QR코드로 악성 앱 까는 신종 사기 방법
"특히 QR코드에 익숙한 학생들 취약해"
앱 깔리면 인터넷 차단 정보 초기화부터

가짜 QR이 붙은 불법주차 스티커. 파주시 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

"바로 관리사무소에 물어보지 않고 QR코드를 넣어봤다면 큰일 날 뻔했어요."

경기 파주시에 사는 김모(30)씨는 올 초 가짜 불법주차 경고장에 깜빡 속을 뻔했다. 아파트 단지에서 평소 쓰는 형식을 쏙 빼닮은 경고장엔 QR코드와 함께 '반드시 우측의 QR로 납부바란다'는 내용이 안내돼 있었다. 맨 아래엔 '관리사무소장'이란 발급 주체까지 명시됐다. 불법주차를 한 적이 없던 김씨가 뭔가 꺼림칙해 관리사무소에 문의하니 "피싱일 가능성이 높다. 절대 접속하지 말라"는 답이 돌아왔다.

최근 QR코드를 활용한 '큐싱' 사기가 기승을 부리고 있다. 큐싱이란 QR코드와 피싱(Phishing)을 합한 단어로, QR코드를 이용한 사기 수법을 뜻한다. QR코드를 스마트폰으로 촬영해 스캔하면 악성 애플리케이션(앱)이 실행돼 개인 정보와 금융정보를 탈취하거나 원격제어로 돈을 빼가기도 한다.

3일 보안 솔루션 기업 SK쉴더스에 따르면, 지난해 국내에서 탐지된 온라인 보안 공격의 17%는 큐싱으로, 전년 대비 60%가량 증가했다. 큐싱 피해가 더 심각한 건 범행 차단과 범인 특정이 쉽지 않아서다. 보이스피싱(전화금융사기)이나 스미싱(악성 문자메시지)의 경우 피해를 당해 신고하면 일단 발신 차단이 가능하다. 그러나 큐싱은 스티커 부착 주체가 누구인지 당장 찾을 수가 없다. 여기저기 붙어 있는 스티커를 하나하나 제거하는 데도 시간이 걸린다. 김은성 한국인터넷진흥원(KISA) 국민피해대응단 스미싱대응팀장은 "요즘 학생들은 학교에서 QR을 배울 정도로 친숙해 범죄 취약층이 위험에 노출될 위험이 크다"고 경고했다.

큐싱 피해 사례. KISA 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

코로나19 이후 QR코드 결제가 보편화된 식당가에선 이미 '큐싱 주의보'가 내려진 지 오래다. 서울의 한 식당에는 '가짜 QR코드 스티커에 주의하고, 화면 안 QR코드만 찍어달라'고 안내하는 전자기기가 테이블마다 부착돼 있었다. QR코드를 고정하지 않고 매번 바꿔주는 서비스를 출시한 업체도 있다. 서울에서 식당을 운영하는 정모(38)씨는 "매일 청소하며 가짜 스티커가 붙었는지 확인하지만 불안한 건 사실"이라고 토로했다.

대여 시 QR코드로 로그인하는 모빌리티(이동수단) 업계도 비상이다. 한 전동킥보드 업체 관계자는 "매일 모빌리티 기기를 재배치하고 배터리 교체를 하면서 이상한 스티커가 붙어있는지 점검한다"며 "앱으로도 큐싱을 조심해야 한다고 안내했다"고 전했다. 따릉이 관리 주체인 서울시설공단 역시 전용 앱이 아닌 일반카메라나 웹 포털을 이용해 QR코드를 스캔해 큐싱 피해를 본 사례를 접수하고, 따릉이 4만 대에 부착된 QR코드가 아닌 다른 코드가 스캔되면 앱에 경고창이 뜨도록 조치한 상태다. KISA는 해당 QR코드가 정상인지 악성인지 판별해주는 큐싱확인서비스를 이달 출시한다.

전문가들은 큐싱이 의심될 경우 일단 휴대폰을 비행기 모드로 바꿔 인터넷을 차단해야 한다고 조언한다. 또 은행이나 카드사에 연락해 휴대폰에 등록된 통장과 카드를 지급 정지해야 한다. 김 팀장은 "경찰서에 찾아가면 악성 앱을 추출해 삭제해준다"며 "이후 혹시 모를 가능성에 대비해 휴대폰을 초기화하는 경우도 많다"고 설명했다.

서현정 기자 hyunjung@hankookilbo.com
문지수 기자 door@hankookilbo.com