QR코드로 위장한 해커의 덫 큐싱 사기
코로나19 이후 QR코드 사용이 확산되면서 큐싱(Qshing) 범죄가 작년 말부터 더욱 발전된 형태로 또다시 성행하고 있다. 큐싱은 오래전부터 존재해 왔던 공격 수법으로 9년 전 안랩 시큐리티 레터에서도 큐싱에 대해 소개한 바 있다. 큐싱은 QR코드와 피싱(phishing)의 합성어로 QR코드를 이용한 해킹 공격이다. 이는 사용자가 악성 QR코드를 촬영해 악성 앱을 내려받거나 악성 프로그램을 설치하도록 유도한다.
큐싱 피해 사례
최근 중국에서는 가짜 QR코드를 포함한 주차 위반 딱지가 발견됐다. 앞 유리 와이퍼 아래 주차 위반 딱지가 있어 QR코드를 카메라로 스캔하고 연결된 앱에서 개인정보를 입력하였는데 알고 보니 가짜였다.
스페인 마드리드에서는 공공자전거에 부착된 사기 QR코드가 발견됐다. 사용자들은 자전거 이용을 목적으로
로그인 및 결제하는 QR코드인 줄 알았지만 사실은 피싱범들이 만든 사기 QR코드였다.
미국에서는 주차장 요금 정산기의 QR코드를 악성 QR코드로 덮어 사람들이 주차 요금을 결제하려고 할 때마다 피싱에 말려들게 하는 수법이 기승을 부리고 있다.
모바일 피싱은 그동안 문자 메시지를 악용하는 경우가 많았다. 하지만 요즘에는 많은 사람들이 보안에 대한 인식이 높아져 메시지 본문에 포함된 URL을 섣불리 클릭하지 않는다. 이에 해커들은 악성코드 유포 및 개인정보 탈취를 위한 수단을 큐싱으로 전환한 것으로 보인다.
최근에는 가상화폐를 이용한 큐싱 사례도 등장했다. 가상화폐를 무료로 주겠다고 유인하며 악성 QR코드를 제공하는 사레가 발견되고 있다. 피해자가 QR코드를 스캔한 뒤 가상화폐를 받기 위해 코인 지갑을 인증하면 지갑의 주소와 가상화폐를 탈취해 가는 수법이다.
큐싱 예방법
큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치를 유도해 각종 개인정보와 금융정보를 빼가는 공격 방식이다. 공식 QR코드 위에 가짜 QR코드 스티커를 붙이거나 가짜 QR코드를 온라인이나 문자 메시지 등으로 유포해 악성 앱을 설치하도록 유도하는 등 다양한 형태로 나타나고 있다.
보안 업계에서는 큐싱 수법에 당하지 않기 위해 공공장소 또는 보안이 허술한 웹 사이트에 노출된 출처가 불분명한 QR코드 스캔 시 주의할 것을 당부한다. 아울러 간혹 이메일로 QR코드 인증을 요구하는 경우에도 있어 이메일에 포함된 QR코드도 웬만해서는 접촉하지 않는 것이 좋다.
전문가들은 혹시 QR코드를 스캔하더라도 악성 앱이 설치되지 않도록 모바일 전용 보안 앱이나 스미싱 탐지앱을 설치하고 최신 버전을 유지하는 것이 중요하다고 강조한다. 만일 악성 앱이 이미 설치된 경우 스마트폰을 안전 모드로 부팅한 후 기기 관리자 권한을 비활성화하면 해당 앱을 삭제할 수 있다.