[IT동아 김예지 기자] 우리는 일상에서 수많은 ‘QR(Quick Response)’ 코드를 마주한다. 흑백 격자 무늬로 이뤄진 QR 코드는 이름처럼 사용자가 정보를 빠르게 인식하고 접근하도록 설계됐다. 일반 바코드보다 웹사이트 주소, 이미지 등 다양한 정보를 담을 수 있어 활용도가 매우 높다.

그러나 이렇게 편리한 QR 코드의 특성을 활용한 범죄도 함께 등장했다. 코로나 팬데믹 이후 QR 코드 사용이 보편화되면서 QR 코드를 활용한 ‘큐싱(Qshing)’ 범죄 사례가 급증한 것. 큐싱은 QR 코드와 피싱(Phishing)의 합성어로, QR 코드를 악용해 사용자의 개인 정보를 탈취하는 범죄를 의미한다. SK쉴더스에 따르면 지난 2023년 온라인 보안 공격 가운데 17%는 큐싱 방식으로 이뤄졌고, 이는 전년 대비 60% 늘어난 비중으로 분석됐다. 과기정통부는 지난해 주요 사이버 위협 사례로 사회적 이슈를 활용한 피싱이 증가했다고 분석했다.

큐싱 범죄, 위험한 이유는

해커가 악성 링크를 포함한 QR 코드를 생성해 배포하면 이를 스캔한 사용자의 스마트폰은 정상적인 웹사이트로 위장한 가짜 웹사이트에 연결된다. 해당 사이트는 사용자에게 악성 앱(APK) 설치를 유도하거나, 직접 개인정보를 입력하도록 만든다.

악성 앱이 설치되면 보안카드･전화번호･문자메시지 등 스마트폰에 저장된 개인정보가 유출될 수 있다. 나아가 해커는 스마트폰을 원격 조정해 금융정보를 탈취하고, 문자 수신 방해, 착신전환 서비스 설정 등 모바일 환경을 조작해 소액결제, 자금 이체 등 금전적 이득을 취할 수 있다.

큐싱은 간단한 촬영만으로 악성 링크로 연결되며, 이때 사용자는 연결될 사이트의 보안 상태를 확인할 방법이 없어 큰 피해로 이어질 수 있다. 특히 QR 코드에 숨겨진 URL이나 악성 코드를 육안으로 식별하기 어렵다는 점은 공격자들이 악용하는 주된 취약점이다. 해커들은 이러한 허점을 파고들어 침투하며, 사용자가 위협을 감지하는 시점은 대부분 이미 공격이 시작된 이후다.

일상에 스며든 큐싱 범죄 사례

큐싱은 예상보다 훨씬 가까운 곳에서 정보를 노리고 있다. 온라인에서는 주로 인터넷 허위 광고, 스팸 메일, SNS 등을 통해 가짜 QR 코드를 유포한다. 이때 ‘경품 당첨’ 등 자극적인 문구로 사용자를 현혹해 의심없이 QR 코드를 스캔하도록 만든다. 온라인 광고나 메일 본문에 QR 코드를 넣어 안전 거래에 필요한 앱인 것처럼 속여 설치를 유도한 사례도 확인됐다. 또한 가짜 금융 사이트에서 추가 인증을 핑계로 QR코드를 보여준 후 악성 프로그램이 설치되도록 유도하는 수법도 발생했다

최근 오프라인에서의 큐싱 범죄도 교묘하게 진화했다. 가장 흔한 방법은 공공장소에 부착된 합법 QR 코드 위에 가짜 QR 코드 스티커를 덧붙이는 방식이다. 예컨대 지난해 10월 과기정통부의 보도에 따르면, 공유 킥보드 및 자전거에 부착된 정상 QR 코드 위에 가짜 스티커를 덧붙인 유형이 확인됐다.

이외에도 고객 사은 이벤트로 위장한 홍보 전단지에 악성 QR을 넣거나, 주차된 차에 ‘불법 주차 경고장’ 딱지를 붙여놓고 QR코드를 통해 벌금을 납부하라고 요구하는 사기도 발생했다. 심지어 식당에서 결제나 메뉴 확인을 위한 QR 코드를 위조하는 사례도 나타났다. 이렇듯 큐싱 범죄는 일상 곳곳에서 발생할 수 있어 위험성이 크다.

의심스러운 QR 코드 주의보

스미싱·피싱에 대한 주의사항을 숙지하듯이 평소 QR 코드 사기 예방 수칙을 생활화할 필요가 있다. 특히 ‘클릭 전 확인’을 넘어 스캔 전 출처를 확인하고, 스캔 후 표시되는 URL까지 이중 확인하는 방안으로 인식 전환이 필요한 시점이다.

과기정통부와 한국인터넷진흥원(KISA), 경찰청, 금융감독원 등 관련 기관은 큐싱 피해 예방 정책을 공동 추진하고 있다. QR 코드 발급 및 관리에 대한 지침을 만들고, 큐싱 피해 사례 공유 및 예방 교육을 시행한다. 또한 QR 코드 스캐닝 앱 보안을 강화하고 그 수준을 평가하는 제도를 마련하고 있다. 더불어 큐싱 피해 신고 시스템을 구축해 피해자들의 신속 대처를 돕겠다고 밝혔다.

