'큐싱' 글로벌 극성...이메일 첨부하면 보안 뚫려

[서울=뉴스프리존]이정우 기자= 미국과 영국의 정부 보안·규제기구가 이른바 ‘큐싱’(QR코드+피싱)에 글로벌 금융기관이 뚫려 금융정보를 탈취당하는 고객이 늘고 있다고 경고하고 나섰다.

영국 일간 <파이낸셜타임스>는 산탄데르, HSBC, TSB 등 세계적 은행들이 영국 국가사이버보안센터·미국 연방거래위원회와 함께 QR코드를 이용한 정교한 사기가 급증하고 있는 것에 우려를 표했다고 27일(현지시각) 보도했다. 

이 새로운 유형의 사기는 이메일에 PDF 형태의 QR코드를 첨부하는 방식이다. 전문가들은 이 방식이 기업의 사이버 보안 필터를 통과하는 데 효과적이라고 말한다. 보안 소프트웨어는 악성 링크를 잘 잡아내지만 첨부파일에 든 이미지는 대체로 스캔하지 않기 때문이다. 

소프트웨어 보안기업 ‘소포스‘의 수석고문 체스터 위스니에프스키는 “모든 사이버 보안교육과 우리 보안 소프트웨어를 뚫는 점이 범죄자들을 유혹했다”고 말했다.

범죄 연구자와 이에 대처하는 관리자들은 사이버 보안업체와 은행들이 악성 링크의 형식을 기록하지 않아 큐싱 대응 비용을 평가하기 어렵다고 말한다. 이는 큐싱 메일이 광범위한 사이버 공격의 한 요소에 불과하기 때문이다.

하지만 IBM의 연구에 따르면 악성 링크가 첨부된 이메일을 보내는 것을 포함한 ‘피싱’ 공격에 대처하는 비용이 기업마다 점차 늘어나고 있는 것으로 드러났다. 이 연구는 데이터 유출방어를 위한 기업들의 글로벌 평균 비용이 2024년에 10% 가량 늘어나 490만 달러에 이를 것으로 분석했다. 

일본 기업인 ‘덴소 웨이브’가 1994년 자동차 부품을 추적하는 도구로 발명한 이 코드는 기계 특히 스마트폰에서 빠르게 읽을 수 있도록 설계됐다. QR코드는 URL이나 결제정보와 같은 데이터를 이진 코드로 표시하고 있어 사람은 읽을 수 없다.

사이버 보안 컨설팅업체 ‘시그니아’의 연구 책임자 아미르 사돈은 "이러한 공격은 QR 코드가 시각적으로 해석하기 어렵다는 사실을 악용한다. 피해자는 사기가 끝날 때까지 어디로 연결됐는지 알지 못하는 경우가 많다"라고 말했다.

은행들은 QR코드가 백신 여권에서 레스토랑 메뉴에 이르기까지 모든 것을 표시하는 데 사용되면서 코로나19 팬데믹 동안 인기가 급증한 이후 이러한 종류의 사기가 급증했다고 말한다.

미국 보안 소프트웨어 기업 ‘맥아피’의 지난 5월 조사에 따르면 영국의 모든 온라인 사기의 5분의 1 이상이 QR코드에서 시작된 것으로 본다.

미국 연방거래위원회와 영국 전역의 지자체도 올해 들어 운전자를 표적으로 삼는 ‘큐싱’ 사기에 대해 경고했다. 이는 주차요금 정산 QR코드 위에 사기 사이트로 연결하는 스티커가 부착된 범죄다.

우리 정부도 지난 23일 공유 킥보드·자전거 등을 이용할 때 QR코드를 찍는 청소년을 노린 큐싱 범죄가 늘고 있다며 주의를 당부했다.

과학기술정보통신부와 교육부, 여성가족부, 개인정보보호위원회, 경찰청은 이날 청소년을 대상으로 한 큐싱 사기 피해가 급증하는 상황이라며 피해 예방 활동을 강화하겠다고 밝혔다.

우리나라에서 유행하는 큐싱 유형은 QR코드를 스마트폰으로 찍어 악성 링크를 누르면 사기 앱이 설치돼 개인·금융 정보를 탈취하거나 소액 결제를 유도하는 방식이다.

정부는 출처가 불분명한 웹사이트나 모르는 사람이 보낸 이메일에 포함된 QR코드는 스캔하지 말 것과 공유 킥보드·자전거 이용 시 스캔하는 QR 스티커가 정상 QR코드 위에 덧붙여진 가짜는 아닌지 다시 확인할 것을 당부했다.

QR코드 접속 뒤에도 개인정보 입력을 요구하는 절차는 따르지 말고, 스미싱 탐지 앱을 설치해 최신 버전을 유지할 것도 권고했다.

큐싱에 속아 악성 앱을 설치한 것으로 의심되면 즉시 스마트폰을 '비행기 모드'로 변경해 통신을 차단하고 모바일 백신으로 악성 앱을 삭제해야 한다. 

금융정보 유출이 의심되는 경우 거래하는 금융회사 영업점을 방문하거나 콜센터에 전화해 본인 계좌에 대한 일괄 지급정지를 요청해야 한다. 신속하게 피해를 최소화하고 경찰에 신고해야 한다.