최근 공유 킥보드를 이용하려던 A 씨는 예상치 못한 큰 피해를 입었습니다. 킥보드에 부착된 QR코드를 스캔한 후 앱을 설치하고 결제정보를 등록했는데, 5분간 이용 후 결제 내역을 확인해 보니 수십만 원이 인출된 것을 발견했습니다. 이 사건은 QR코드와 피싱(Phising)의 합성어인 '큐싱(Qshing)'을 악용한 사례입니다. 큐싱은 악성코드가 심어진 가짜 QR코드를 이용해 사용자가 악성 프로그램을 설치하도록 유도하는 방법으로, 최근 국내외에서 그 발생 빈도가 증가하고 있습니다.
큐싱(Qshing)의 위협
큐싱은 사용자가 QR코드를 스캔해 악성 앱을 설치하도록 유도하는 방식입니다. QR코드는 공유 모빌리티, 요식업장 주문, 오프라인 행사 및 민원 안내 등 다양한 곳에서 활발히 사용되고 있습니다. 이를 악용하여 범죄자들은 가짜 QR코드를 유포하거나, 오프라인에서 기존 QR코드 위에 가짜 QR코드 스티커를 덧대는 방식으로 사용자들을 속입니다. 사용자가 이러한 가짜 QR코드를 스캔하면 악성 앱 다운로드 링크가 나타나고, 사용자는 이를 의심 없이 설치하게 됩니다. 이후 악성 앱은 기기 권한을 요구하며, 이를 허용하면 공격자는 원격으로 기기를 조작하거나 사용자의 개인 및 금융 정보를 탈취할 수 있습니다.
사이버 공격의 증가
SK쉴더스 화이트해커 집단 'EQST'에 따르면, 큐싱은 지난해 국내 전체 사이버 위협의 약 17%를 차지할 만큼 그 비중이 컸습니다. 국외에서도 14%의 비중을 차지하며, 글로벌 트렌드로 자리 잡고 있습니다. 경찰청과 한국인터넷진흥원(KISA)에 따르면, 이러한 큐싱 공격은 온라인뿐만 아니라 오프라인에서도 활발히 이루어지고 있어 추적과 단속이 어렵습니다. 온라인으로 유포되는 악성 앱 URL은 당국이 비교적 쉽게 추적하고 차단할 수 있지만, 오프라인 QR코드는 지속적으로 시민들에게 노출될 수 있어 큰 문제가 됩니다.
대응 방안과 예방
현재로서는 사용자가 주의하는 것이 유일한 대응 수단입니다. 경찰청과 KISA는 출처가 불분명하거나 공공장소에 놓인 QR코드는 신중하게 살펴야 하며, 스캔 시 연결되는 링크를 주의 깊게 확인하고 함부로 앱을 설치하거나 개인정보를 입력하지 말 것을 당부하고 있습니다. 이러한 예방 조치가 사용자를 큐싱 공격으로부터 보호할 수 있는 가장 효과적인 방법입니다. 또한, 공유 모빌리티와 같은 이동하는 물체에 부착된 QR코드의 경우 더욱 주의가 필요합니다.
결론적으로, 큐싱은 QR코드를 악용한 새로운 형태의 피싱 공격으로, 사용자의 주의가 무엇보다 중요합니다. 악성 앱 설치를 유도하는 공격이 증가하는 가운데, QR코드를 이용한 큐싱 역시 새로운 채널로 등장했습니다. 사용자는 출처를 알 수 없는 QR코드의 스캔을 피하고, 의심스러운 앱 설치를 삼가야 할 것입니다. 이를 통해 우리는 사이버 공격으로부터 보다 안전하게 보호받을 수 있을 것입니다.