카메라 앱 실행만으로 낚일 수 있는 ‘큐싱’ 수법, 2024년 주요 보안 위협 전망
QR코드 사용 빈도 높은 20·30대 젊은 층이 주요 타깃
로그인 환경 변화 악용해 피싱 페이지 유도 후 리다이렉트 공격
[보안뉴스 이소미 기자] 로그인도 결제도 모두 간편해졌다. 스마트폰의 일상화로 생활이 간편화된 만큼 시간도 단축할 수 있게 됐다. 더욱이 코로나19 이후 디지털 대전환이 가속화되면서 이제 정사각형의 ‘QR코드’를 통한 카메라 앱 실행만으로도 로그인이나 결제 등이 가능해졌다. 다만, 해커도 이러한 편의성을 쉽게 악용할 수 있다는 점에서 2024년 주요 보안위협 전망으로 ‘큐싱(Qshing)’이 꼽히고 있다.
[이미지=gettyimagesbank]
이러한 ‘QR코드’를 악용해 기존의 피싱·스미싱 수법에 녹여낸 이른바 ‘큐싱’은 최근 20~30대의 젊은 층을 타깃 삼아 다시금 활성화될 것이라는 전망이다. 아무래도 정보에 발빠른 젊은 세대는 기존 피싱 수법으로는 성공률이 다소 떨어질 수 있지만 큐싱은 피싱 페이지로 바로 이동돼 즉각적인 방어가 어렵다는 측면에서 피싱 성공률이 높을 수 있다는 게 보안업계 관계자의 설명이다.
정사각형의 ‘QR코드’는 ‘Quick Response(빠른 응답)’의 약자로 URL 접속은 물론 사진·동영상·지도 등 각종 정보 열람이 가능해 기업의 중요한 홍보·마케팅 수단으로 활발히 활용되고 있다. 최근에는 검색 포털이나 금융·게임 등의 다양한 플랫폼에서 로그인·결제·추가인증 수단으로 활용되고 있어 사이버 위협에 보다 광범위하게 노출되고 있다.
사실 ‘큐싱’은 예전부터 존재했던 공격 기법이다. 공격 기법이 단순해 고도화된 개념이라기보다는 기존 피싱·스미싱에 추가로 악용될 가능성이 높은 공격 방식이다. 기존에는 주로 불법 QR코드를 악용해 사용자에게 악성 앱 설치를 유도한 뒤 보안카드 등의 개인정보를 빼내는 금융 탈취용으로 악용됐다. 최근에는 각종 플랫폼의 환경 변화로 로그인·추가인증 수단 등 다양한 용도로 활용돼 온·오프라인 환경에서 ‘큐싱’을 주의해야 하는 상황이다. 따라서 큐싱을 악용한 피싱 수단이 보다 다양화될 수 있다는 것을 의미한다.
최근 사례로 Microsoft 365 로그인 피싱 페이지 계정 및 멀티팩터 인증(MFA : Multi-factor Authentication) 탈취에 ‘큐싱’이 활용됐다. 멀티팩터 인증은 아이디·패스워드 외에 다른 추가 수단을 인증하는 것으로 해당 사례는 이러한 인증 수단까지 모두 탈취하는 피싱 수법이다. 이는 공격자가 악성 URL이 심긴 QR코드를 생성해 사용자 스캔 시 미리 제작해 둔 피싱 페이지로 자동 연결되는 ‘리다이렉트(Redirect)’를 진행한다. 여기서 가짜 ‘Microsoft 365 로그인 피싱 페이지’로 연결되면 사용자 계정과 멀티팩터 인증 코드 입력을 유도해 정보를 탈취하는 수법으로 피해를 입히게 된다.
이렇게 공격자가 제작한 불법 QR 코드 외에도 공식 QR코드를 활용한 ‘큐싱’ 사례도 있다. 공식 QR코드 위에 ‘가짜 QR코드 스티커’를 붙여 사용자를 감쪽같이 속이는 경우도 있다. 해외에서는 주차위반통지서 및 공공자전거 대여를 위장한 큐싱이 발견되기도 했다.
이러한 ‘큐싱’을 예방하기 위해 먼저 공공시설 등 ‘신뢰할 수 없는 장소’에서의 QR코드 사용은 유의해야 한다. QR코드의 경우 카메라 앱으로 연결 시 특정 URL로 이동되는 경우 URL 정보가 제시된다. 이때 URL 주소를 세심하게 확인해 본래 접속하려던 URL 주소와 일치한 지 반드시 확인해야 한다. 또한 악성코드 감염이나 악성 앱 설치 여부를 확인할 수 있는 백신 프로그램 설치 및 최신 버전 업데이트·유지가 중요하다.
