3줄 요약
1. QR코드를 악용한 큐싱(QR코드+피싱) 범죄 급증
2. 임금 수령 통지서, 무료 쿠폰 앱 등 사칭해 QR코드 스캔 유도...악성 앱 설치 및 개인정보 탈취
3. QR코드 스캔 시 출처 확인, 악성 앱 설치 차단, 의심 사이트 접속 자제 등 필수
[보안뉴스 박은주 기자] QR코드가 일상에 깊숙이 자리 잡으면서 이를 악용한 사이버 범죄 ‘큐싱(Qshing)’이 급증하고 있다. 큐싱은 QR코드(Quick Response Code)와 피싱(Phishing)의 합성어로, QR코드를 스캔해 악성 앱 설치, 피싱 사이트 접속 등을 유도하는 신종 사기 수법이다. 최근에는 공공장소에 부착된 QR코드를 교묘히 위장하거나 이메일과 문자메시지를 통해 QR코드로 위장한 피싱이 자주 발생하고 있다.
[이미지=보안뉴스]
큐싱, 스캔 한 번에 정보와 자산이 줄줄 샌다
QR코드의 간편함에 익숙해진 사용자는 스캔 전 출처를 확인하지 않거나 의심 없이 사이트에 접속하는 경우가 많아 피해가 속출하고 있다. 특히, QR코드는 URL이 코드화되어 있어 눈으로는 정상 여부를 즉시 판별하기 어렵다. 더불어 사용자가 피싱 사이트에 쉽게 접속하도록 만들고, 민감한 개인정보 탈취 및 금융 피해로 이어질 수 있는 위험성을 가지고 있다.
▲(왼쪽부터) 임금 수령 통지서로 위장한 큐싱 메일, 악성 앱 홍보용 QR코드 예시[이미지=ASEC, 보안뉴스]
큐싱 범죄 사례...무료 쿠폰·상품권이나 임금 수령 통지서로 위장
큐싱 범죄는 이미 현실에서 다양한 형태로 나타나고 있다. 2024년 1월, 임금 수령 통지서로 위장한 큐싱 메일이 발견됐다. 보안업체 안랩에서 발견한 해당 메일은 수신자에게 QR코드를 스캔하도록 유도했으며, 스캔 시 모바일 전용 피싱 페이지로 리다이렉트돼 개인정보 입력을 요구했다. 이후 사용자가 계정정보를 입력하면 공격자는 이를 통해 금융정보를 탈취해 계좌에서 돈을 빼가는 방식이다.
또 다른 사례로는 한국인터넷진흥원(KISA)에서 주의를 당부한 무료 쿠폰 앱 및 사은행사 사칭 큐싱 공격이다. 이 경우 사용자는 스미싱 문자를 통해 무료 쿠폰을 제공한다는 QR코드를 받았다. QR코드를 스캔하면 악성 앱이 설치된다. 이 앱은 피해자의 주소록을 탈취하고, 같은 QR코드가 포함된 악성 메시지를 자동으로 재유포했다. 피해자의 기기 정보와 금융정보가 유출돼 2차 피해까지 이어지는 심각한 사례도 있었다.
이와 같은 큐싱 공격은 단순한 QR코드 스캔에서 시작되지만, 피해 규모는 상당하다. 악성 앱 설치, 개인정보 유출, 계좌 정보 탈취 등 큐싱은 사용자의 일상과 직접적으로 연결된 치명적인 위협으로 자리 잡고 있다.
큐싱 피해 예방법은?
큐싱 범죄를 예방하기 위해 사용자가 취할 수 있는 조치에는 무엇이 있을까? 무엇보다 QR코드 스캔 시 출처를 철저히 확인하는 습관이 필요하다. 다음은 KISA에서 발표한 큐싱 피해 예방 수칙을 기반으로 한 주요 예방법이다.
1. 출처가 불분명한 QR코드는 절대 스캔하지 않는다
공공장소에 부착된 QR코드는 추가 스티커가 덧붙여져 있을 가능성이 있다. QR코드 위에 다른 코드가 덧붙여진 경우 위조된 코드일 확률이 높다. 스캔 전 QR코드 상태를 꼼꼼히 확인해야 한다.
2. 이메일이나 문자로 받은 QR코드는 신뢰할 수 없는 경우 스캔하지 않는다
정상적인 기관이나 기업은 이메일이나 문자로 QR코드 인증을 요구하지 않는다. 만약 QR코드 인증을 요구하는 메일을 받았다면 발신자를 재차 확인하고, 의심된다면 해당 기관에 직접 문의하는 것이 바람직하다.
