QR코드 찍었더니 개인정보 탈탈…늘어나는 큐싱 사기 > 사회기사 | society

자영업자 A씨는 소상공인 저금리 대출과 관련한 메일을 받았습니다. 메일에는 대출 안내와 함께 금융사기 예방 앱 설치를 위해 QR코드를 촬영하라는 내용이 있었습니다.

스마트폰으로 QR코드를 촬영한 A씨. 이후 A씨의 휴대전화에는 악성 앱이 설치됐고, 개인정보가 유출돼 1000만원 넘는 금전적 피해를 당하게 됐습니다.

신용보증재단중앙회가 실제 접수된 사기 피해 사건으로 소개한 A씨의 사례는 전형적인 큐싱Qshing 피해 사례입니다.

큐싱이란 QR코드와 피싱Phishing을 합한 단어로, QR코드를 이용한 사기 수법을 뜻합니다.

피해자가 QR코드를 스캔하면 특정 사이트에 접속하게 되는데, 이때 악성 앱을 설치하도록 하거나 개인정보를 입력하게 만드는 방식입니다.

최근 일상 곳곳에서 QR코드가 이용되는 점을 악용한 신종 사기가 전 세계적으로 기승을 부리고 있습니다.

-

늘어나는 큐싱 범죄…뱅킹·가상자산 노린다

-

보안 전문 기업 SK쉴더스에 따르면 지난해 국내 큐싱 범죄는 전년 대비 60% 넘게 증가한 것으로 추정됩니다.

보이스피싱과 스미싱 수법이 많이 알려지자 QR코드를 이용한 새로운 피싱이 기승을 부리는 것으로 분석되는데요.

최근 여러 금융 서비스와 공공 자전거, 결제 등 일상 속에서 QR코드 사용이 늘어난 점도 영향을 줬습니다.

대표적인 수법은 은행 사이트를 위조해 금전을 빼가는 겁니다.

피싱 사기범들은 파일 공유사이트 등을 통해 스마트폰을 악성 코드에 감염시킨 뒤, 사용자가 정상적인 은행 사이트에 접속하려 할 때 위조된 가짜 사이트로 이동하도록 만듭니다.

위조된 사이트에서는 추가 인증이 필요하다며 QR코드를 스캔하도록 하는데요. 이때 악성 앱을 설치하고 보안카드 등의 개인 정보를 빼내 소액 결제나 자금 이체를 하죠.

SK쉴더스에 따르면 최근에는 가상화폐를 이용한 큐싱 사례도 등장했습니다. 가상화폐를 무료로 주겠다고 유인하며 악성 QR코드를 제공합니다. 피해자가 QR코드를 스캔한 뒤 가상화폐를 받기 위해 코인 지갑을 인증하면 지갑의 주소와 가상화폐를 탈취해가는 수법입니다.

-

공공 자전거에도 악성 QR코드가

-

해외에서는 보다 더 일상적으로 큐싱 범죄가 발생하고 있습니다.

중국에서는 가짜 QR코드가 인쇄된 주차 위반 딱지가 발견됐고, 스페인에서는 공공자전거 QR코드에 악성 QR코드 스티커가 덧붙여진 사례도 발견됐습니다.

큐싱 범죄가 심각해지자 미국 연방거래위원회FTC도 최근 소비자 경고를 내놨는데요.

미국에서는 주차장 요금 정산기의 QR코드를 악성 QR코드로 덮어 사람들이 주차 요금을 결제하려고 할 때마다 피싱에 말려들게 하는 수법이 기승을 부리고 있습니다.

또 이메일이나 문자메시지를 통해 QR코드를 전송하고 스캔하도록 유도하는데요. 계정에 수상한 움직임이 포착됐으니 비밀번호를 바꿔야 한다는 식으로 속여 QR코드를 스캔하게 만드는 겁니다.

-

출처 불분명한 QR코드는 촬영하면 안 돼

-

큐싱 범죄 피해를 예방하려면 출처가 불분명한 QR코드는 촬영하지 않아야 합니다. 특히 공공장소에 공개돼있는 QR코드를 스캔할 때는 신중해야 합니다.

스마트폰으로 QR코드를 스캔하면 보통 연결할 사이트 주소가 팝업 알림으로 뜨게 되는데요. 이때 주소가 올바른지 확인해야 합니다. 사이트 주소 중 스펠링 하나만 바꿔 헷갈리게 한 뒤 접속을 유도하는 사례가 있기 때문이죠.

공공 자전거나 공유 킥보드를 이용할 때엔 QR코드 위에 스티커가 덧붙여지지는 않았는지 확인하는 것이 좋습니다.

무심결에 QR코드를 촬영한 뒤 인터넷 사이트에 접속했더라도, 개인정보 입력이나 앱 설치는 하지 말아야 합니다.

김승주 고려대학교 정보보호대학원 교수는 "QR코드 촬영 자체만으로 스마트폰이 해킹당하는 건 아니다"라며 "보통 QR코드를 스캔해 접속하는 사이트에서 악성 앱 설치를 유도하거나 개인정보를 입력하게 하는데, 그걸 하지 말아야 한다"고 강조했습니다.

-

악성 앱 설치됐거나 개인정보 입력했다면 대처법은?

-

만약 QR코드를 스캔한 뒤 접속한 사이트를 통해 앱을 설치했거나 개인정보를 입력했다면 어떻게 해야 할까요.

스미싱 문자를 통해 출처가 불분명한 URL에 접속했을 때와 대처법은 같습니다.

악성 앱을 설치했다면 즉시 휴대전화를 비행기 모드로 바꿔 통신 기능을 차단해야 합니다. 피싱범들이 스마트폰을 원격으로 제어하지 못하도록 막는 겁니다. 그리고 나서 최신 업데이트된백신 앱으로 휴대폰을 검사하고 악성 앱을 삭제해야 합니다.

앱이 지워지지 않는다면 휴대폰 데이터를 백업한 뒤 초기화하는 것이 좋습니다. 휴대폰 서비스센터에 도움을 요청하는 것도 방법입니다.

개인정보를 입력한 뒤라면 금융회사 콜센터나 금융감독원 콜센터1332에 연락해 계좌 지급정지를 요청하고 피해구제를 신청해야 합니다.

금융소비자 정보포털 파인에서 개인정보 노출자 사고예방 시스템에 개인정보를 등록하면 신규 계좌개설과 신용카드 발급도 막을 수 있습니다.

SK쉴더스는 “입력한 개인정보에 따라 재빠르게 대처해야 한다. 카드 정보를 입력했다면 카드 정지 후 재발급을, 금융 인증정보를 입력했다면 인증 비밀번호를 즉시 바꿔야 한다”며 “무엇보다 항상 경각심을 갖고 앱 설치 및 개인정보 입력에 유의해야 한다”고 강조했습니다.