최근 자영업자 A씨는 '소상공인 저금리 대출'과 관련된 메일을 받았다. 메일에는 대출 안내와 함께 금융사기 예방 앱 설치를 위한 QR코드를 촬영하라는 내용이 담겨 있었다. A씨가 스마트폰으로 QR코드를 촬영하자 그의 휴대전화에는 악성 앱이 설치됐다. 이는 개인정보 유출로 이어졌고 1000만원가량의 금전적 피해를 봤다.
B씨는 모 은행의 스마트 뱅킹 앱을 이용해 자금 이체를 진행하던 중, 추가 인증이 필요하다며 QR코드가 담긴 문자 메시지를 받았다. 은행에서 보낸 메시지라고 생각한 B씨는 문자의 지시에 따라 앱을 설치하고 은행 보안 카드를 촬영했다. 순간 금융 사기라고 의심한 B씨는 동작을 중단했지만, 순식간에 통신사 소액결제로 게임머니 35만원이 결제돼있었다.
두 사연 모두 신용보증재단중앙회, 금융감독원이 각각 발표한 실제 '큐싱(Qshing)' 사기 피해 사례다. 큐싱이란 QR코드와 피싱 사기(Phishing)을 합한 단어로, QR코드를 이용한 사기 수법을 의미한다.
주로 피해자가 QR코드를 찍게끔 한 뒤 휴대폰에 악성 앱을 설치하거나 개인정보를 빼돌려 금전 피해를 입힌다. 경찰청이 공개한 큐싱 사기 진행 절차에 따르면, 먼저 금융범죄자가 피해자를 가짜 금융 사이트로 유도한 뒤 마치 인증이 필요한 것처럼 QR코드를 제시한다. 피해자가 이 QR코드를 찍어 악성 앱을 설치하면, 개인정보를 탈취하는 것이다.
일각에서는 큐싱사기가 새롭게 등장한 수법은 아니지만, 최근 QR코드의 이용이 보편화된 틈을 타 개인을 상대로 한 큐싱 사기 범죄가 늘었다고 진단하고 있다. 공유 자전거, 출입 등록, 결제 등 일상에서 QR코드를 사용하는 빈도가 늘어나 아무 의심 없이 QR코드를 사용하는 이가 많다는 지적이다.
실제 국내의 큐싱사기 피해 사례 또한 빠르게 늘고 있다. 보안 기업 SK쉴더스에 따르면 지난해 국내에서 탐지된 온라인 보안 공격 중 17%가 큐싱 사기 범죄였다. 아울러 큐싱 사기 범죄 건수는 전년 대비 60% 증가한 것으로 추정했다.
QR코드는 코드에 악성 링크를 삽입하더라도, 인터넷주소(URL)가 직접 노출되지 않아 스마트폰 백신의 탐지 기술로 완벽히 차단하기 어렵다. 일단 '찍어봐야' 알기 때문에 피해를 예방하는 것이 쉽지 않다.
이러한 QR코드의 특성을 이용해 해외에서도 황당한 큐싱사기 수법들이 기승을 부리고 있다. 이탈리아와 중국에서는 가짜 QR코드가 인쇄된 주차 위반 딱지가 발견된 바 있다. 미국에서는 주차장 요금 정산기 QR코드가 있어야 할 위치에 악성 QR코드가 덧붙여진 사례가 발견돼 미국 연방거래위원회(FTC)가 최근 소비자 경고도 내놨다.
이에 전문가들은 QR코드에 접속하기 전 출처가 신뢰할 만한 곳인지 먼저 확인하고 접속해야 한다고 당부했다.
금융감독원 관계자는 "일단 출처 불명의 QR코드에 접속하지 않는 것이 가장 중요하지만, 만일 사기 정황이 의심되면 최대한 빠르게 금융감독원, 경찰 등에 신고하는 것도 중요하다"며 "돈이 빠져나갔더라도 신속하게 피해 구제 신청을 하면 범죄의심 계좌 채권 소멸을 통한 지급 정지 처리와 개인정보 노출자 사고 예방 시스템 등록을 통한 피해 규모를 최소화가 가능하다"고 조언했다.
이어 "평소 휴대폰에 각종 금융 비밀번호나 OTP 카드, 신분증 등을 사진으로 갤러리에 남겨두지 않아야 개인정보 유출 시 피해를 줄일 수 있다"고 부연했다.
염흥렬 순천향대 정보보호대학원 교수는 "출처가 불분명한 QR코드가 안내하는 링크에 접속하지 않는 것이 중요하다"며 "QR코드를 찍어 특정 앱을 다운로드했을 때 그 순간 휴대폰이 완전히 악성 코드에 장악되는 경우가 많다"고 설명했다. 이어 "이런 경우 보안 프로그램으로도 잡기 힘든 경우가 있기 때문에 홍보를 통한 예방이 가장 중요하다"고 당부했다.
김영리 한경닷컴 기자 smartkim@hankyung.com
관련뉴스
