큐알(QR) 코드 사기 '큐싱' 수법

QR(큐알) 코드 사기

사기 QR(큐알) 코드로 유인해서 계좌정보 뼈가

- 온라인상에서 이뤄지는 사기 수법이 갈수록 교묘해지고 있다. 최근에는 스마트폰 이용자들이 많이 사용하는 QR(큐알) 코드를 악용한 신종 사이버 금융사기인 '큐싱(Qshing)' 피해가 눈에 띈다. 큐싱은 QR코드와 피싱의 합성어로, 사용자가 QR코드를 스캔하면 악성 코드가 들어 있는 앱을 설치하도록 유도하는 것이 특징이다. 

 

경찰은 큐싱 사기 수사와 예방 활동에 활발하다. 5월부터 큐싱 예방 영상을 제작하는 등 집중 단속에 나선 경기남부경찰청 소속 한 경찰은 "큐싱은 과거에도 있던 범죄지만 여전히 경각심이 낮은 상황이라 신종 사기로 판단하고 예방 활동에 나서고 있다"라고 말했다. 

큐싱 사기 수법

 

 

- 큐싱 사기는 직접 스캔하기 전까지 정상 QR 코드 여부는 물론 QR코드 발행자가 누군지 알 수 없다는 점을 노린다. 그러다 보니 수사기관이나 금융기관을 사칭해서 돈을 빼가는 보이스피싱, 문자메시지에 악성 사이트 주소를 첨부하는 스미싱과 비교해서 사기임을 구분하기가 더 어려워졌다는 지적이다. 

 

QR 코드는 스마트폰 보급 확대로 활용도가 높아졌고 별도 스캐너 없이 카메라 앱으로 쉽게 접속이 가능하다. 흑백 격자무늬 패턴에 사진뿐 아니라 동영상, 지도, 명함 등 방대한 정보를 담을 수 있어서 활용도가 높다는 것이 특징이다. 특히 코로나 시기를 거치며 출입기록 관리 등 QR코드 사용이 잦아지면서 이를 악용한 사기가 더욱 기승을 부리고 있다. 

 

 

- 범죄 수법은 갈수록 다양해지고 있다. 전동킥보드를 이용하기 위한 QR코드 위에 가짜 QR코드를 덧씌우는 가하면 고객 사은 이벤트로 위장한 QR코드를 넣은 홍보 전단을 뿌리는 수법도 등장했다. 주차된 차에 '불법 주차 경고장' 딱지를 붙여놓고 QR코드를 통해 벌금을 납부하라고 요구하는 사기까지 등장했다. 

점점 늘어나는 큐싱 범죄

 

 

- 보안업체 SK쉴더스에 따르면 작년 온라인 보안 공격 가운데 17%가 큐싱 방식으로 이뤄졌다. 전년 대비 60%나 늘어난 수치다. 해외에서도 큐싱 사기에 대한 경각심이 커지고 있다. 올해 초에는 중국에서 정부를 사칭한 '임금 보조금 지급' 안내 메일이 유포됐다. 이 또한 큐싱 사기였다. 

 

보조금을 받으려면 메일에 첨부된 QR코드를 스캔한 뒤 중국 정부 사이트로 위장된 가짜 사이트에 카드번호 등 개인정보를 입력하도록 유도하는 수법을 썼다. 미국 연방거래위원회(FTC)는 지난해 12월 홈페이지에 QR코드 스캔 과정에서 개인정보 유출 피해가 발생할 수 있다는 소비자 대상 경고 메시지를 올렸다. 

 

ETC는 유료 주차장에 게시된 QR코드를 해킹 코드가 담긴 QR로 교체하거나 문자메시지 또는 이메일에 QR코드를 첨부해서 이를 스캔하도록 유도한다고 밝힌 바 있다. 

큐싱 사기 예방 방법

- 출처가 불확실하거나 앱 설치를 요구하는 QR코드에 접속하는 것은 특히 주의해야 한다는 지적이다. 큐싱방지 안심큐알인증협회 관계자는 "정부는 물론 공공기관이나 기업도 QR코드를 활용한 홍보나 행사, 마케팅에 나서면서 QR코드 활용도가 크게 높아졌다. 동시에 사이버 범죄자들이 가짜 QR코드로 사기를 칠 수 있는 토대가 마련된 것"이라고 말했다. 

 

 

---

 

관련 글: 범죄 연루 계좌 허위 신고로 '통장 묶기' 사기 수법

관련 글: 모임 통장이 중고 거래 사기에 악용

관련 글: 전세 계약할 때 '중개사 보증'만 믿지 마라