코로나19 이후 QR코드 사용이 확산되면서, 큐싱(Qshing) 범죄가
작년 말부터 더 발전된 형태로 또다시 성행하고 있다. 큐싱은 오래 전부터 존재해왔던 공격 기법으로, 9년 전 안랩 시큐리티 레터에서도 큐싱에
대해 소개한 바 있다. 큐싱(Qshing)은 QR코드와 피싱(Phishing)의 합성어로, QR코드를 이용한 해킹 공격이다. 이는 사용자가 악성
QR코드를 촬영해 악성 앱을 내려 받거나, 악성 프로그램을 설치하도록 유도한다. 이번 글에서는 큐싱에 대해 경각심을 갖자는 의미에서 최신 큐싱
피해 사례와 예방법을 몇 가지 소개한다.
본론으로 들어가기에 앞서, 최근 세계 각국에서 유행 중인 큐싱 사례를 간단히 소개하면 다음과 같다.
#1 최근 중국에서는 가짜 QR코드를 포함한 주차 위반 딱지가 발견됐다. 앞 유리 와이퍼 아래 주차 위반 딱지가 있어 QR코드를
카메라로 스캔하고 연결된 앱에서 개인정보를 입력했는데, 알고 보니 가짜였다.
#2 스페인 마드리드에서는 공공자전거에 부착된 사기 QR코드가 발견됐다. 사용자들은 자전거 이용을 목적으로 로그인 및 결제하는 QR코드인
줄 알았지만, 사실은 피싱범들이 만든 사기 QR코드였다.
#3 미국에서는 주차장 요금 정산기의 QR코드를 악성 QR코드로 덮어 사람들이 주차 요금을 결제하려고 할 때마다 피싱에
말려들게 하는 수법이 기승을 부리고 있다.
모바일 피싱은 그동안 문자 메시지를 악용하는 경우가 많았다. 하지만 요즘에는 많은 사람들이 보안에 대한 인식이 높아져 메시지 본문에 포함된
URL을 섣불리 클릭하지 않는다. 이에 해커들은 악성코드 유포 및 개인정보 탈취를 위한 수단을 큐싱으로 전환한 것으로 보인다.
큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치를 유도해 각종 개인정보와 금융정보를 빼가는 공격 방식이다. 공식
QR코드 위에 가짜 QR코드 스티커를 붙이거나 가짜 QR코드를 온라인이나 문자 메시지 등으로 유포해 악성 앱을 설치하도록 유도하는 등 다양한
형태로 나타나고 있다.
최근에는 가상화폐를 이용한 큐싱 사례도 등장했다. 가상화폐를 무료로 주겠다고 유인하며 악성 QR코드를 제공하는 사례가 발견되고 있다. 피해자가
QR코드를 스캔한 뒤 가상화폐를 받기 위해 코인 지갑을 인증하면 지갑의 주소와 가상화폐를 탈취해가는 수법이다.
보안 업계에서는 큐싱 수법에 당하지 않기 위해 공공장소 또는 보안이 허술한 웹 사이트에 노출된 출처가 불분명한 QR코드 스캔 시 주의할 것을
당부한다. 아울러, 간혹 이메일로 QR코드 인증을 요구하는 경우도 있어 이메일에 포함된 QR코드도 웬만해서는 접속하지 말라고 조언한다.
전문가들은 혹시 QR코드를 스캔하더라도 악성 앱이 설치되지 않도록 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고, 최신 버전을 유지하는
것이 중요하다고 강조한다. 만일 악성 앱이 이미 설치된 경우, 스마트폰을 안전 모드로 부팅한 후 기기 관리자 권한을 비활성화하면 해당 앱을
삭제할 수 있다.
[그림 1] 최근 다시 부상하는 큐싱 사기
그렇다면 큐싱 사기로 인한 피해를 예방하려면 어떻게 해야할까? 그 방법을 아래와 같이 몇 가지 소개한다.
1. QR코드 위에 다른 QR코드가 덧입혀 있는지 확인한다
피싱 범죄자들이 기존 QR코드와 크기가 동일한 QR코드를 붙이는 사례가 종종 발견된다. 따라서QR코드가 이중으로 겹쳐져 있지는 않은지 확인할
필요가 있다. 특히 공공기물에 부착된 QR코드는 더 조심해야 한다.
2. 앱을 설치하라는 안내 문구를 의심한다
앱을 설치하라고 하는 안내 문구가 나온다면 큐싱 사기일 가능성이 매우 높으니 절대로 설치하면 안 된다. 링크나 QR을 통해서 스캔을 했는데 해당
문구가 나오면 바로 무시하고 설치를 중단해야 한다. 앱 설치는 공식 앱 스토어 외에는 설치하지 않는 것이 좋다.
3. 이메일을 통한 QR 인증 무시하기
이메일을 통해 발송되는 QR코드도 무시하는 것도 큐싱 피해를 예방하는 방법이다. 모르는 번호나 이메일에 QR코드가 삽입돼 있다면 큐싱일 가능성이
높다.
4. QR코드 스캔 후 사이트 주소 확인하기
스마트폰으로 QR코드를 스캔하면 일반적으로 연결되는 사이트 주소가 팝업 알림으로 뜬다. 이때 주소가 올바른 지 반드시 확인해야 한다. 사이트
주소 중 스펠링 하나만 바꿔 사용자에게 혼동을 줘 접속을 유도하는 사례가 빈번히 발생하고 있다.
5. 악성 앱이 설치된 경우 통신 기능 차단하기
혹시 실수로 악성 앱을 설치했다면 즉시 휴대폰을 비행기 보드로 바꿔 통신 기능을 차단해야 한다. 피싱 범죄자들이 휴대폰을 원격으로 제어하지
못하도록 막기 위함이다. 그런 다음, 최신 버전으로 업데이트된 백신 앱으로 휴대폰을 검사하고 악성 앱을 삭제해야 한다. 만약 앱이 삭제되지
않는다면 휴대폰 데이터를 백업한 뒤 초기화하는 것이 좋다.
6. 악성코드를 탐지하는 백신 프로그램 설치
악성코드를 탐지하는 백신 프로그램을 설치해도 큐싱 사기를 예방할 수 있다.
[출처 : 안랩(((www.ahnlab.com)]
