QR코드 증명서 검증서비스, `위·변조에 무방비`

관련 통계자료 다운로드 QR코드를 이용한 증명서 피싱 개요

#취업준비생 A군은 이력서에 졸업증명서와 성적증명서를 위조해 삽입하고 변조한 QR코드까지 붙여 넣었다. QR코드를 찍으면 원본 성적증명서와 A군이 제출한 성적증명서가 동일한 것인지 확인할 수 있다. 하지만 A군은 QR코드와 QR코드 검증 애플리케이션까지 가짜로 이력서 하단에 붙여 넣었다. 이 때문에 그 자리에서 면접관을 감쪽같이 속일 수 있었다.

QR코드를 이용한 증명서 검증서비스가 위·변조 및 피싱 사기 피해에 무방비로 노출돼 있다.

28일 업계에 따르면 QR코드는 오픈소스 바코드를 이용하기 때문에 누구나 간단하게 만들 수 있어 위·변조에 취약한 것으로 나타났다. 대학 대부분이 성적증명서 및 졸업증명서 인터넷 발급에 QR코드를 이용해 증명서 검증 서비스를 제공하고 있어 보안 대책이 시급하다. QR코드를 이용해 성적증명 및 졸업증명서를 발급하는 대학은 가야대, 배제대, 목표해양대, 상명대, 창원대, 포스텍 등 수십 곳에 이른다.

QR코드는 기존 바코드보다 더 작은 크기에 많은 정보를 담을 수 있어 다양한 분야에 쓰인다. 최근 스마트폰 보급으로 활용도가 더욱 높아졌다. 문제는 QR코드가 오픈소스여서 쉽게 제작이 가능해 위·변조 가능성도 높다는 것이다.

정상적인 증명서 검증 프로세스는 원본 성적증명서에 삽입된 보안바코드로 정상 검증이 가능하다. 그러나 피싱 위조 증명서 검증 프로세스로 성적을 위조하면 피싱 검증 애플리케이션(앱)으로 확인할 수 없다.

김승주 고려대 사이버국방학과 교수는 “QR코드는 쉽게 제작하고 확인하기 위한 목적으로 만들어져 보안을 기대할 수 없다”며 “전자서명 등 2차원 고밀도바코드를 전용 스캐너로 스캔하는 등 2중, 3중의 원본 확인 시스템이 필요하다”고 말했다. 이어 “사회 여러 분야에서 인터넷으로 증명서를 손쉽게 내려받을 수 있게 돼 증명서 위·변조에 무뎌졌다”며 “문서 위·변조 피싱 사기는 심각한 사회적 문제를 발생하기 때문에 보안 대책을 마련해야 한다”고 강조했다.


장윤정기자 linda@etnews.com


브랜드 뉴스룸