“울아빠 공유자전거 타다 1000만원 털렸다”...대체 무슨 일?

# 자영업자 박 모씨는 최근 소상공인을 상대로 낮은 이자로 대출해주겠다는 이메일을 받았다. 마침 대출을 알아보고 있던 그는 “자세한 내용을 확인하려면 QR코드 촬영 후 전자금융사기 예방 서비스 앱을 설치하라”는 문구를 보고 의심없이 카메라 앱으로 QR코드를 비춰 앱을 다운받았다. 하지만 해당 앱은 개인정보를 빼내가는 해킹앱이었고 박씨가 입력한 공인인증서 비밀번호 등 금융정보가 고스란히 해커의 손으로 넘어갔다. 며칠 뒤 박씨의 통장에서는 1000만원이 빠져나갔다.

온라인상에 이뤄지는 사기수법이 갈수록 교묘해지고 있다. 최근에는 스마트폰 이용자들이 많이 사용하는 QR(Quick Response) 코드를 악용한 신종 사이버 금융사기인 ‘큐싱(Qshing)’ 피해가 눈에 띈다. 큐싱은 QR코드와 피싱(Phishing·사기)의 합성어로, 사용자가 QR코드를 스캔하면 악성 코드가 들어 있는 애플리케이션을 설치하도록 유도하는 것이 특징이다.

경찰은 큐싱사기수사와 예방 활동에 고삐를 죄고 있다. 지난달부터 큐싱 예방 영상을 제작하는 등 집중 단속에 나선 경기남부경찰청 소속 한 경찰은 “큐싱은 과거에도 있던 범죄지만 여전히 경각심이 낮은 상황이라 신종 사기로 판단하고 예방 활동에 나서고 있다”고 말했다.

큐싱 사기는 직접 스캔하기 전까지 정상 QR코드 여부는 물론 QR코드 발행자가 누군지 알 수 없다는 점을 노린다. 그러다보니 수사기관이나 금융기관을 사칭해 돈을 빼가는 보이스 피싱, 문자 메시지에 악성 사이트 주소를 첨부하는 스미싱과 비교해 사기임을 구분하기가 더 어려워졌다는 지적이다.

QR코드는 스마트폰 보급 확대로 활용도가 커졌고 별도 스캐너가 없이 카메라 앱으로 쉽게 접속이 가능하다. 흑백 격자무늬 패턴에 사진뿐 아니라 동영상, 지도, 명함 등 방대한 정보를 담을 수 있어 활용도가 높다는 것이 특징이다. 특히 코로나 팬데믹 시기를 거치며 출입기록 관리 등 QR코드 사용이 잦아지면서 이를 악용한 사기가 더욱 기승을 부리고 있다.

한 시민이 서울 시내에서 따릉이를 타고 있다. 사진과 기사는 관련 없음. [사진 = 연합뉴스]

범죄 수법은 갈수록 다양해지고 있다. 전동킥보드 이용을 위한 QR코드 위에 가짜 QR코드를 덧씌우는가 하면 고객 사은 이벤트로 위장한 QR코드를 넣은 홍보 전단을 뿌리는 수법도 등장했다. 주차된 차에 ‘불법 주차 경고장’ 딱지를 붙여놓고 QR코드를 통해 벌금을 납부하라고 요구하는 사기까지 등장했다. 보안업체 SK쉴더스에 따르면 지난해 온라인 보안 공격 가운데 17%가 큐싱 방식으로 이뤄졌다. 전년 대비 60%나 늘어난 수치다.

해외에서도 큐싱 사기에 대한 경각심이 커지고 있다. 올해 초에는 중국에서 정부를 사칭한 ‘임금 보조금 지급’ 안내 메일이 유포됐다. 이 또한 큐싱 사기였다. 보조금을 받으려면 메일에 첨부된 QR코드를 스캔한 뒤 중국 정부 사이트로 위장된 가짜 사이트에 카드 번호 등 개인 정보 입력하도록 유도하는 수법을 썼다.

미국 연방거래위원회(FTC)는 지난해 12월 홈페이지에 QR코드 스캔 과정에서 개인정보 유출 피해가 발생할 수 있다는 소비자 대상 경고 메시지를 올렸다. FTC는 유료 주차장에 게시된 QR코드를 해킹 코드가 담긴 QR로 교체하거나, 문자 메시지나 이메일에 QR코드를 첨부해 이를 스캔하도록 유도한다고 밝힌 바 있다.

출처가 불확실하거나 앱 설치를 요구하는 QR코드에 접속하는 것은 특히 주의해야 한다는 지적이다. 큐싱방지안심큐알인증협회 관계자는 “정부는 물론 공공기관이나 기업 도 QR코드를 활용한 정책홍보나 행사, 마케팅에 나서면서 활용도가 크게 높아졌다”며 “동시에 사이버 범죄자들은 가짜 QR코드로 사기칠 수 있는 토대가 마련된 것”이라고 말했다.