온라인상에서 이뤄지는 사기 수법이 갈수록 교묘해지고 있다. 최근에는 스마트폰 이용자들이 많이 사용하는 QR코드를 악용한 신종 사이버 금융사기인 ‘큐싱(Qshing)’ 피해가 증가하고 있다. 큐싱은 QR코드(Quick Response)와 피싱(Phishing)의 합성어로 QR코드를 이용한 해킹을 의미한다.

큐싱은 QR코드를 이용한 신종 사기 수법이다. 사용자가 QR코드를 스캔하면 악성 코드가 들어 있는 앱 설치를 유도한다. 해커가 만든 악성QR 코드를 촬영하게 해 악성 코드를 설치하거나 개인정보를 탈취하는 수법이다. 지난해 온라인 공격 중 17%가 큐싱 방식으로 이뤄졌다. 이는 전년 대비 60%나 늘어난 수치다. 

QR코드는 사용자가 직접 스캔하기 전까지 QR코드의 정상 여부와 QR코드 발행자가 누구인지 알 수 없다. 큐싱범은 이 점을 노린다. 보이스피싱은 수사기관이나 금융기관을 사칭 해 돈을 빼간다. 스미싱은 문자메시지에 악성 사이트 주소를 첨부하는 수법이다. 규싱은 이런 보이스피싱이나 스미싱에 비해 사기임을 구분하기가 더 어렵다.

QR코드는 스마트폰 보급 확대로 활용도가 높아졌고 카메라 앱으로 접속이 쉽다. 흑백 격자무늬 패턴에 사진뿐 아니라 동영상, 지도, 명함 등 방대한 정보를 담을 수 있는 특징이 있다. QR코드의 일반구조인 바코드는 단방향(1차원)으로 숫자나 문자를 저장한다. QR코드는 종횡(2차원)의 형태로 더 많은 정보를 저장해 활용도가 매우 높다.

코로나19 팬데믹으로 출입기록 관리 등 QR코드 사용이 잦아지면서 이를 악용한 사기가 기승을 부리고 있다. 범죄 수법도 갈수록 다양하게 나타난다. 전동킥보드 이용용 QR코드 위에 가짜 QR코드를 덧씌우기도 한다. 고객 사은 이벤트로 위장한 QR코드를 넣은 홍보 전단을 뿌리는 수법도 등장했다. 주차된 차에 ‘불법 주차 경고장’ 딱지를 붙여놓고 QR코드를 통해 벌금 납부를 요구하기도 한다.

큐싱 사기는 해외에서도 경각심이 높아지고 있다. 올해 초에는 중국에서 정부를 사칭한 ‘임금 보조금 지급’ 안내 메일이 유포됐다. 보조금을 받으려면 메일에 첨부된 QR코드를 스캔한 뒤 중국 정부 사이트로 위장된 가짜 사이트로 유도하는 수법이다. 지난해 12월 미국 연방거래위원회(FTC)는 홈페이지에 QR코드 스캔 과정에서 ‘개인정보 유출 피해가 발생할 수 있다’라는 경고 메시지를 올렸다. 

우리는 평소에 QR코드를 조심하라는 말은 듣고 있다. 이러한 QR코드가 점점 진화하고 있다. 공식 홈페이지의 QR코드를 가장해 위장 QR코드 스캔도 유도................[정순채 칼럼] 신종 온라인 사기범죄 ‘큐싱’ 전문보기