QR코드 이용 보편화... 이를 악용한 큐싱 피해 확산

2024-11-10     정혜

[디지털포스트(PC사랑)=정혜]

 

이제 QR코드를 통해 필요한 웹사이트에 접속하는 것은 일상이 되었다. 정부나 금융기관뿐만 아니라 초·중·고등학교에서도 안내문이나 교재를 다운로드하기 위해, 음식점에서도 메뉴를 선택할 때에도 QR코드를 통해 해당 사이트에 쉽고 편하게 접속할 수 있다. 

그러나 QR코드 사용이 일상에서 보편화되면서 예상치 못한 피해가 발생하며 문제가 되고 있다. 특히 요금 납부, 각종 안내문, 온라인 카드 현장 결제 등에서 사용하는 QR코드가 가짜 QR코드로 변조되어 신종 금융 사기 수법인 ‘큐싱(Qshing)’이 등장하고 있다. 큐싱은 QR코드와 피싱(Phishing)의 합성어로, 악성코드나 유해 사이트로 연결된 QR코드를 스캔할 때 발생하는 사기 수법을 말한다.

 

출처

 

​금융기관·공공기관 사칭한 QR코드 피해 발생

최근 금융 사기뿐 아니라 공공기관의 과장금 관련해서는 이러함 피해가 발생하고 있다. 이에 지난 8월 경기도 파주시는 시민들에게 ‘QR코드를 함부로 촬영 스캔하지 말라’고 주의를 당부했다. 

이는 도로변 주차 차량에 허위 주차위반 안내문이 부착된 사례가 다수 발견된 데 따른 조치이다. 해당 안내문은 실제 사용되는 안내문과 유사하게 노란색 바탕에 빨간 글씨로 표기되어 있었고, 납부를 요구하는 가짜 QR코드를 포함하고 있었다.이렇게 지방자치단체가 배포하는 안내문에 부착된 ‘QR코드’조차 위·변조되고 있는 상황이다.

 

출처

 

청소년 대상, 공유 자전거·킥보드 대여 QR코드 피해 속출

 

최근 큐싱을 포함한 국내 피싱 범죄가 증가하고 있다. 2020년 1,519건, 2021년 2,731건, 2022년 3,028건으로 꾸준히 늘어나는 추세이다. 특히 공유 자전거·킥보드 대여, 모바일 쿠폰 등 QR코드를 일상적으로 사용하는 청소년들이 주요 피해 대상이다.   

 

피해 유형은 스마트폰 카메라로 QR코드를 스캔하면 사용자가 악성 앱 설치를 유도당하는 방식이다. 앱이 설치되면 스마트폰 내 모든 개인 및 금융 정보가 탈취되는 수법이다. 또한 스마트폰을 원격 조종해 보이스피싱, 신체 불법 촬영 협박(몸캠 피싱) 등 다양한 피해가 발생하고 있다. 

미국· 영국 등에서도 QR코드 사기 빈번 발생

한편 이와 같은 QR코드 피해는 우리나라에서만 일어나는 일은 아니다. 지난 8월 파이낸셜타임즈(FT) 등 외신에 따르면 산탄데르(Santander)와 HSBC를 비롯한 은행과 영국 국가사이버보안센터(NCSC), 미국 연방거래위원회(FTC) 등이 큐싱에 대한 경고를 내렸다. 해외에서는 큐싱이 금융업계에서 가장 극성인 것으로 전해졌다. 파이낸셜타임즈는 미국과 영국 사이버 공격자가 QR코드에 악성 사이트를 연결해 개인정보·금융 데이터를 탈취하는 사례가 급증했다고 보도했다.

 

보안 소프트웨어 기업 맥아피(McAfee)의 지난 5월 설문 조사에 따르면, 영국 전체 온라인 사기 중 5분의 1 이상이 QR코드에서 발생했다. 액션 프러드(Action Fraud) 보고서에 따르면 올해 8월 기준 영국 내 QR코드 피해 사례 보고는 전년 동기 대비 두 배 이상 증가했다.

 

파이낸셜타임즈는 "코로나19 기간 동안 비대면 결제가 일상화하면서 QR코드 활용이 늘었다"라며 "이와 맞물려 QR코드를 악용한 사기 수법이 교묘해진 것"이라고 분석했다. QR코드가 식당 메뉴 주문, 주차 요금 정산 등 결제 수단으로 자리 잡으면서, 이러한 친숙함이 오히려 사기범들에게 최적의 공격 기회가 된 것이다. 

글로벌 IT 전문 기업 ‘이반티(Ivanti)’가 美·英 등 6개국 소비자 4,157명을 대상으로 한 설문조사 결과, 응답자의 약 39%만이 악성 QR코드를 통한 잘못된 연결(앱, 링크 등) 여부를 식별할 수 있다고 답했다. 이는 정보통신에 익숙한 청소년 세대도 쉽게 속을 수 있어 주의가 요구되고 있다. 

 

 

큐싱 피해가 의심될 경우 즉각적인 조치가 필요 

 

문제는 휴대전화로 직접 QR코드를 촬영하기 전까지는 진위 여부를 시각적으로 판별하기 어렵다는 허점을 노린 큐싱 수법이다. 전문가들에 따르면 큐싱은 일반 피싱 수법과는 달리 즉시 피싱 페이지로 연결되는 특징이 있어 즉각적인 반응이 어렵다. 이에 따라 이용자 스스로 QR코드 인식에 경각심을 갖고, 출처가 불분명한 QR코드는 스캔하지 않도록 주의해야 한다고 강조한다.  

큐싱에 속아 악성 앱 설치가 의심될 경우, 즉시 스마트폰을 비행기 모드로 전환하여 통신을 차단한 후 모바일 백신으로 악성 앱을 삭제해야 한다. 또한, 경찰청 악성프로그램 탐지 앱인 '시티즈 코난'을 실행하면 '악성 보이스피싱 앱', '원격 제어 앱'을 실시간 탐지해 알림 및 제거기능을 제공하며, 신고도 할 수 있다.    

경찰청

 

사전 예방 안내와 홍보 외에도 충분한 예산과 전담 인력 확보 필요 

 

지난 10월 과방위 국정감사에서 공유킥보드 이용 시연을 통해 큐싱 사기 위험과 이에 대한 선제적 대응 필요성이 제기되었으며, 정부 차원의 적극적인 큐싱 예방 조치와 홍보가 촉구됐다. 

정부는 지난 10월 23일 최근 학생들의 QR코드 활용이 증가하면서, 이를 악용한 큐싱 피해에 대해 각별한 주의를 당부하였고, 과학기술정보통신부는 기존의 정보보호, 소프트웨어, AI 분야 인재 양성 사업과 연계해 중·고교 학생들을 대상으로 큐싱 예방 교육자료 배포 및 대면 교육을 실시하도록 했다.

 

교육부도 전국 시·도 교육청을 통해 관내 학교를 대상으로 ‘큐싱 주의 안내문’을 발송, 학생·학부모·교사에게 관련 사항을 전파하고 있으며 여성가족부도 전국 1,000여 개 청소년 수련시설과 청소년 복지시설·지원 센터 등에 방문하는 청소년들을 대상으로 홍보 활동 전개하고 있다. 

 

그러나 큐싱 피해를 예방하려면 정부 차원에서 사전 예방 안내와 교육을 강화하는 것뿐 아니라, 충분한 예산과 전담 인력 확보 등 실질적인 지원이 필요한 시점이다. 

<이 기사는 digitalpeep님의 네이버 블로그에도 실렸습니다.>