신종 사기 <큐싱> QR 찍었다가 계좌 털린다

최근 신종 사기 수법인 <큐싱>이 등장해 난리다.

큐싱이란 스마트폰 이용자들이 많이 사용하는 QR코드를 악용한 신종 사이버 금융사기다. 불법주차 딱지, 전단지 등에 사기 QR코드로 소비자를 유인하여 악성앱을 설치하고 계좌정보 빼가는 수법이다. 가짜 여부를 눈으로 구별 어려워 피해자가 1년새 60% 급증했다. 일단 QR코드를 인식했을 때 앱 설치를 요구하면 주의해야 한다.

 

 

<피해 사례>

최근 자영업자 박 모씨는 소상공인을 상대로 낮은 이자로 대출해주겠다는 이메일을 받았다. 마침 대출을 알아보고 있던 그는 자세한 내용을 확인하려면 QR코드 촬영 후 전자금융사기 예방 서비스 앱을 설치하라는 문구를 보고 의심 없이 카메라 앱으로 QR코드를 비춰 애플리케이션(앱)을 다운받았다. 하지만 해당 앱은 개인정보를 빼내가는 해킹 앱이었고 박씨가 입력한 공인인증서 비밀번호 등 금융정보가 고스란히 해커의 손으로 넘어갔다. 며칠 뒤 박씨의 통장에서는 1000만원이 빠져나갔다.

 

 

그림 출처: 대한민국 정책브리핑

 

 

 

최근에 스마트폰 이용자들이 많이 사용하는 QR코드를 악용한 신종 사이버 금융사기인 ‘큐싱/Qshing’ 피해가 눈에 띈다. 큐싱은 QR코드(Quick Response)와 피싱(Phishing·사기)의 합성어로, 사용자가 QR코드를 스캔하면 악성 코드가 들어 있는 앱을 설치하도록 유도하는 것이 특징이다.

 

 

큐싱 사기는 직접 스캔하기 전까지 정상 QR코드 여부는 물론 QR코드 발행자가 누군지 알 수 없다는 점을 노린다. 그러다 보니 수사기관이나 금융기관을 사칭해 돈을 빼가는 보이스피싱, 문자메시지에 악성 사이트 주소를 첨부하는 스미싱과 비교해 사기임을 구분하기가 더 어려워졌다.

 

 

 

QR코드는 스마트폰 보급 확대로 활용도가 높아졌고 별도 스캐너 없이 카메라 앱으로 쉽게 접속이 가능하다. 흑백 격자무늬 패턴에 사진뿐 아니라 동영상, 지도, 명함 등 방대한 정보를 담을 수 있어 활용도가 높다. 특히 코로나19 팬데믹 시기를 거치며 출입기록 관리 등 QR코드 사용이 잦아지면서 이를 악용한 사기가 더욱 기승을 부리고 있다.

 

 

큐싱 범죄 수법은 갈수록 다양해지고 있다. 전동킥보드를 이용하기 위한 QR코드 위에 가짜 QR코드를 덧씌우는가 하면 고객 사은 이벤트로 위장한 QR코드를 넣은 홍보 전단을 뿌리는 수법도 등장했다. 주차된 차에 ‘불법 주차 경고장’ 딱지를 붙여놓고 QR코드를 통해 벌금을 납부하라고 요구하는 사기까지 등장했다. 보안업체 SK쉴더스에 따르면 지난해 온라인 보안 공격 가운데 17%가 큐싱 방식으로 이뤄졌다. 전년 대비 60%나 늘어난 수치다.

 

 

해외에서도 큐싱 사기에 대한 경각심이 커지고 있다. 올해 초에는 중국에서 정부를 사칭한 ‘임금 보조금 지급’ 안내 메일이 유포됐다. 이 또한 큐싱 사기였다. 보조금을 받으려면 메일에 첨부된 QR코드를 스캔한 뒤 중국 정부 사이트로 위장된 가짜 사이트에 카드 번호 등 개인정보를 입력하도록 유도하는 수법을 썼다.

 

 

그림 출처: 대한민국 정책브리핑

 

 

 

미국 연방거래위원회(FTC)는 지난해 12월 홈페이지에 QR코드 스캔 과정에서 개인정보 유출 피해가 발생할 수 있다는 소비자 대상 경고 메시지를 올렸다. FTC는 유료 주차장에 게시된 QR코드를 해킹 코드가 담긴 QR로 교체하거나 문자메시지 또는 이메일에 QR코드를 첨부해 이를 스캔하도록 유도한다고 밝힌 바 있다. 큐싱 피해를 입지 않으려면 출처가 불확실하거나 앱 설치를 요구하는 QR코드에 접속하는 것은 특히 주의해야 한다.