최근 A 씨는 급하게 이동하려던 중, 길에 놓인 공유 킥보드를 발견했습니다.
반가운 마음에 킥보드의 QR코드를 스캔한 후 안내에 따라 애플리케이션(앱)을 설치하고 결제정보를 등록했습니다.
그러나 5분 정도 이용한 뒤 결제 내역을 확인하자 A 씨는 깜짝 놀랄 수밖에 없었습니다.
무려 수십만 원이 인출되었기 때문입니다.
이 사건은 QR코드와 피싱(Phishing)의 합성어인 '큐싱(Qshing)' 사기의 전형적인 예입니다.
큐싱은 악성코드가 심어진 가짜 QR코드를 이용해 사용자가 악성 프로그램을 설치하게끔 유도하는 방식을 의미합니다.
최근 진행된 정보보호의 달 행사에서도 이 이슈가 대국민 사이버위협 예방 이벤트로 소개되었습니다.
SK쉴더스 화이트해커 집단 'EQST'에 따르면, 이러한 큐싱은 지난해 국내 전체 사이버 위협의 약 17%를 차지한 것으로 드러났습니다.
국외에서도 14%의 비중을 차지하고 있습니다.
이는 공유 모빌리티, 요식업장 주문, 오프라인 행사 및 민원 안내 등에서 QR코드가 활발히 사용되는 점을 악용한 것으로 분석됩니다.
큐싱의 수법과 피해 사례
올해 3월 경찰청에 따르면 큐싱 수법은 크게 두 가지로 나눌 수 있습니다.
온라인에서 가짜 QR코드를 유포하거나 오프라인에서 인쇄된 QR코드 위에 스티커를 덧대어 가짜 QR코드를 노출시키는 것입니다.
사용자가 이러한 QR코드를 인식하면 악성 앱을 다운로드하게 하는 URL이 노출됩니다.
보통의 스미싱(Smishing)과 달리 수상한 설명문도 보이지 않아 사용자가 쉽게 속을 수밖에 없습니다.
이후 사용자가 악성 앱이 요구하는 대로 기기 권한을 부여하거나 개인·금융정보를 입력하면 금전적 피해가 발생하게 됩니다.
공격자가 원격으로 모바일 기기에 접속하거나 작동하는 것도 가능해집니다.
김은성 한국인터넷진흥원(KISA) 스미싱대응팀장은 악성 QR코드가 오프라인에서 주로 유포되기 때문에 단속하기 어렵다고 설명했습니다.
사용자의 주의가 유일한 대응 수단
지금으로선 사용자가 주의하는 것이 유일한 대응 수단입니다.
경찰청과 KISA 등은 출처가 불분명하거나 공공장소에 놓인 QR코드는 신중하게 살펴야 한다고 강조합니다.
또 스캔 시 연결되는 링크를 주의 깊게 살피는 한편, 앱에 함부로 개인정보 등을 입력하지 말아야 한다고 덧붙였습니다.
큐싱 사기 예방을 위한 팁
- QR코드 출처 확인: 공공장소나 출처가 불분명한 QR코드는 사용하지 않습니다.
- 링크 확인: QR코드를 스캔한 후 연결되는 링크가 신뢰할 수 있는지 확인합니다.
- 앱 설치 주의: QR코드를 통해 앱을 설치할 때는 앱의 평판과 리뷰를 확인합니다.
- 개인정보 보호: 앱에 함부로 개인·금융정보를 입력하지 않습니다.
- 보안 소프트웨어 사용: 모바일 기기에 최신 보안 소프트웨어를 설치하여 악성 코드로부터 보호합니다.
큐싱 사기는 언제 어디서나 일어날 수 있습니다. 사용자가 스스로 주의하고 경계하는 것이 가장 중요합니다.
안전한 모바일 생활을 위해 항상 조심하세요!
'세상에 이슈' 카테고리의 다른 글
한수원 체코 원전 수주, 미국 웨스팅하우스승인 없이가능? 30조 승인 해줄까? (0) | 2024.07.19 |
---|---|
윤석열 대통령 탄핵 청원 청문회: 증인 불출석 속 의혹 해결 가능할까? 이종호·신원식·김계환 줄줄이 불출석 (0) | 2024.07.19 |
이재명 '헬기 이송' 조사 돌연 시작! 김건희 가방 사건과 비교되는 이유는? (2) | 2024.07.19 |
박주호, 축구협회 감독 선임 절차의 불공정성 폭로! "이게 정상인가?" (0) | 2024.07.19 |
바이든 대통령, 코로나19 재확진! 유세 일정 전면 취소! 자택 격리 돌입! (1) | 2024.07.19 |