QR코드 피싱, '큐싱' 기승…글로벌 보안업계 '비상'

30대 직장인 A씨는 전봇대에 붙은 전단지를 보고 이벤트에 응모하기 위해 QR코드를 스캔했다. 그러나 해당 QR코드는 실제 이벤트 전단지에 인쇄된 진짜 QR코드 위에 교묘하게 덧붙여진 스티커로, 스캔하는 즉시 스마트폰에 악성코드를 심는 가짜 QR코드였다. A씨는 이로 인해 스마트폰 내 저장된 개인·금융 정보를 탈취 당하는 등의 유출 피해를 입었다. 이러한 범죄 수법은 일명 큐싱(QR코드+피싱)으로, 금융 피해부터 범죄 가담 강요까지 다양한 방법으로 피해를 초래하고 있어 주의가 당부된다.

보이스피싱에 이어 전봇대나 게시판에 붙여진 홍보 포스터, 공유 이동 수단에 부착된 QR코드 등을 악용해 피싱을 시도하는 '큐싱'이 기승을 부리고 있다. 한국인터넷진흥원(이하 KISA)가 발표한 '2024년 상반기 사이버 위협 동향 보고서'에 따르면 올해 상반기, 큐싱을 포함한 피싱 범죄가 급증하고 있다며 시민들에게 주의를 당부하고 나섰다.
큐싱은 일상생활 곳곳에서 시민들을 위협하고 있다. 주차된 차에 '불법 주차 경고장' 딱지를 붙여놓고 QR코드를 통해 벌금을 납부하라고 요구하는 방식으로 연결을 유도한다. 세금 고지서를 위장해 QR코드로 세금 납부를 요구하거나 신규 가상화폐 출시를 기념해 QR코드 스캔 시 가상화폐를 무료로 지급한다고 유인하는 등 방법도 다양하다. QR코드 사용이 활발해지면서 이를 악용한 피싱 범죄 또한 증가 추세를 보인다.

이러한 유형의 신종 사이버 금융범죄를 예방하기 위해 KISA는 과학기술정보통신부와 함께 손잡고 큐싱사기 예방수칙을 제작해 배포하기도 했다. 공유 킥보드 외에도 출처가 불분명한 웹사이트나 낯선 사람이 보낸 이메일에 포함된 QR코드는 스캔을 지양하라는 주의사항을 담았다.
또한 국민피해대응단을 꾸려 적극적으로 피싱 범죄 예방에 앞장서고 있다. KISA는 이달(12월) 중으로 스미싱 확인서비스를 제공해왔던 카카오톡 '보호나라' 채널에 '큐싱 확인 서비스'를 추가한다는 계획이다. QR코드 메뉴를 누르고 의심되는 QR코드를 촬영하면 KISA가 10분 이내 악성 여부를 판단해 결과를 알려준다.

시민 피해가 증가하자 통신사에서도 범죄 예방에 팔을 걷어붙였다. KT는 지난 5일 '안심 QR 서비스'를 출시하고 사용자가 QR코드를 스캔하면 해당 코드가 악성 애플리케이션(이하 앱) 설치 URL이나 불법 웹사이트로 연결되는지를 탐지해 알려준다.

악성 URL로 판단되는 경우 연결을 차단하는 즉시 경고 문구를 노출한다. 아울러 신뢰성이 검증되지 않은 URL은 주의 문구를 띄우며 사이트 이동에 대한 여부를 고객에게 묻는다. 해당 서비스는 '마이케이티' 앱을 통해 안드로이드 사용자라면 누구나 사용 가능하다.

큐싱 범죄는 우리나라를 비롯한 미국, 유럽연합(EU), 영국 등 세계 각국에서 문제가 되고 있다. 미국에서는 연방거래위원회(FTC), 연방통신위원회(FCC), 사이버보안 인프라 보안청(CISA) 등을 중심으로 피싱 등 범죄 대응 가이드라인을 개발 중이다. 범죄 처벌 규정 제·개정을 비롯해 피해자 보호 방안을 추진하며 큐싱을 포함한 피싱 범죄 예방에 힘쓰고 있다.

한편 마이크로소프트에 따르면 지난해 사이버 보안 산업 내 QR코드 피싱이 급증한 것으로 나타났다. 일부 공격은 매월 270% 성장률로 증가했으며 이를 예방하기 위해 △직원 교육 △보안 QR코드 스캔 앱 △SMS 필터링 기술 △고급 머신 러닝 탐지 등의 기술을 이용해야 한다는 의견을 제시했다.


편슬기 글로벌이코노믹 기자 pyeonhaeyo@g-enews.com