적인 예방 수칙을 준수해야 한다. 의심스러운 QR코드를 스캔한 후에는 즉시 스마트폰을 비행기 모드로 전환하고, 모바일 백신으로 악성앱을 삭제하는 등의 신속한 조치가 필요하다.

전덕조 씨큐비스타 대표는 "큐싱 공격은 사용자의 모바일 중심 인증 환경과 비접촉 트렌드를 노리는 사회공학 기법"이라며 "QR코드 스캔 전 출처 확인과 URL 미리보기는 필수"라고 강조했다. 이어 “QR로 유입된 사이트에 개인정보 및 인증 요구 시 피싱이 의심되므로 즉시 중단해야 한다”고 덧붙였다.

업계 전문가들은 “디지털 편의성 이면에 숨은 보안 위협에 대한 경각심과 함께, 안전한 QR코드 사용을 위한 사회적 인식 제고가 어느 때보다 절실한 시점”이라고 입을 모았다.

큐싱이 의심되는 QR코드를 발견하였거나, 악성 앱 감염 등이 의심되는 경우 '사기전화지킴이(경찰청·금융감독원)'에 신고하거나, 국번없이 118 상담센터 (KISA)에 연락하면 24시간 무료로 상담받을 수 있다.