평소 출처가 불분명한 QR 코드는 스캔하지 않도록 주의한다. 모르는 사람이 보낸 이메일에 포함된 QR 코드도 마찬가지다. QR 코드를 스캔한 후에는 URL을 반드시 확인하고, 앱 설치나 개인정보 입력을 요구한다면 즉시 접속을 중단한다. 또한 모바일 전용 보안 앱, 문자 결제 사기 탐지 앱을 설치하고, 항상 최신 업데이트를 유지한다.

오프라인 환경에서도 늘 주의한다. 공공장소에 부착된 QR 코드는 덧붙여진 스티커가 아닌지 확인하는 게 좋다. 특히 공유 자전거, 공유 킥보드 등 누구나 쉽게 접근할 수 있는 이동수단을 이용 시 더욱 주의하자. 특히 큐싱은 중장년층이 주된 피해자인 보이스피싱과 달리 QR 코드 사용에 익숙한 청년층이 주요 피해 대상자라는 점에서 생활 속 주의 습관이 강조된다.

카카오톡 채널 보호나라로 큐싱 여부 확인하세요

KISA는 카카오톡 채널 ‘보호나라’를 통해 사용자가 의심스러운 QR 코드를 사전에 확인할 수 있도록 지원하고 있다. 별도 앱 설치 없이 카카오톡으로 즉시 큐싱 여부를 판단할 수 있기 때문에 유용하다.

카카오톡에서 ‘보호나라’를 검색해 친구 추가한 후, 하단 메뉴의 ‘큐싱’을 클릭한다. ‘QR 코드 스캔’을 클릭하면 실행되는 카메라를 통해 의심되는 QR 코드를 직접 촬영한다. QR 코드 촬영이 완료되면 ‘바코드(QR) 전송 완료’ 문구가 표시된다. 보호나라가 해당 QR을 분석해 ‘정상’, ‘주의’ ‘악성’ 중 결과를 제공한다. ‘악성’은 위협이 확인된 것이므로, 해당 QR과 링크를 즉시 삭제하고 차단한다. ‘정상’은 QR 코드가 안전하다고 판단된 것이다.

다만, 분석에는 일정 시간이 소요되므로 전송 직후에는 ‘주의’가 표시될 확률이 높다. 약 10분 후 ‘접수 결과 확인’을 다시 클릭해 최종 상태를 재확인한다. 그러나 공식적으로 등록되지 않은 링크 또는 앱으로 연결되는 링크일 경우, 일정 시간이 지나도 ‘주의’ 표시가 사라지지 않을 수 있다.

실제로 식품에 부착된 QR 코드는 10분 후 정상 QR로 판별됐다는 안내를 받았지만, CJ대한통운 앱 다운로드로 연결되는 택배 포장박스에 붙은 QR은 정상 QR이었음에도 불구하고 ‘주의’로 표시됐다. 이에 따라 외부에 노출되기 쉬운 QR 코드 및 앱 다운로드로 이어지는 QR 코드는 각별한 주의가 요구된다. 참고로, 의심스러운 문자 메시지나 URL은 ‘스미싱·피싱’ 메뉴에서 확인할 수 있다.

KT, 안심 QR 서비스 누구나 무료 제공

KT는 지난해 12월 안드로이드에서 ‘안심 QR 서비스’를 출시한 데 이어 지난 5월 iOS에서도 출시했다. 이 서비스도 보호나라와 유사하게 사용자가 QR 코드를 스캔했을 때 악성 앱 설치 URL이나 불법 웹사이트로 연결되는지 탐지해 알려준다.

KT 안심 QR 서비스는 ‘마이케이티’ 앱을 통해 누구나 로그인 없이 무료 이용 가능하다. 앱을 최신 버전으로 업데이트한 후 접속해 ‘홈’ 탭으로 이동한다. ‘KT 안심 정보’ 메뉴에서 ‘안심 QR’을 클릭하고, 카메라 접근 권한을 허용한다. 렌즈에 의심스러운 QR 코드를 스캔하면, 악성 여부를 신속하게 확인할 수 있다. 스미싱 URL로 판단되면 연결을 차단하고 경고 문구를 노출하며, 신뢰성이 검증되지 않은 새로운 URL인 경우 주의 문구와 함께 사이트 이동 여부를 고객에게 확인한다. 안전한 웹사이트의 경우에도 사이트 이동 여부를 묻는다.

한편, QR 코드로 인해 악성 앱 설치가 의심된다면 즉시 스마트폰을 비행기 모드로 변경해 통신을 차단한다. 이후 모바일 백신을 통해 악성 앱을 삭제한다. 118 상담센터(KISA)에 연락하면 24시간 무료로 상담받을 수 있다.

만약 금융정보 유출이 의심되는 경우, 거래하는 금융사 영업점을 방문하거나 고객센터에 전화해 본인 계좌에 일괄 지급정지를 요청해야 한다. 특히 큐싱으로 공격자에게 속아 돈을 계좌로 송금했다면 즉시 경찰청(112)에 피해사실을 신고하고, 범인이 돈을 인출하지 못하도록 지급 정지를 신청해야 한다.

IT동아 김예지 기자 (yj@itdonga.com)