3. QR코드 스캔 시 연결된 URL을 확인한다
QR코드를 스캔하면 바로 사이트에 접속하지 않고, URL을 확인한 후 접속 여부를 결정하는 것이 중요하다. URL이 정상적인지 확인하고, 만약 의심스러운 경우 즉시 QR코드 스캔을 중단해야 한다.
4. 개인정보 및 금융정보 입력은 신중하게 한다
QR코드를 통해 접속한 사이트에서 주민등록번호, 계좌번호, 비밀번호 등 민감한 정보를 요구하는 경우 즉시 접속을 종료해야 한다. 신뢰할 수 있는 웹사이트에서만 정보를 입력하는 것이 안전하다.
5. 악성 앱 설치를 방지하기 위해 모바일 백신 및 스미싱 탐지 앱을 설치한다
스마트폰에 최신 버전의 모바일 백신을 설치하고 주기적으로 검사하는 것이 중요하다. 스미싱 탐지 앱을 설치해 QR코드 스캔 시 위험 여부를 사전에 탐지하는 것도 효과적인 방법이다.
한편, 큐싱 범죄 예방을 위해 기업과 기관도 적극적인 대응에 나서고 있다. 통신사 KT는 2024년 ‘안심 QR 서비스’를 출시했다. 사용자가 QR코드를 스캔하면 해당 코드가 악성 앱 설치 URL이나 피싱 사이트로 연결되는지를 탐지하고, 위험이 감지될 경우 즉시 경고문구를 노출하는 방식이다. 안심 QR 서비스는 KT의 ‘마이케이티’ 앱에서 로그인 없이 누구나 무료로 이용할 수 있다.
또한, KISA는 카카오톡 ‘보호나라’ 채널을 통해 ‘큐싱 확인 서비스’를 개시할 예정이다. 이 서비스는 사용자가 QR코드를 스캔하면 해당 코드가 연결하는 URL의 정상 여부를 판별하는 기능을 제공한다. 이는 기존의 스미싱 확인 서비스와 유사한 방식으로, 사용자가 더욱 안전하게 QR코드를 활용할 수 있도록 돕는다.
큐싱 범죄는 기술 발전에 따라 더욱 정교해지고 있지만, 사용자의 인식 강화와 예방 조치로 충분히 피해를 막을 수 있다. QR코드 스캔이 일상이 된 시대, 보안 수칙 준수와 예방 서비스 활용은 더 이상 선택이 아닌 필수 사항이 됐다.
[박은주 기자(boan5@boannews.com)]
1. QR코드를 악용한 큐싱(QR코드+피싱) 범죄 급증
2. 임금 수령 통지서, 무료 쿠폰 앱 등 사칭해 QR코드 스캔 유도...악성 앱 설치 및 개인정보 탈취
3. QR코드 스캔 시 출처 확인, 악성 앱 설치 차단, 의심 사이트 접속 자제 등 필수
[보안뉴스 박은주 기자] QR코드가 일상에 깊숙이 자리 잡으면서 이를 악용한 사이버 범죄 ‘큐싱(Qshing)’이 급증하고 있다. 큐싱은 QR코드(Quick Response Code)와 피싱(Phishing)의 합성어로, QR코드를 스캔해 악성 앱 설치, 피싱 사이트 접속 등을 유도하는 신종 사기 수법이다. 최근에는 공공장소에 부착된 QR코드를 교묘히 위장하거나 이메일과 문자메시지를 통해 QR코드로 위장한 피싱이 자주 발생하고 있다.
[이미지=보안뉴스]
큐싱, 스캔 한 번에 정보와 자산이 줄줄 샌다
QR코드의 간편함에 익숙해진 사용자는 스캔 전 출처를 확인하지 않거나 의심 없이 사이트에 접속하는 경우가 많아 피해가 속출하고 있다. 특히, QR코드는 URL이 코드화되어 있어 눈으로는 정상 여부를 즉시 판별하기 어렵다. 더불어 사용자가 피싱 사이트에 쉽게 접속하도록 만들고, 민감한 개인정보 탈취 및 금융 피해로 이어질 수 있는 위험성을 가지고 있다.
▲(왼쪽부터) 임금 수령 통지서로 위장한 큐싱 메일, 악성 앱 홍보용 QR코드 예시[이미지=ASEC, 보안뉴스]
큐싱 범죄 사례...무료 쿠폰·상품권이나 임금 수령 통지서로 위장
큐싱 범죄는 이미 현실에서 다양한 형태로 나타나고 있다. 2024년 1월, 임금 수령 통지서로 위장한 큐싱 메일이 발견됐다. 보안업체 안랩에서 발견한 해당 메일은 수신자에게 QR코드를 스캔하도록 유도했으며, 스캔 시 모바일 전용 피싱 페이지로 리다이렉트돼 개인정보 입력을 요구했다. 이후 사용자가 계정정보를 입력하면 공격자는 이를 통해 금융정보를 탈취해 계좌에서 돈을 빼가는 방식이다.
