(서울=뉴스1) 윤주영 기자 = # 급하게 이동하려던 A 씨는 마침 길에 놓인 공유 킥보드를 찾았다. 반가운 마음에 킥보드 QR코드를 휴대전화로 스캔 후 안내에 따라 애플리케이션(앱)을 설치하고 결제정보를 등록했다. 5분 정도 이용한 뒤 결제 내역을 확인하자 A 씨는 놀랄 수밖에 없었다. 무려 수십만 원이 인출돼서다.

QR코드와 피싱(Phising)의 합성어인 '큐싱'. 악성코드가 심어진 가짜 QR코드를 이용해 사용자가 악성 프로그램을 설치하게끔 유도하는 방식을 의미한다. 최근 진행된 정보보호의 달 행사에서도 대국민 사이버위협 예방 이벤트로 이 이슈가 소개되기도 했다.

13일 SK쉴더스 화이트해커 집단 'EQST'에 따르면 이런 큐싱은 지난해 국내 전체 사이버 위협의 약 17%를 차지한 것으로 드러났다. 국외에서도 14% 비중을 차지하고 있다.

공유 모빌리티, 요식업장 주문, 오프라인 행사·민원 안내 등에서 QR코드가 활발히 쓰이는 점을 악용했단 분석이다.

올해 3월 사용자 주의를 알린 경찰청에 따르면 수법은 크게 두 가지다.

온라인서 가짜 QR코드를 유포하거나 혹은 오프라인서 인쇄된 QR 위에 스티커를 덧대 가짜 QR코드를 노출하는 것이다.

사용자가 이런 QR을 인식하면 악성 앱을 내려받게 하는 URL이 노출된다. 보통의 스미싱과 달리 수상한 설명문도 보이지 않아 사용자로선 더 쉽게 속을 수밖에 없다.

이후 악성 앱이 요구하는 대로 기기 권한을 부여하거나 개인·금융정보를 입력하면 금전적 피해 등이 발생하게 된다. 공격자가 원격으로 모바일 기기를 접속하거나 작동하는 것도 가능해진다.

김은성 한국인터넷진흥원(KISA) 스미싱대응팀장은 악성 QR코드가 오프라인서 주로 유포돼 단속하기 어렵다고 설명했다.

김 팀장은 "온라인·문자 등으로 유포되는 악성 앱 URL은 당국서 추적·차단하기가 비교적 쉽지만 오프라인 QR코드는 그렇지 못하다"며 "공격자가 한 번 설치하기만 하면 이후 지속해서 시민들에게 노출될 것이고, 공유 모빌리티같이 이동하는 물체라면 추적하기도 어렵다"고 우려했다.

이어 "악성 앱 설치를 유도하는 공격이 글로벌 추세인 와중 이를 유포하는 또 하나의 채널이 생긴 것"이라고 강조했다.

지금으로선 사용자가 주의하는 게 유일한 대응 수단이다.

경찰청과 KISA 등은 출처가 불분명하거나 공공장소에 놓인 QR코드는 신중하게 살펴야 한다고 강조한다. 또 스캔 시 연결되는 링크를 주의 깊게 살피는 한편 앱에 함부로 개인정보 등을 입력하지 말아야 한다고 덧붙였다.

ⓒ News1 양혜림 디자이너

<이미지를 클릭하시면 크게 보실 수 있습니다>

legomaster@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.