QR코드, 생성·인쇄에 큰 비용 들지 않아 악용 사례 많다
“QR코드 생성 시 첨부되는 URL 유해 여부 검증 절차 의무화해야”

 

QR코드는 스마트폰 스캔으로 결제, 주문 등을 손쉽게 할 수 있다. 최근 이를 악용한 범죄가 기승을 부리고 있다. QR코드 이용자를 대상으로 한 ‘큐싱(Qshing)’이다. 큐싱은 ‘QR코드’와 ‘피싱’의 합성어로 QR코드를 활용한 해킹 범죄이다.

큐싱으로 다수 피해가 발생하고 있지만 이를 예방할 수 있는 실질적인 대안은 없다. 가해자는 가짜 QR코드로 악성 애플리케이션(이하 앱) 설치를 유도한다. 이용자가 QR코드를 스캔하면 악성 앱을 다운 받아 금융정보와 개인정보 등을 탈취한다.

SK쉴더스의 ‘2024 보안위협 전망 보고서’에 의하면 국내에서 탐지된 보안 공격 중 17%가 개인을 노린 피싱과 큐싱이었다. 큐싱으로 인한 피해는 전 세계적으로 보고되고 있다. 특히 대중적인 장소에서의 피해가 빈번하게 발생하고 있다.

다수인이 일상생활 곳곳에서 무방비로 큐싱에 노출돼 있다. 공유 킥보드에 부착된 정상 QR코드 위에 악성 QR코드 스티커를 덧붙이는 등의 수법이다. 대부분 이용자는 평상시에 아무런 의심 없이 QR코드를 촬영한다. 큐싱으로 악성코드가 설치된 스마트폰은 다양한 범죄 행위에 활용될 수 있다.

서비스 업체의 악성 QR코드가 부착될 수 있는 자전거나 킥보드 등에 대한 관리 감독 부실이 문제이다. 관련 업계에 의하면 공유 PM(개인형 이동장치)의 개수는 2020년 7만 대에서 2023년 29만 대로 대폭 증가했다. 공유 자전거 등 이용자가 많아짐에 따라 업체의 미흡한 관리는 해킹 등에 치명적일 수 있다.

공유 모빌리티 이용에 대한 신뢰도 저하와 공공 안전 문제도 우려된다. QR코드 생성 시 URL의 유해 여부 검증 절차도 없다. 대부분의 QR코드 생성 사이트에서는 QR코드 생성 비용을 요구하지 않아 악성 QR코드 대량 생산이 가능하다. 악성 QR코드를 만들기 쉬운 환경이다.

QR코드는 생성과 인쇄에 큰 비용이 들지 않기 때문에 악용되는 사례도 많다. 공유 모빌리티 업체에서 악성 QR코드를 판독할 수 있는 시스템이 마련되어 잊지 않다. 공유 자전거나 킥보드 이용자가 피해를 당하는 원인이다. 보안 기능 부재가 이용자를 위험에 빠뜨리고 있다.

QR코드 생성 사이트에서 생성 시 첨부되는 URL의 유해 여부를 검증하는..................[정순채 칼럼] 손쉬운 접근, 숨겨진 위험 ' 큐싱 전문보기  SDG뉴스 (http://www.sdgnews.net)