마이크로소프트 사칭 QR코드 스캔 땐 해킹…‘큐싱’ 메일 주의보

노트북을 놓고 회의하는 직장인들. 언스플래시

마이크로소프트를 사칭해 계정 정보를 탈취하는 ‘큐싱’ 메일이 유포되고 있다.

16일 정보통신기술(ICT) 업계에 따르면 IT보안 업체인 ‘이스트시큐리티’는 사용자가 스마트폰으로 큐알(QR)코드를 스캔해 피싱 사이트로 접속하도록 유도한 뒤 개인정보를 탈취하는 큐싱 수법이 퍼지고 있다고 전했다. 큐싱 메일은 ‘Ticket# QQL0ISI - MFA | 09 July,2025’라는 제목으로 유포되고 있다.

이스트시큐리티에 따르면 이 메일은 마이크로소프트 365 서비스 연결을 위해 QR코드를 스캔하도록 유도한다.

사용자가 이메일 내 QR코드를 스캔하면 공격자가 제작한 피싱 사이트로 연결되고, 이 과정에서 캡차(CAPTCHA) 인증 화면을 표시해 사용자가 정상적인 사이트로 오인하게 한다.

캡차 인증을 진행하면 마이크로소프트 계정 로그인 페이지로 위장한 피싱 페이지로 이동하고, 계정 비밀번호를 입력하도록 유인한다.

사용자가 정상적인 로그인 페이지로 착각하고 비밀번호를 입력하면, 비밀번호가 틀렸다는 메시지를 표시해 사용자가 다시 입력하도록 안내한다. 사용자가 비밀번호를 재입력하면 계정이 일시적으로 잠겨 나중에 다시 시도하라는 가짜 메시지를 보여주며 공격이 종료된다고 이스트시큐리티는 전했다.

이스트시큐리티는 “QR코드 스캔 전 신뢰할 수 있는 출처인지 확인해야 한다”며 “QR코드를 스캔한 경우에도 접속한 사이트 URL의 진위를 체크해야 한다”고 당부했다.

송윤경 기자 kyung@kyunghyang.com