30대 임모씨는 지난달 개인형 이동장치(PM) 전동 킥보드를 타기 위해 스마트폰으로 촬영을 했다가 제대로 결제가 되지 않는 걸 확인했다. 다시 QR코드를 보니 교묘하게 비슷한 모양의 스티커가 덧씌워져 있었다. 임씨는 “다행히 QR 접속 다음 단계를 진행하진 않았지만, 찝찝한 마음에 스마트폰에 저장된 금융 앱 비밀번호를 다 바꿨다”고 말했다.QR코드를 이용한 피싱의 일종인 ‘큐싱’이 국내에 확산하고 있다. 큐싱은 QR을 촬영한 스마트폰에서 개인정보, 비밀번호 등을 탈취해 가는 신종 사기 방식이다.
5일 서울시설관리공단에 따르면 공단은 지난달 말 서울시 공유 자전거 따릉이 앱 이용자에게 ‘큐싱 범죄 주의 안내’ 공지를 보냈다. 아직까지 임씨와 같은 큐싱 시도 관련 신고는 없었지만, 야외에 노출되는 자전거 특성상 언제든 위험에 노출될 수 있다는 판단에 따라 사전조치에 나선 것이다. 임씨 사례처럼 ‘QR코드 위 가짜 QR 스티커를 발견했다’는 SNS 글이 최근 확산하면서 “고유 번호를 입력해 따릉이를 이용하겠다”는 사용자도 많아지고 있다.
피해 사례도 나타났다. 금융감독원이 지난달 공개한 사례를 보면 자영업자 A씨는 ‘소상공인 저금리 대출’ 메일 안의 휴대폰 보안 앱 QR코드를 촬영했다가 1000만원이 넘는 손해를 봤다. 그는 무심코 촬영한 QR코드가 문제였다는 사실을 뒤늦게 알게 됐다.
보안 솔루션 기업 SK쉴더스에 따르면 2023년 국내에서 탐지된 온라인 보안 공격의 17%가 큐싱으로 전년 대비 60%가량 증가했다. 큐싱은 중장년층이 주된 피해자인 보이스피싱과 달리 청년층이 주로 당하는 게 특징이다. 공유 자전거, 결제 서비스 등 일상 속 QR코드를 활용하는 데 익숙하기 때문이다. 30대 김모씨는 “최근 유튜브 암호화폐 광고에서 보너스 코인을 준다고 해 QR코드를 찍어 접속했는데, 사기일 수도 있다는 생각이 들어 빠져나왔다”고 말했다.
최경호 한국큐싱방지안심큐알인증협회장은 “기존 피싱 수법과 비교하면 큐싱은 피싱 페이지로 바로 이동하기 때문에 즉각적인 방어가 어려운 게 특징”이라며 “스마트폰 보급률이 높은 한국은 큐싱 범죄에 특히 더 취약하다”고 말했다. 어린이들도 각종 게임과 온라인 결제 등에서 QR코드를 사용하는 사례가 많아 사전 교육이 필요하다는 게 전문가들의 지적이다.
각종 도박사이트 전단지, 불법 주차경고문 등에도 QR코드가 담겨 있는 사례가 발견되는데 함부로 촬영해선 안 된다는 설명이다.
안정훈 기자 ajh6321@hankyung.com
관련뉴스
