스미싱·파밍을 잇는 악성 피싱! 악성 QR코드 주의보 "큐싱"

여러분 안녕하세요^,^ Blog지기입니다. SK브로드밴드 블로그 <알면 도움되는 정보>코너에서 Blog지기와 함께 신종 사기 수단으로 떠오르는 스미싱과 파밍에 대해서는 일전에 알아보았었죠? 이러한 신종 사기는 기존과 다른 방법을 이용하기 때문에 많은 분들이 피해를 입었었는데요, 최근 스미싱과 파밍을 잇는 악성 피싱이 등장하였다는 소식을 입수하여 Blog지기가 여러분을 위해 준비한 정보! 과연 무엇인지 지금부터 알아볼까요?

우리나라는 최근 보이스피싱을 비롯하여 파밍, 스미싱, 메신저피싱 등 4대 악성 피싱으로 많은 피해를 입었으며 이로인한 대응책도 다양하게 마련되고 있는데요, 신종 사기 수단이지만 공격기법에 점점 익숙해지고, 면역력도 강화되고 있습니다. 이에 다음 목표를 스마트폰의 대중화로 널리 활용되고 있는 QR코드가 될 것이라는 목소리가 나오고 있습니다.

이렇게 QR코드에 악성 애플리케이션을 삽입 시켜서 사용자들에게 다운로드를 유도함으로써 스마트폰을 감염시키는 행위를 바로 "큐싱(Qshing)"이라고 합니다. 그렇다면 이 큐싱이라는 악성 피싱이 왜 위험한 것일까요? 현재 외국에서는 QR코드를 통한 악성 피싱 사례가 있었지만 국내에서는 피해사례가 없다고 합니다. 하지만 아직 특별한 보안조치가 없는 QR코드를 악용해 공격이 이루어진다면 아주 큰 피해가 발생할 수 있습니다.

QR코드는 바코드보다 훨씬 많은 정보를 담을 수 있는 격자무늬의 2차원 코드로 명함을 비롯하여 신문, 잡지, 대중교통수단, 상품, 그리고 전광판 등에 URL을 대신하여 삽입되면서 기업 마케팅이나 개인·단체 등의 홍보수단으로 현재 널리 활용되고 있습니다. 스마트폰으로 QR코드를 스캔하여 정보를 제공받아본 적은 다들 있으시죠? ^.^

다들 아시다시피 QR코드는 간단한 사진 촬영만으로 정보를 획득할 수 있기 때문에 유용하지만, 반대로 악용될 경우에는 정상 URL을 중간에서 가로채어 악성링크로 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 가능성이 매우 높습니다. 특히 QR코드는 간단한 방법만알면 누구나 만들 수 있고, 악성링크가 삽입되거나 위조 혹은 변조되더라도 식별이 쉽지 않기 때문에 문제가 더욱 심각합니다.

 

위에서 말씀드렸듯이 외국에서는 안드로이드 스마트폰에 악성코드를 배포하는 수단으로 QR코드가 사용된 피해 사례가 여러 차례 적발되었습니다. 스마트폰의 사용량이 늘어남에 따라 해커들이 QR코드를 악성코드 배포수단으로 활용하기 시작한 것입니다. 국내에서도 악성 QR코드가 제작되어 배포되고 있을 가능성도 높다고 합니다.

 

아직 큐싱을 예방할 수 있는 특별한 방법이 제시되고 있지는 않습니다. 앞으로 큐싱 피해를 대비하여 QR코드 제작업체에서 악의로 QR코드가 제작될 수 없도록 최소한의 정보를 수집하거나, 모바일 백신 업체에서 QR코드를 인증할 때 자동적으로 URL을 검사하는 기능을 추가해야 한다는 의견의 목소리가 높아지고 있는데요, 현재로서는 출처를 알 수 없는 QR코드나 의심되는 QR코드는 스캔을 피하도록 하는 것이 가장 확실한 예방방법이라고 할 수 있습니다.

여러분 오늘은 악성 QR코드 "큐싱"에 대해서 알아보았는데요, 최근까지 화두가 되었던 신종 악성 피싱도 예전에는 없던 수법이 새롭게 생겨난 것으로, 큐싱도 현재 국내 피해 사례가 없다고 하여 마음 놓고 있을 수는 없겠죠? Blog지기가 말씀드린 것과 같이 의심되는 QR코드는 주의하도록 하세요! 이상 Blog지기였습니다.

<큐싱을 정의내린 저작권 자 : 평촌고등학교 이규형 학생>