이와 관련 SK쉴더스 이호석 EQST 담당은 “큐싱도 결국 메일을 통해 오는 경우가 많은데, 휴대폰 카메라로 찍기만 해도 당하는 공격이기 때문에, 신뢰되지 않은 출처에서 온 메일을 주의하고 이를 방지하기 위한 큐싱 방지 솔루션 설치 등이 도움이 될 것”이라면서, “피싱이 점점 다양한 플랫폼에서 고도화되고 교묘하게 진행되는 만큼 사용자들의 주의가 더 요구되고 있다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]
QR코드 사용 빈도 높은 20·30대 젊은 층이 주요 타깃
로그인 환경 변화 악용해 피싱 페이지 유도 후 리다이렉트 공격
[보안뉴스 이소미 기자] 로그인도 결제도 모두 간편해졌다. 스마트폰의 일상화로 생활이 간편화된 만큼 시간도 단축할 수 있게 됐다. 더욱이 코로나19 이후 디지털 대전환이 가속화되면서 이제 정사각형의 ‘QR코드’를 통한 카메라 앱 실행만으로도 로그인이나 결제 등이 가능해졌다. 다만, 해커도 이러한 편의성을 쉽게 악용할 수 있다는 점에서 2024년 주요 보안위협 전망으로 ‘큐싱(Qshing)’이 꼽히고 있다.
[이미지=gettyimagesbank]
이러한 ‘QR코드’를 악용해 기존의 피싱·스미싱 수법에 녹여낸 이른바 ‘큐싱’은 최근 20~30대의 젊은 층을 타깃 삼아 다시금 활성화될 것이라는 전망이다. 아무래도 정보에 발빠른 젊은 세대는 기존 피싱 수법으로는 성공률이 다소 떨어질 수 있지만 큐싱은 피싱 페이지로 바로 이동돼 즉각적인 방어가 어렵다는 측면에서 피싱 성공률이 높을 수 있다는 게 보안업계 관계자의 설명이다.
정사각형의 ‘QR코드’는 ‘Quick Response(빠른 응답)’의 약자로 URL 접속은 물론 사진·동영상·지도 등 각종 정보 열람이 가능해 기업의 중요한 홍보·마케팅 수단으로 활발히 활용되고 있다. 최근에는 검색 포털이나 금융·게임 등의 다양한 플랫폼에서 로그인·결제·추가인증 수단으로 활용되고 있어 사이버 위협에 보다 광범위하게 노출되고 있다.
사실 ‘큐싱’은 예전부터 존재했던 공격 기법이다. 공격 기법이 단순해 고도화된 개념이라기보다는 기존 피싱·스미싱에 추가로 악용될 가능성이 높은 공격 방식이다. 기존에는 주로 불법 QR코드를 악용해 사용자에게 악성 앱 설치를 유도한 뒤 보안카드 등의 개인정보를 빼내는 금융 탈취용으로 악용됐다. 최근에는 각종 플랫폼의 환경 변화로 로그인·추가인증 수단 등 다양한 용도로 활용돼 온·오프라인 환경에서 ‘큐싱’을 주의해야 하는 상황이다. 따라서 큐싱을 악용한 피싱 수단이 보다 다양화될 수 있다는 것을 의미한다.
최근 사례로 Microsoft 365 로그인 피싱 페이지 계정 및 멀티팩터 인증(MFA : Multi-factor Authentication) 탈취에 ‘큐싱’이 활용됐다. 멀티팩터 인증은 아이디·패스워드 외에 다른 추가 수단을 인증하는 것으로 해당 사례는 이러한 인증 수단까지 모두 탈취하는 피싱 수법이다. 이는 공격자가 악성 URL이 심긴 QR코드를 생성해 사용자 스캔 시 미리 제작해 둔 피싱 페이지로 자동 연결되는 ‘리다이렉트(Redirect)’를 진행한다. 여기서 가짜 ‘Microsoft 365 로그인 피싱 페이지’로 연결되면 사용자 계정과 멀티팩터 인증 코드 입력을 유도해 정보를 탈취하는 수법으로 피해를 입히게 된다.
이렇게 공격자가 제작한 불법 QR 코드 외에도 공식 QR코드를 활용한 ‘큐싱’ 사례도 있다. 공식 QR코드 위에 ‘가짜 QR코드 스티커’를 붙여 사용자를 감쪽같이 속이는 경우도 있다. 해외에서는 주차위반통지서 및 공공자전거 대여를 위장한 큐싱이 발견되기도 했다.
이러한 ‘큐싱’을 예방하기 위해 먼저 공공시설 등 ‘신뢰할 수 없는 장소’에서의 QR코드 사용은 유의해야 한다. QR코드의 경우 카메라 앱으로 연결 시 특정 URL로 이동되는 경우 URL 정보가 제시된다. 이때 URL 주소를 세심하게 확인해 본래 접속하려던 URL 주소와 일치한 지 반드시 확인해야 한다. 또한 악성코드 감염이나 악성 앱 설치 여부를 확인할 수 있는 백신 프로그램 설치 및 최신 버전 업데이트·유지가 중요하다.
이와 관련 SK쉴더스 이호석 EQST 담당은 “큐싱도 결국 메일을 통해 오는 경우가 많은데, 휴대폰 카메라로 찍기만 해도 당하는 공격이기 때문에, 신뢰되지 않은 출처에서 온 메일을 주의하고 이를 방지하기 위한 큐싱 방지 솔루션 설치 등이 도움이 될 것”이라면서, “피싱이 점점 다양한 플랫폼에서 고도화되고 교묘하게 진행되는 만큼 사용자들의 주의가 더 요구되고 있다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
