최근 QR코드를 이용한 '큐싱' 사기 위협이 커지면서 사용자의 각별한 주의가 요구된다. 기업·기관이 마케팅이나 서비스 제공 시 QR코드를 편리하게 사용하는 것처럼 사이버 범죄자들은 QR코드를 악용해 손쉬운 공격이 가능하다.
IBM 시큐리티는 최근 자사 블로그를 통해 큐싱은 '눈에 보이지 않는 새로운 위협'이라며 공격방식과 예방책을 소개했다.
큐싱은 QR코드와 피싱(Phishing·사기)의 합성어로, 사용자가 QR코드를 스캔하면 피싱사이트로 연결되거나 악성코드가 들어있는 애플리케이션을 설치하도록 유도하는 사기수법이다.
큐싱 사기가 활발한 것은 QR코드 생성이 쉬운 데다 사용자가 QR코드를 스캔하는 동작 자체가 상대적으로 편리하고, 범죄자 입장에선 익명성도 보장되기 때문이다. 누구나 간단한 무료 도구를 통해 QR코드를 만들 수 있고, 모든 QR코드 외형이 비슷해 스캔하기 전엔 어떤 동작을 수행할지 알기 어렵다.
특히 큐싱 사기는 QR코드를 주로 사용하는 공유자전거나 광고 전단지·우편물, 상점·회사 건물 등을 매개로 이뤄진다. 신뢰할 만한 매체나 장소에 QR코드를 게시하면 피해자가 보다 쉽게 속아 넘어갈 수 있어서다.
이 때문에 정부도 큐싱주의보를 내렸다. 과학기술정보통신부와 교육부, 여성가족부, 개인정보보호위원회, 경찰청은 지난달 청소년 대상 큐싱 범죄가 우려된다며 피해 예방 활동을 강화하겠다고 밝혔다. 금융보안원도 2025년 디지털금융·사이버보안 10대 이슈 중 하나로 큐싱을 선정했다.
해외도 마찬가지다. 미국 연방거래위원회(FTC)는 최근 겉보기에 정당한 QR코드를 이용한 새로운 피싱 공격이 증가하고 있다고 보고한 바 있다.
큐싱 예방책으론 △스캔 전 확인하기 △QR코드 외관 확인하기 △URL 확인하기 △예고 없는 QR코드 요청 경계하기 등이 거론된다.
새로운 QR코드를 스캔하기 전에 신뢰할 수 있는 출처인지 확인해야 하며, 특히 QR코드가 기기에 특정 권한을 요청한다면 신중히 접근할 필요가 있다. 또 공공장소에서 QR코드를 스캔할 땐 픽셀이 깨져 있거나 위치가 어긋나는 등 훼손된 흔적이 있는지 주의 깊게 살펴봐야 한다.
IBM 시큐리티는 “QR코드는 앱 설치나 정보 제공 등 다양한 용도로 편리하게 사용되고 있지만, 이 편리함이 경계를 낮추게 해선 안된다”며 “항상 주의를 기울이고 예방 수칙을 지킨다면, 개인과 기업 모두 큐싱 공격의 피해를 효과적으로 줄일 수 있다”고 밝혔다.
조재학 기자 2jh@etnews.com
