QR 코드를 악용한 ‘퀴싱(quishing)’ 사기가 전 세계적으로 빠르게 늘고 있다.

사이버보안 기업 ESET에 따르면, 이 수법은 1년 전만 해도 거의 없었지만 최근에는 전체 사기의 10건 중 1건을 차지할 정도로 증가했다. 퀴싱은 QR 코드가 연결되는 웹사이트 주소를 사기 사이트로 바꿔, 이용자가 신용카드 정보나 로그인 정보를 입력하도록 유도하는 방식이다.

ESET 뉴질랜드의 스콧 레먼은 QR 코드가 기존 보안 체계를 우회하기 때문에 위험성이 크다고 설명했다. 그는 사람들이 이메일이나 현실 공간에서 QR 코드를 발견하면 휴대전화로 스캔해 링크로 들어가게 되는데, 그 링크가 실제 공식 사이트가 아니라 사기범이 만든 가짜 사이트로 연결될 수 있다고 말했다. 이후 해당 사이트는 구글이나 마이크로소프트 계정 로그인, 또는 결제를 위한 신용카드 정보 입력을 요구하는 경우가 많으며, 이 과정에서 계정 정보나 카드 정보가 탈취된다고 밝혔다.

그는 특히 낯선 발신자로부터 온 이메일이나, 기기에서 백신 프로그램이 설치되지 않은 경우 각별히 조심해야 한다고 경고했다. 예를 들어 뉴질랜드포스트를 사칭해 “세관에서 보관 중인 소포가 있으니 QR 코드를 스캔해 요금을 결제하라”고 안내한 뒤, 사용자가 이를 믿고 접속하면 카드 정보가 유출될 수 있다는 것이다.

올해 3월 전체 사이버 사기 중 퀴싱 비중은 약 4%였지만, 4월에는 9%를 넘어섰다. 이는 지난해 같은 시기에는 사실상 관측되지 않던 공격이 빠르게 늘어난 것이라고 ESET은 설명했다.

레먼은 QR 코드가 주차 미터기, 기부용 안내판 등 일상 곳곳에서 널리 쓰이면서 더 자연스럽고 흔한 도구처럼 인식되고 있다며, 바로 그 점이 사기범들에게 악용되기 쉬운 환경을 만들고 있다고 지적했다.

그는 또 QR 코드가 단순히 카드 정보 탈취에 그치지 않고, 악성코드 설치로 이어질 수도 있다고 말했다. 특히 구글 계정, Gmail, 마이크로소프트 365 등의 로그인 정보를 입력하게 만들 경우, 개인 계정뿐 아니라 기업 계정까지 침해당할 수 있어 피해 범위가 훨씬 커질 수 있다고 경고했다.

Source: RNZ