공공자전거 타려고 QR코드 찍었는데…알고보니 사기?

송혜리 기자 2023. 10. 15. 06:30
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

QR코드 보편화에 따라 '큐싱(Qshing)' 주의 필요
해외선 주차 위반 딱지·공공자전거 활용한 '사기 QR코드' 등장…개인정보·결제 유도
보안 업계 "공공장소나 출처 불분명한 QR코드 스캔 시 주의"
사진=유토이미지 *재판매 및 DB 금지


[서울=뉴시스]송혜리 기자 = #운전 중 편의점에 들러야 했던 A 씨는 도로 갓길에 잠시 정차하기로 했다. 5분도 채 지나지 않아 A씨가 돌아왔지만 차량 앞면엔 주차 위반 딱지가 붙어 있었다. A 씨는 당황한 마음에 고지서에 담긴 QR코드를 카메라로 스캔했다. QR코드를 통해 앱을 설치하도록 안내 받아 개인정보를 입력했다. 며칠 후 A 씨는 자신의 개인정보가 도용 당했다는 걸 알았다.

사회 전반에 QR코드 활용이 늘면서 공공자전거 등 공공물품 사용을 위해 QR코드를 스캔하도록 하거나, QR코드를 이용해 개인정보가 노출되지 않도록 하는 서비스가 등장했다. 가령 주차할 때 혹은 가게를 비울 때 '이쪽으로 연락하세요' 같은 용도다.

카메라를 가져다 대기만 하면 필요한 정보를 얻을 수 있는 데다 스캔하기 전까지는 개인정보가 노출되지 않는 QR코드의 간편성·보안성 때문이다. 그러나 이러한 QR코드 특성을 악용한 피싱 범죄가 증가하고 있어 주의가 요구된다.

공용 자전거 타려고 스캔했을 뿐인데 어쩌다…

글로벌 ICT 연구기관 인포마가 운영하는 보안 미디어 다크리딩은 코로나19 이후 QR코드 활용 문화가 확산하면서 'QR코드 사기' 즉 큐싱(Qshing) 범죄가 늘고 있다. 이 매체가 인용한 위조방지 솔루션 기업 스캔트러스트에 따르면, 미국 QR 코드 사용자의 80% 이상이 QR 코드가 안전하다고 생각하고 있으며, 사용자 중 37%만이 악성 코드를 식별할 수 있는 것으로 나타났다고 소개했다.

큐싱은 QR코드와 피싱(Phishing)의 합성어다. 그동안 대부분 모바일 피싱은 문자 메세지를 통해 이뤄졌다. 하지만 이러한 피싱이 사용자들에게 널리 알려지자, 공격자는 새로운 악성코드 유포·개인정보 탈취 방식이 필요했고 그 중 하나가 큐싱이다.
큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면, 악성코드가 탑재된 앱 설치를 유도해 각종 개인정보와 금융정보를 빼가는 공격 방식이다. 공식 QR코드 위에 가짜 QR코드 스티커를 붙이는 물리적인 방법, 가짜 QR코드를 온라인으로 유포해 악성 앱을 설치하도록 하는 등 다양한 형태로 나타나고 있다.

최근 중국에서는 가짜 QR코드를 담은 주차 위반 딱지가 발견되기도 했다. 앞 유리 와이퍼 아래에 넣어둔 이런 주차 위반 딱지를 발견한다면 대부분이 당황한 마음에 QR코드를 스캔하게 되는 심리를 노렸다. 스페인 마드리드에선 공공자전거에 부착된 사기 QR코드가 발견돼 논란이 됐다. 사용자들은 자전거 사용을 위해 결제를 하는 QR코드인 줄 알고 이를 스캔했지만, 이 또한 피싱범들의 사기 QR코드인 것으로 확인됐다.

최근 국내에서도 사기 QR코드를 통해 본인도 모르게 돈이 빠져나가는 피싱범죄 사례가 등장해 금융당국이 주의를 당부하기도 했다.

"QR코드 스캔 전에 신뢰할 수 있는 제공사인지 확인해야"


국내 보안 업계는 큐싱 범죄에 당하지 않기 위해 공공장소나, 보안이 허술한 웹사이트에 노출된 출처가 불분명한 QR코드 스캔 시 신중을 기해야 한다고 당부했다. 아울러 이메일에 포함된 QR코드의 경우엔 되도록이면 접속을 자제 하는 것이 좋은데, 이메일로 QR코드 인증을 요구하는 경우는 흔하지 않기 때문이다.

자칫 QR코드를 스캔하더라도 악성앱이 설치되지 않도록, 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고 최신 버전을 유지하는 것이 중요하다. 만약 악성 앱이 설치된 경우에는 스마트폰을 안전모드로 부팅한 후 기기관리자 권한을 비활성화하면 해당 앱을 삭제할 수 있다.

실수로 개인정보를 입력했을 때를 대비해 웹사이트 이용 비밀번호를 각각 다른 번호로 설정해 놓으면 연쇄적인 개인정보 유출과 금융 피해 등 2차 피해를 예방할 수 있다.

박지웅 잉카인터넷 시큐리티대응센터(ISARC) 리더는 "QR코드를 사용하면 휴대전화를 이용해 간단히 스캔해서 사용할 수 있는 장점이 있어 많은 분야에서 두루 사용되지만, 실제 접속되는 주소(URL)를 직접 눈으로 확인하기 어려운 단점이 있다"며 "QR코드에 접속하기 전에 제공해 주는 업체나 웹사이트 등이 신뢰할 만한 곳이 맞는지 먼저 확인하고 접속하는 것을 권장한다"고 말했다.

☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?