가짜 QR코드로 악성 앱 설치해 개인정보와 금융정보 탈취
‘무료 쿠폰’, ‘가상화폐 제공’. ‘저금리 대출’ 등 내용으로 QR코드 실행 현혹
앱 설치, apk 형태, 개인정보 입력 요구, 웹브라우저에서 모든 서비스 진행시 의심 필요

최근 가짜 QR코드로 악성 앱을 설치해 개인정보와 금융정보를 탈취하는 ‘큐싱(QR코드+피싱)’이 기승을 부리고 있다.

경찰청은 “최근 공유자전거 이용 등 일상 곳곳에서 쉽고 편리하게 이용하는 QR코드를 가짜로 만들어 개인정보 유출과 금전피해를 입히고 있다”며 피싱 사기 수법인 큐싱에 대한 주의를 당부했다.

공격자는 ‘무료 쿠폰 드려요’, ‘가상화폐 뿌립니다’. ‘저금리 대출 확인’ 등과 같은 내용으로 가짜 QR코드를 유포하고, QR코드로 악성앱 설치를 유도한다. 사용자가 QR코드를 읽으면 자동으로 URL에 연결되어 악성앱이 다운로드되며, 금융정보와 개인정보를 탈취한다. 따라서 이용자는 이러한 가짜 QR코드에 속지 않도록 각별한 주의를 기울여야 한다.

문제는 이러한 가짜 QR코드가 온라인에서만 기승을 부리는 게 아니라는 점이다. 오프라인에서도 가짜 QR코드가 곳곳에서 포착되고 있다. 공격자는 공식 QR코드 위에 가짜 QR코드를 덧붙이는 방식으로 이용자를 속이고 있다.

보안전문가 인터뷰를 통해 해당 이슈에 대한 이용자가 피해를 입지 않도록 대응방안을 들어봤다.

1. 경찰청, 공공장소의 QR코드, 가짜 붙어 있는지 한 번 더 확인해야
“출처가 불분명한 QR코드는 스캔을 금지하고, 공공장소에 노출된 QR코드는 한번 더 살펴보며 신중을 기해야 합니다. 특히 출입등록, 공유자전거 등 이용시 가짜 QR코드가 붙어 있지는 않는지 꼼꼼히 살펴보는 게 중요합니다.”

2. 엠시큐어 홍동철 대표, QR코드 찍은 후 앱 설치하라고 하면 의심해야
“우선 QR코드를 찍은 후 URL로 이동시 앱 설치를 유도하는 경우 설치하지 않도록 유의해야 합니다. 혹시 사이트로 이동한 경우 개인정보 입력이나 로그인 유도 시 정보가 유출될 수 있어 입력하지 않도록 주의하는 게 중요합니다.”

3. 누리랩 최원혁 대표, 공유 자전거 이용시 공식앱 QR코드 스캔 습관 중요
“휴대폰 카메라를 통한 QR코드 스캔은 사용자에게 편리함을 제공하지만, 이 기능은 해커들이 사용자를 피싱 사이트로 유도하거나 악성코드가 포함된 앱 설치를 유도하는 등 악용될 수 있습니다. 공유 자전거와 같은 서비스 이용 시 해당 서비스의 공식 앱을 통한 QR코드 스캔 습관이 중요합니다.”

4. 스틸리언 신동휘 CTO, 웹 브라우저에서 서비스 진행되면 의심해야
“기본적으로 공격자는 사용자가 공격자들이 원하는 서비스에 방문하도록 유도합니다. 이는 공격자가 효과적인 서비스 방문 유도를 위해 새로운 전략을 기획한 것이죠. 하지만 공격자가 QR코드를 이용해 원하는 서비스로 방문을 유도해도 결국 연결되는 주소는 노출되기 때문에 개인정보와 중요정보를 입력해야 하는 상황이 발생한다면 제공되는 주소 또는 서비스에 대해 한번 더 생각해야 합니다. QR코드 촬영이 대부분 휴대폰에서 이뤄지는 만큼 QR코드 촬영시 정상 앱이 아닌 웹 브라우저에서 모든 서비스가 진행된다면 의심해야 합니다. 최근 대부분의 서비스가 앱 기반이라 이용자는 정상적인 경로를 통해 정상 앱을 설치하고 앱 내에서 서비스를 이용해야 합니다.”

5. 시큐리온 유동훈 대표, QR코드 누구나 URL 생성할 수 있어...apk 형태 조심해야
“QR코드 촬영 이후에 URL이 노출될 때 확인하는 것은 앱 특성마다 달라 사실상 쉽지 않은 상황이에요. 하지만 apk 형태로 받아지는 것은 웹에서 그간 문자로 전송해온 것과 같이 출처가 불분명한 앱이기 때문에 함부로 설치하면 안 됩니다. QR코드는 누구나 URL를 생성시키면서 정상인 것처럼 속여 배포할 수 있어요. 이는 모르는 사람이 보낸 문자와 같이 신뢰하기 어려운 경로입니다. QR코드 검사를 통해 악성앱 설치 등을 차단해야 합니다.”

[출처:보안뉴스]