보이스피싱과 문자메시지를 이용한 스미싱에 이어 QR코드를 이용한 '큐싱사기'까지 발생했다.
[연합통신넷=이진용기자] 27일 금융감독원에 따르면 최근 한 단계 진화된 금융사기 수법으로 큐싱(Qshing)사기 피해자가 나타남에 따라 스마트폰 대중화에 따른 각별한 주의가 요망된다.
큐싱이란 QR코드와 개인정보나 금융정보를 낚는다(Fishing)는 의미의 합성어로, 피해사례는 QR코드의 악성앱에 따라 카메라가 작동된 것으로 추정된다.
금융사기범은 스마트폰을 악성코드에 감염시켜 사용자가 정상 금융사이트에 접속하더라도 가짜 금융사이트(피싱사이트)로 연결되게 하고, 가짜 금융사이트에서 추가인증이 필요한 것처럼 QR코드를 보여주고 이를 통해 악성 앱이 설치되도록 유도한다.
악성 앱을 통해 보안카드, 전화번호, 문자메시지 등의 정보를 탈취하고 문자 수신방해, 착신전환 서비스 설정 등 모바일 환경을 조작해 소액결제, 자금이체 등 금전적 이득을 위한 금융사기 피해를 유발한다.
신고사례에 따르면 피해자는 금융사기임을 직감하고 보안카드를 비추지는 않았지만 게임머니 등으로 35만원이 소액결제되는 피해를 입었다. 청첩장이나 돌잔치 초대장을 빙자하던 스미싱은 최근엔 유명 외식업체의 무료 쿠폰까지 미끼로 삼았다. 사기범들은 서비스를 받기 위해서는 특정 애플리케이션을 다운받아야 한다는 내용으로 불특정 다수에게 악성코드 실행경로를 포함한 문자를 발송한 것으로 알려졌다.
금감원 측은 “QR코드는 악용될 경우 정상 URL을 중간에서 가로채 악성링크로 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 가능성이 많다”며 “스마트폰 보안점검 앱인 폰키퍼 등을 활용해 악성코드 감염을 방지해야 한다”고 밝혔다.
금감원은 통신사 콜센터에 소액결제 기능 차단을 요청하거나, 한국인터넷진흥원에서 배포한 보안점검 앱 ‘폰키퍼’로 악성코드 감염을 방지할 것을 권했다. 피해가 발생하면 경찰서에서 ‘사건사고 사실확인원’을 발급받은 뒤 통신사 고객센터에 피해 접수와 함께 사실확인원을 제출해야 한다. 통신사는 해당 이를 접수받아 결제대행사 및 콘텐츠사업자와 스미싱 피해여부를 확인하고, 결제금 환불 또는 부과 여부를 결정해 그 결과를 통지하게 된다.