쉽고 간편 QR코드, 잘못 찍었다간 쉽고 빠르게 털린다

방제일 2023. 12. 8. 15:20
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
문자·메일 가짜 QR코드로 개인 정보 빼내
QR코드 이용해 피싱하는 큐싱 범죄 늘어

코로나19 팬데믹 이후로 우리에게 익숙해진 것이 있다. 바로 QR(큐알)코드다. QR코드는 때론 신분증으로, 때론 티켓으로 생활 속에서 다양하게 사용되고 있다. 그러나 QR코드를 이용해 피싱을 시도하는 큐싱(Qshing) 범죄가 늘고 있어 각별한 주의가 필요하다.

7일(현지시간) CNBC에 따르면, 미국 연방거래위원회(FTC)는 잘못된 QR 코드를 스캔하거나 QR 코드 연결 피싱 웹사이트를 통한 개인정보 유출로 금전적 피해를 볼 수 있다고 경고했다.

각종 식당 메뉴와 각종 상점가에서 쓰이는 일반적인 QR 코드가 미국에서 일상적으로 사용되는 가운데, QR 코드를 스캔하는 과정에서 개인정보 유출로 인한 피해가 발생하고 있다. [사진출처=픽사베이]

각종 식당 메뉴와 각종 상점가에서 쓰이는 일반적인 QR 코드가 미국에서 일상적으로 사용되는 가운데, QR 코드를 스캔하는 과정에서 개인정보 유출로 인한 피해가 발생하고 있다. [사진출처=픽사베이]

각종 식당 메뉴와 상점가에서 쓰이는 일반적인 QR 코드가 미국에서 일상적으로 사용되는 가운데, QR 코드를 스캔하는 과정에서 개인정보 유출로 인한 피해가 발생하고 있다.

FTC는 "일부 범죄자는 유료 주차장에 게시된 QR 코드를 자신의 해킹 코드가 담긴 QR 코드로 바꿔치기하기도 하며, 다른 범죄자는 문자 메시지나 이메일에 QR 코드를 첨부해 이를 스캔하도록 유도한다"고 경고했다.

특히, 사기꾼들은 택배가 배달되지 않아 배송 일정, 주소 등을 변경해야 한다거나 의심스러운 활동으로 계정 비밀번호를 바꾸라고 요구하는 등 긴장감을 조성하는 문자와 이메일을 보내 피해자들에게 QR 코드를 스캔하도록 유도하는 경우가 많다고 FTC는 지적했다.

이 같은 QR 코드를 스캔해 피싱 인터넷 주소(URL)를 열게 되면 은행·카드사 등 금융기관 웹사이트를 정교하게 베낀 가짜 웹사이트로 연결해 비밀번호 등 개인정보 입력을 요구받거나, 개인정보를 빼내 가는 악성 코드에 감염될 수 있다.

FTC는 사기 범죄에 쓰인 QR 코드를 잘못 스캔하게 되면 피해자는 개인정보 유출은 물론, 사기꾼들이 은행 계좌에서 본인 몰래 돈을 빼가거나, 신용카드를 결제하는 등 피해를 볼 수 있다고 덧붙였다.

한편, 시장조사기관 이마케터에 따르면 올해에만 9400만명이 넘는 미국 소비자들이 스마트폰으로 QR 스캐너를 사용하고 있고, 오는 2026년까지 QR 코드를 쓰는 미국인의 수는 1억260만명까지 늘어날 전망이다.

전 세계로 퍼져나가는 큐싱 범죄

미국 뿐 아니라 QR코드를 이용한 큐싱 범죄는 전 세계에서 성행 중이다. [사진출처=픽사베이]

미국 뿐 아니라 QR코드를 이용한 큐싱 범죄는 전 세계에서 성행 중이다. [사진출처=픽사베이]

미국뿐 아니라 QR코드를 이용한 큐싱 범죄는 전 세계에서 성행 중이다. 앞서 중국에서는 가짜 QR코드를 담은 주차 위반 딱지가 발견되기도 했다. 이는 앞 유리 와이퍼 아래에 넣어둔 이런 주차 위반 딱지를 발견한다면 대부분이 당황한 마음에 QR코드를 스캔하게 되는 심리를 노렸다.

스페인 마드리드에선 공공자전거에 부착된 사기 QR코드가 발견돼 논란이 일기도 했다. 사용자들은 자전거 사용을 위해 결제를 하는 QR코드인 줄 알고 이를 스캔했지만, 이 또한 피싱범들의 사기 QR코드인 것으로 확인됐다.

국내에서도 사기 QR코드를 통해 본인도 모르게 돈이 빠져나가는 피싱 범죄 사례가 등장해 금융당국이 주의를 당부하기도 했다.

국내 보안업계는 큐싱 범죄에 당하지 않기 위해 공공장소나, 보안이 허술한 웹사이트에 노출된 출처가 불분명한 QR코드 스캔 시 신중히 처리해야 한다고 당부했다.

아울러 이메일에 포함된 QR코드의 경우엔 되도록 접속을 자제하는 것이 좋다. 무엇보다 이메일로 QR코드 인증을 요구하는 경우는 흔하지 않기 때문이다.

지난 6일 금융정보화추진협의회와 금융결제원, 17개 국내 은행이 'QR코드 방식의 현금자동입출금기(ATM) 입출금 서비스'를 개시했다. 서울 시내 한 ATM에 모바일현금카드 어플리케이션으로 인식할 수 있는 QR코드가 표시돼 있는 가운데 보안에 각별히 유의해야 한다. [사진출처=연합뉴스]

지난 6일 금융정보화추진협의회와 금융결제원, 17개 국내 은행이 'QR코드 방식의 현금자동입출금기(ATM) 입출금 서비스'를 개시했다. 서울 시내 한 ATM에 모바일현금카드 어플리케이션으로 인식할 수 있는 QR코드가 표시돼 있는 가운데 보안에 각별히 유의해야 한다. [사진출처=연합뉴스]

자칫 QR코드를 스캔하더라도 악성 앱이 설치되지 않도록, 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고 최신 버전을 유지하는 것이 중요하다.

만약 악성 앱이 설치된 경우에는 스마트폰을 안전모드로 부트한 후 기기 관리자 권한을 비활성화하면 해당 앱을 삭제할 수 있다.

실수로 개인정보를 입력했을 때를 대비해 웹사이트 이용 비밀번호를 각각 다른 번호로 설정해 놓으면 연쇄적인 개인정보 유출과 금융 피해 등 2차 피해를 예방할 수 있다.

무엇보다 전문가들은 QR코드로 인한 피해를 막기 위해선 출처가 확실하지 않은 QR코드는 스캔하지 않는 것이 좋으며, 공식 앱 마켓에서도 위험한 앱이 유포될 수 있기 때문에 앱을 다운받기 전 사용자 리뷰를 확인하는 것이 좋다고 말한다.

방제일 기자 zeilism@asiae.co.kr

Copyright © 아시아경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
아시아경제에서 직접 확인하세요. 해당 언론사로 이동합니다.