A씨는 모 은행의 스마트뱅킹 앱을 이용해 자금 이체를 진행하던 도중 추가인증이 필요하다는 QR코드가 담긴 문자를 받았다. A씨는 별다른 의심없이 QR코드를 통해 앱을 설치하고 은행 보안카드를 촬영했다. 그러다가 순간 금융사기를 의심한 A씨는 해당 앱을 강제로 중단했지만, 순식간에 통신사 소액결제로 35만원이 결제됐다.
이처럼 최근 QR코드를 이용한 사기수법인 '큐싱(Qshing)' 피해가 급증하고 있다. 19일 금융감독원에 따르면 '큐싱'은 사람들에게 QR코드를 찍게끔 한 뒤 휴대폰에 악성앱을 설치하거나 개인정보를 빼돌려 금전 피해를 입히는 것이다. '큐싱'은 QR코드와 피싱을 합친 신조어다.
경찰청이 공개한 큐싱 사기피해 사례를 살펴보면, 우선 금융범죄자가 피해자를 가짜 금융사이트로 유도한 뒤 인증절차를 요구하며 QR코드를 제시한다. 이 QR코드를 촬영해 해당 링크로 들어가면 그대로 악성앱이 설치되면서 개인정보가 탈취되는 것이다.
'큐싱' 사기수법이 처음 등장한 시기는 지난 2015년이지만, 최근 QR코드 이용이 보편화되면서 개인을 대상으로 한 큐싱 사기가 점차 늘어나고 있다. 공유자전거, 출입등록, 결제 등 일상에서 QR코드를 사용하는 빈도가 늘어나면서 대부분의 사람들이 아무 의심없이 QR코드를 사용하면서 그만큼 피해가 증가하고 있다.
보안기업 SK쉴더스에 따르면 지난해 국내에서 탐지된 온라인 보안공격 중 17%가 큐싱 사기였는데 이는 전년보다 60%가량 증가한 것으로 추정됐다.
QR코드는 코드에 악성 링크를 삽입해도 인터넷주소(URL)가 직접 노출되지 않아 스마트폰 백신 탐지 기술로 완전히 차단하기 어렵다. 일단 촬영해봐야 악성 링크인지를 판단할 수 있기 때문에 예방하는 것도 쉽지 않다. 이런 특성때문에 국내뿐만 아니라 해외에서도 큐싱사기 수법들이 기승을 부리고 있다.
최근 이탈리아와 중국에서는 가짜 QR코드가 인쇄된 주차위반 딱지가 발견된 바 있으며, 미국에서는 주차장 요금정산기 QR코드 위에 악성 QR코드가 덧붙여진 사례가 발견되기도 했다.
금융감독원 관계자는 뉴스트리와 통화에서 "일단 출처불명의 QR코드에 접속하지 않는 것이 가장 중요하다"라며 "만약 사기 정황이 의심되거나 실제 피해가 발생하면 최대한 빠르게 금융감독원과 경찰 등에 신고해야한다"고 말했다. 이어 "돈이 빠져나갔더라도 신속하게 피해 구제 신청을 하면 범죄의심 계좌 채권 소멸을 통한 지급정지 처리와 개인정보 노출자 사고예방 시스템 등록을 통한 피해규모를 최소화하는 것이 가능하다"고 조언했다.
Copyright @ NEWSTREE All rights reserved.
