킥보드 타려다 봉변…'QR코드 스캔만으로 좀비폰 될까

      2024.10.26 09:30   수정 : 2024.10.26 10:25기사원문
사진=유토이미지 *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = "큐알(QR)코드 스캔만으로도 피싱을 당하나요?"

최근 정부가 초·중·고 학생들 사이에서 QR코드 활용이 급증하면서 이를 악용한 큐싱(큐알코드 피싱) 피해에 대한 주의를 당부하자, 한 포털사이트에는 이같은 질문이 등장했다.

이에 대해 보안 전문가들은 단순히 QR코드를 스캔하는 것 만으로는 직접적인 피해가 발생하지 않지만, 사용자가 악성 링크를 통해 피싱 사이트에 접속해 정보를 입력하거나 악성 앱을 다운로드할 경우 피해가 발생할 수 있다고 설명했다.


전문가들은 "신뢰할 수 없는 출처의 QR코드는 스캔하지 않는 것이 안전하며, 의심스러운 링크나 앱 다운로드를 유도하는 경우 특히 주의가 필요하다"고 당부했다.



◆스미싱은 미끼 내용으로 진위파악 가능하지만 큐싱은 불가능해 더 위험

큐싱은 QR코드와 피싱(Phishing)의 합성어다. 그동안 대부분 모바일 피싱은 문자 메세지를 통해 이뤄졌다.
하지만 이러한 피싱이 사용자들에게 널리 알려지자 공격자는 새로운 악성코드 유포·개인정보 탈취 방식이 필요했고 그 중 하나가 큐싱이다.

큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치 유도, 악성 웹사이트(URL)로 연결 등으로 각종 개인정보와 금융정보를 빼가는 공격 방식을 말한다.

앞서 중국에서는 가짜 QR코드를 담은 주차 위반 딱지가 발견되기도 했고 스페인 마드리드에선 공공자전거에 부착된 사기 QR코드가 발견돼 논란이 됐다. 국내서 확인된 큐싱 시도 유형으로는 공유형 킥보드에 부착된 정상 QR코드 위에 큐싱 스티커를 덧붙이거나 온라인 광고나 메일 본문에 큐싱을 삽입해 안전거래 등을 위해 필요한 앱이라고 속여 설치를 유도하는 경우가 있었다.

◆스캔 만으로는 개인정보 유출 없어…악성앱 다운로드 받거나 정보 입력하면 피해 발생

일반적으로 큐싱은 QR코드 생성·배포-사용자 스캔-악성사이트로 이동-정보 탈취 과정으로 진행된다.

공격자는 악성 웹사이트 링크(URL)가 포함된 QR 코드를 생성해 다양한 방법으로 배포한다. 공식 QR코드 위에 가짜 QR코드 스티커를 붙이는 물리적인 방법, 가짜 QR코드를 온라인으로 유포해 악성 앱을 설치하도록 하는 등 다양한 형태로 나타나고 있다.

이후 사용자가 정상 QR인줄 알고 이 QR을 스캔하면 보통 링크가 자동으로 열리거나, 해당 URL로 연결된다.

사용자가 QR 코드로 접속한 웹사이트는 정상적인 사이트처럼 보일 수 있지만, 실제로는 공격자가 제작한 피싱 사이트다. 여기에서 사용자에게 악성앱을 다운로드 하도록 유도하거나, 로그인 정보·카드 정보 또는 기타 개인 정보를 입력하도록 유도한다.

이를 통해 사용자가 민감한 정보를 입력하면 그 정보는 공격자에게 전송된다. 이를 통해 공격자는 계정 탈취, 금전적 손해, 개인정보 도용 등을 할 수 있다.

한국인터넷진흥원(KISA) 관계자는 "기존의 문자 피싱(스미싱)의 경우에는 URL 앞에 미끼 내용을 담기 때문에 수신자가 허위여부를 판단 할 수 있지만, 큐싱은 그러한 내용이 없기 때문에 더 쉽게 악성 웹페이지로 유입된다"고 설명했다.

◆공공장소에 비치된 QR코드 스캔 시 반드시 주의 필요

큐싱 피해를 입지 않기 위해서는 ▲출처가 불분명한 웹사이트나 모르는 사람이 보낸 이메일에 포함된 QR코드는 스캔 금지 ▲공공장소 QR이 덧붙여진 스티커가 아닌지 확인(공유자전거 등 이용할 때 가짜 QR코드인지 살펴보기) 등의 예방 수칙을 반드시 기억해야 한다.

이와 더불어 ▲QR 스캔 시 연결되는 링크 주소(URL)가 올바른지 다시 한번 확인 ▲QR코드 접속 후 개인정보 입력을 요구하거나 수상한 앱 설치 금지 ▲모바일 전용 보안앱, 스미싱 탐지앱 설치 및 최신 버전 유지 등으로 피해를 입지 않도록 해야 한다.

박영진 가비아 정보보호정책유닛장은 "QR코드를 사용하면 주소(URL)를 직접 입력하지 않아도 되거나 필요한 앱을 바로 내려받을 수 있어 편리하다는 장점이 있으나, 악의적인 목적의 행위자가 얼마든지 변조가 가능하다는 점을 항상 인지해야 한다"면서 "QR코드 크기만큼 스티커가 덧붙여 있지는 않은지, 날씨(비·바람·햇빛·먼지) 등의 외부적인 요인으로 자연스럽게 변화된 모습이 아닌 인위적인 조작의 흔적이 있는지를 유심히 관찰해야 한다"고 당부했다.


만약 큐싱에 속아 악성 앱 설치가 의심되면, 즉시 스마트폰을 비행기 모드로 변경해 통신을 차단하고 모바일 백신으로 악성 앱을 삭제해야 한다.

금융정보 유출이 의심되는 경우엔 거래하는 금융회사 영업점을 방문하거나 콜센터에 전화해 본인 계좌에 일괄 지급정지를 요청함으로써 피해를 최소화해야 한다.
특히 피해금을 계좌로 송금한 경우에는 경찰청에 피해사실을 신고하고 범인이 돈을 옮기지 못하도록 즉시 지급정지를 신청해야 한다.

☞공감언론 뉴시스chewoo@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>

Hot 포토

많이 본 뉴스