또 다른 사례로는 한국인터넷진흥원(KISA)에서 주의를 당부한 무료 쿠폰 앱 및 사은행사 사칭 큐싱 공격이다. 이 경우 사용자는 스미싱 문자를 통해 무료 쿠폰을 제공한다는 QR코드를 받았다. QR코드를 스캔하면 악성 앱이 설치된다. 이 앱은 피해자의 주소록을 탈취하고, 같은 QR코드가 포함된 악성 메시지를 자동으로 재유포했다. 피해자의 기기 정보와 금융정보가 유출돼 2차 피해까지 이어지는 심각한 사례도 있었다.
이와 같은 큐싱 공격은 단순한 QR코드 스캔에서 시작되지만, 피해 규모는 상당하다. 악성 앱 설치, 개인정보 유출, 계좌 정보 탈취 등 큐싱은 사용자의 일상과 직접적으로 연결된 치명적인 위협으로 자리 잡고 있다.
큐싱 피해 예방법은?
큐싱 범죄를 예방하기 위해 사용자가 취할 수 있는 조치에는 무엇이 있을까? 무엇보다 QR코드 스캔 시 출처를 철저히 확인하는 습관이 필요하다. 다음은 KISA에서 발표한 큐싱 피해 예방 수칙을 기반으로 한 주요 예방법이다.
1. 출처가 불분명한 QR코드는 절대 스캔하지 않는다
공공장소에 부착된 QR코드는 추가 스티커가 덧붙여져 있을 가능성이 있다. QR코드 위에 다른 코드가 덧붙여진 경우 위조된 코드일 확률이 높다. 스캔 전 QR코드 상태를 꼼꼼히 확인해야 한다.
2. 이메일이나 문자로 받은 QR코드는 신뢰할 수 없는 경우 스캔하지 않는다
정상적인 기관이나 기업은 이메일이나 문자로 QR코드 인증을 요구하지 않는다. 만약 QR코드 인증을 요구하는 메일을 받았다면 발신자를 재차 확인하고, 의심된다면 해당 기관에 직접 문의하는 것이 바람직하다.
3. QR코드 스캔 시 연결된 URL을 확인한다
QR코드를 스캔하면 바로 사이트에 접속하지 않고, URL을 확인한 후 접속 여부를 결정하는 것이 중요하다. URL이 정상적인지 확인하고, 만약 의심스러운 경우 즉시 QR코드 스캔을 중단해야 한다.
4. 개인정보 및 금융정보 입력은 신중하게 한다
QR코드를 통해 접속한 사이트에서 주민등록번호, 계좌번호, 비밀번호 등 민감한 정보를 요구하는 경우 즉시 접속을 종료해야 한다. 신뢰할 수 있는 웹사이트에서만 정보를 입력하는 것이 안전하다.
5. 악성 앱 설치를 방지하기 위해 모바일 백신 및 스미싱 탐지 앱을 설치한다
스마트폰에 최신 버전의 모바일 백신을 설치하고 주기적으로 검사하는 것이 중요하다. 스미싱 탐지 앱을 설치해 QR코드 스캔 시 위험 여부를 사전에 탐지하는 것도 효과적인 방법이다.
한편, 큐싱 범죄 예방을 위해 기업과 기관도 적극적인 대응에 나서고 있다. 통신사 KT는 2024년 ‘안심 QR 서비스’를 출시했다. 사용자가 QR코드를 스캔하면 해당 코드가 악성 앱 설치 URL이나 피싱 사이트로 연결되는지를 탐지하고, 위험이 감지될 경우 즉시 경고문구를 노출하는 방식이다. 안심 QR 서비스는 KT의 ‘마이케이티’ 앱에서 로그인 없이 누구나 무료로 이용할 수 있다.
또한, KISA는 카카오톡 ‘보호나라’ 채널을 통해 ‘큐싱 확인 서비스’를 개시할 예정이다. 이 서비스는 사용자가 QR코드를 스캔하면 해당 코드가 연결하는 URL의 정상 여부를 판별하는 기능을 제공한다. 이는 기존의 스미싱 확인 서비스와 유사한 방식으로, 사용자가 더욱 안전하게 QR코드를 활용할 수 있도록 돕는다.
큐싱 범죄는 기술 발전에 따라 더욱 정교해지고 있지만, 사용자의 인식 강화와 예방 조치로 충분히 피해를 막을 수 있다. QR코드 스캔이 일상이 된 시대, 보안 수칙 준수와 예방 서비스 활용은 더 이상 선택이 아닌 필수 사항이 됐다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
