편리함 속 (좋은) 먹잇감이 된 QR코드
안녕하세요, 정보보호 전문 업체 보안클라우드입니다. 코로나19로 인하여 코로나19 예방접종을 증명과 출입 명부를 기록하기 위해 QR코드를 많이 사용하였던 기억이 있으실 겁니다. QR코드가 적극적으로 사용되면서 폭발적인 사용량이 증가하였지만, 이 QR코드를 악용한 큐싱(Qshing)에 대해 알아보고자 합니다.
QR코드란?
QR코드는 ‘빠른 응답 코드(Quick Response Code)’의 약자로 1994년 일본에서 처음 개발되었습니다. 일반 바코드와 달리 사각형의 2차원 형태를 가져 더 많은 정보 및 기능을 제공하고 있습니다. 이러한 QR코드를 이용하여 출석을 체크하거나, 애플리케이션을 다운로드하거나, 무료 Wi-Fi 이용, 결제 등의 편리함을 제공하고 있습니다. 코로나19로 인해 어디를 방문했는지 확인하기 위해 가게마다 출입명부 작성과 예방접종 증명를 위해 QR코드를 사용하는 경우가 많아졌습니다. 만일 QR코드가 없었다면 예방접종 증명서를 들고 다니거나, 안심 콜로 전화해야 하는 다소 번거로운 과정을 거쳐야 합니다. 이처럼 편리함을 제공하는 QR코드를 사용하는 만큼 이를 악용하는 큐싱의 사례도 점점 증가하고 있습니다. 그렇다면 큐싱은 무엇이며 어떠한 위험이 있는지 알아보도록 하겠습니다.
전자출입명부 시스템을 이용해 개인신상정보가 담긴 QR코드를 스캔
큐싱(Qshing)
사전적 의미로 QR코드와 개인정보 및 금융정보를 낚는다(Fishing)는 의미가 합쳐진 의미로 문자메시지를 통한 스미싱보다 한 단계 더 진화한 사기 기법입니다.
기존 스미싱은 문자메시지 및 이메일로 전송된 URL을 사용자가 클릭했다면, 큐싱은 사용자가 악의적인 QR코드를 스캔하면 악의적인 링크로 접속되어 개인정보 및 금융정보를 훔쳐냅니다. 근래 사람들은 스미싱에 대한 인식이 높아져 문자메시지나 이메일로 전송된 URL을 잘 클릭하지 않아 비교적 대비가 되었지만, QR코드를 이용한 큐싱공격에 대해선 낮은 보안 인식을 가지고 있는 것이 현실입니다. 뉴스에서 보도되는 이야기를 보고 “나는 속을 것 같지 않다”라는 생각을 하시더라도 다음 사례들처럼 쉽게 생각하지 못하는 곳까지 범죄자들은 우리 곁에 다가와 있습니다.
사례 1
공유 자전거 위에 QR코드 부착
거리를 걷다 보면 어렵지 않게 공유 킥보드나 자전거를 볼 수 있습니다. 이를 빌리기 위해선 부착된 QR코드를 스캔해야 합니다. 공격자들은 부착된 QR코드 위에 자신들이 만든 악의적인 QR코드를 스티커로 붙여놓게 되면 사용자들은 자전거를 빌리기 위해 스캔하였지만, 실제론 개인정보가 탈취당하거나 의도치 않은 결제가 되는 피해를 입을 수 있습니다.
https://www.youtube.com/watch?v=Qrv8nmj94z8 [출처 : 뉴스 들어가혁, JTBC, 2024년 1월 25일]
사례 2
급여 명세서로 위장한 큐싱 이메일 배포
배포된 이메일(왼쪽)과 이를 스캔하면 나타나는 사용자에게 정보를 입력하라는 메시지를 표시하는 페이지(오른쪽)
중국에서는 급여영수증 확인서를 이메일로 보내면서 급여지원금을 받기 위해선 QR코드를 스캔하라는 이메일이 배포되었습니다. 사용자들은 QR코드를 스캔하면 공격자가 의도한 사이트로 접속하면서 정보를 요구하고 있습니다. 지원금을 받기 위해 아무런 의심 없이 정보를 입력하는 이용자들은 자신이 입력한 정보는 모두 노출되는 것입니다.
사례 3
공공기관 사칭
경고장을 이용한 큐싱 사례
주차위반이나 공문 등을 공공기관에서 배포한 것처럼 사칭해 개인정보 혹은 송금을 노리는 유형들도 존재합니다. 나열한 사례들처럼 교묘하게 사람을 속이는 큐싱 공격에 대응하기 위해서는 어떠한 방안이 있는지 알아보도록 하겠습니다.
대응 방안
기존 스미싱과 차이점은 QR코드를 스캔하여 QR코드가 가리키는 사이트로 접속한다는 것입니다. 스미싱 대응책과 비슷하게 큐싱의 피해를 예방하기 위해선 사용자들이 QR코드를 스캔하려는 행위에 경각심을 가질 필요가 있습니다. 다음과 같은 상황의 QR코드를 스캔하려 한다면 주의가 필요합니다.
공공장소에서 볼 수 있는 QR코드는 스캔하지 않도록 합니다. 신뢰할 수 없는 웹 사이트에 있는 QR코드는 스캔하지 않도록 합니다. 공식 애플리케이션 스토어를 제외한 출처가 불분명한 곳에서 애플리케이션을 다운로드하지 않도록 합니다. 백신 프로그램 등을 설치하여 악성코드의 감염을 방지합니다. |
큐싱공격은 QR코드의 사용범위가 넓어짐과 함께 증가한 사이버 범죄입니다. QR코드는 간단한 방법으로 누구나 제작할 수 있고, 많은 정보를 담을 수 있는 매우 편리한 기능을 제공하는데요. 하지만 스캔을 하기 전까진 악의적인 QR코드와 정상적인 QR코드는 사람의 눈으로 전혀 구분할 수 없습니다. 이점을 이용한 공격이 바로 오늘 이야기한 큐싱 공격입니다. 기술 발전은 우리에게 편리함을 제공하지만, 그 편리함에서 발생할 수 있는 보안 위협에 대비하는 보안의식을 가출 필요가 있습니다. 이만 글을 마치고, 유익한 정보와 함께 다시 찾아뵙겠습니다.